Product Documentation

将 Windows 配置文件与 Password Manager 和 Single Sign-on 配合使用

Feb 26, 2018

本主题不包含任何特定于 Profile Management 的信息。本主题将向您介绍如何配置某些 Windows 选项,以使 Citrix Single Sign-On 实现与本地配置文件、漫游配置文件、强制配置文件或混合配置文件的最佳兼容运行。本主题适用于 Citrix Single Sign-On 4.8 或 5.0。

本地配置文件

本地配置文件存储在用户所登录的本地服务器上。Password Manager 和 Single Sign-on 将注册表信息保存在位于以下位置的用户注册表 HKCU\Software\Citrix\MetaFrame Password Manager 配置单元中:

%SystemDrive%\Documents and Settings\%username%\NTUSER.DAT

还会将文件保存在以下位置:

%SystemDrive%\Documents and Settings\%username%\Application Data\Citrix\MetaFrame Password Manager

在 Windows 7 中,Single Sign-on 将使用:

%APPDATA%\Roaming\Citrix\MetaFrame Password Manager

重要:Single Sign-On 需要对以下文件具有完全控制权限,这一点非常重要:

文件名

说明

%username%.mmf

带有 aelist.ini 指针的用户凭据信息文件。

entlist.ini

同步点或 Active Directory 中在企业级别创建的应用程序定义文件。

aelist.ini

通过将用户本地应用程序定义文件 (applist.ini) 与企业应用程序定义 (entlist.ini) 文件合并而创建的应用程序定义文件。

漫游 配置文件

漫游配置文件 保存在网络共享中,每次用户登录时系统都会将其与本地服务器副本 进行同步。成功的漫游配置文件部署的特性 包括高速网络连接性,例如 SAN(System Area Network,系统区域网络)或 NAS(Network Area Storage,网络区域存储)。其他常见部署包括将配置文件 存储在高可用性服务器上的群集解决方案。

有两个问题会影响 漫游配置文件和强制配置文件的部署:
  • 一个 漫游配置文件只能与一个文件同步点结合使用。如果 使用多个同步点,内存映射文件 (Memory Mapped File, MMF) 中的数据可能会被破坏。
  • 将漫游 配置文件与多个并发会话结合使用时,它们将共享同一个 后端 MMF。这意味着,所有活动的会话都共享一些通用的会话数据, 例如重试锁定计数器、上次使用的数据计数器以及事件日志条目。

强制配置文件或混合配置文件

强制配置文件是指用户只读配置文件。Single Sign-On 需要对 Application Data 下的配置文件文件夹具有写入权限。对于强制配置文件,用户可以进行更改,但是在用户注销时,这些更改不会保存回配置文件中。为使 Single Sign-On 能与强制配置文件正确地结合使用,必须对 Application Data 文件夹进行重定向。

将在每次用户登录时写入注册表更改。凭据信息将与同步点进行同步,但更改不会保存回配置文件中。

自 Windows 2000 起,Microsoft 提供了 Application Data 文件夹的重定向机制。但是,使用 Windows NT4 域时,要求登录脚本能够修改 Application Data 文件夹的位置。这可以通过 Kix 或 VBScript 等工具来实现,需要使用这些工具为 Application Data 文件夹定义可写位置。

下例使用 Kix 在用户登录期间重定向 Application Data 文件夹:

重要:此示例脚本仅供参考之用,未经事先测试,请不要在您的环境中使用。
 
$LogonServer = "%LOGONSERVER%" 
$HKCU = "HKEY_CURRENT_USER" 
$ShellFolders_Key = 
"$HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell 
Folders" 
$UserShellFolders_Key = 
"$HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User 
Shell Folders" 
$UserProfFolder = 
"$LogonServer\profiles\@userID" 
$UserAppData = 
"$LogonServer\profiles\@userID\Application Data" 
$UserDesktop = 
"$LogonServer\profiles\@userID\Desktop" 
$UserFavorites = 
"$LogonServer\profiles\@userID\Favorites" 
$UserPersonal = "X:\My Documents" 
$UserRecent = 
"$LogonServer\profiles\@userID\Recent" 
if (exist("$UserAppData") = 0) 
shell '%ComSpec% /c md "$UserAppData"' 
endif 
if (exist("$UserDesktop") = 0) 
shell '%ComSpec% /c md "$UserDesktop"' 
endif 
if (exist("$UserRecent") = 0) 
shell '%ComSpec% /c md "$UserRecent"' 
endif 
if (exist("$UserFavorites") = 0) 
shell '%ComSpec% /c md "$UserFavorites"' 
endif 

对强制配置文件问题而言,还可以使用混合配置文件进行解决。用户登录时,强制配置文件将加载用户注册表配置单元,自定义应用程序将加载和卸载用户注册表配置单元,均基于可供用户使用的应用程序。与强制配置文件相同,用户可以在会话期间修改注册表的这些部分。与强制配置文件的不同之处在于,更改将在用户注销时保存,并在用户再次登录时重新加载。

如果使用混合配置文件,则必须在登录和注销过程中导入和导出 HKEY_CURRENT_USER\Software\Citrix\MetaFrame Password 注册表项。

文件夹重定向

文件夹重定向通过组策略对象和 Active Directory 来实现。它使用组策略来定义用户配置文件中的文件夹位置。

有四个文件夹可以重定向:
  • 我的文档
  • 应用程序数据
  • 桌面
  • “开始”菜单

使用组策略可以配置两种重定向模式:基本重定向和高级重定向。这两种模式均受 Single Sign-On 支持。在 Windows 2000 中,必须使用用户名变量(例如 \\servername\sharename\%username%)来引用存储应用程序数据的共享。

文件夹重定向对于用户具有全局性,它将影响用户的所有应用程序。这意味着,使用 Application Data 文件夹的所有应用程序都必须支持该功能。

请阅读以下 Microsoft 文章,了解与文件夹重定向有关的更多信息:

如何使用文件夹重定向功能动态地创建更安全的重定向文件夹

Windows 中的文件夹重定向功能

启用管理员有权访问重定向文件夹

最佳 做法

  • 在可能的情况下 重定向 Application Data 文件夹。这样可以提高网络性能, 从而避免在每次用户登录时都要复制这些文件夹中的数据。
  • 对 Password Manager 代理进行故障排除时,务必确认登录的用户 对其 Application Data 文件夹具有完全控制权限。