Product Documentation

使用组策略对象模板配置 Receiver

Dec 21, 2015

Citrix 建议使用组策略对象 icaclient.adm 模板文件为网络路由、代理服务器、可信服务器配置、用户路由、远程用户设备和用户体验配置规则。

您可以将 icaclient.adm 模板文件用于域策略和本地计算机策略。 对于域策略,请使用组策略管理控制台导入此模板文件。 如果要将 Receiver 设置应用到整个企业内许多不同的用户设备,这一点非常有用。 如果只希望影响单个用户设备,请使用设备上的本地组策略编辑器导入此模板文件。

通过 GPO 添加或指定应用商店:

  1. 以管理员身份从“开始”菜单本地运行 gpedit.msc(将策略应用于单台计算机时)或者使用组策略管理控制台(应用域策略时),打开组策略编辑器。

    注意:如果已将 icaclient 模板导入到组策略编辑器中,可以忽略步骤 2 到 5。

  2. 在组策略编辑器的左窗格中,选择“管理模板”文件夹。
  3. 在“操作”菜单中,选择“添加/删除模板”。
  4. 选择“添加”并浏览到 Receiver 的 Configuration 文件夹(对于 32 位计算机,通常为 C:\Program Files\Citrix\ICA Client\Configuration;对于 64 位计算机,通常为 C:\Program Files (x86)\Citrix\ICA Client\Configuration),然后选择 icaclient.adm。
  5. 选择“打开”以添加模板,然后选择“关闭”以返回到组策略编辑器。
  6. 在“计算机配置”节点下,转至“管理模板”>“经典管理模板(ADM)”>“Citrix 组件”>“Citrix Receiver”>“StoreFront”,然后选择“StoreFront 帐户列表”。
  7. 编辑设置。 使用下一步中的信息添加或指定帐户。
  8. 进入 StoreFront 帐户列表。 对于每个条目,请输入以下信息(用分号分隔):
    • 应用商店名称。 用户看到的此应用商店的名称。
    • 应用商店 URL。 应用商店的 URL。
    • 应用商店启用状态。 设置为“启用”或“禁用”。
    • 应用商店说明。 用户看到的此应用商店的说明。

    示例:SalesStore;https://sales.example.com/Citrix/Store/discovery;On;Store for Sales staff

关于 ADMX 模板的使用

安装 StoreFront 3.0 和 Citrix Receiver 4.3 后,Citrix XenApp 和 XenDesktop 支持 Microsoft 用于显示基于注册表的策略设置的新格式(使用基于标准 XML 文件格式),称为 ADMX 文件。

注意:更多详细信息,请查找与管理 ADMX 文件有关的 Microsoft MSDN 文章

在 Windows Vista/ Windows Server 2008 及更高版本中,这些新文件替代了 ADM 文件,后者使用自己的标记语言。 ADM 文件仍可用于 Windows XP 嵌入版平台。 您使用的管理工具(组策略对象编辑器和组策略管理控制台)大致保持不变。 在大多数情况下,您在执行日常组策略管理任务过程中不会注意到 ADMX 文件的存在。

中央应用商店是使用新 ADMX 文件的主要优势之一。 虽然默认情况下不适用中央应用商店,但您仍可以在管理基于域的 GPO 时使用此选项。 与使用早期版本的 ADM 文件的情况不同,组策略对象编辑器不会将 ADMX 文件复制到每个已编辑的 GPO,但是能够从域控制器 sysvol(用户不可配置)上的一个域级别位置或在中央应用商店不可用时从本地管理工作站读取。 可以通过将自定义 ADMX 文件复制到中央应用商店来共享该文件,使其自动对域中的所有组策略管理员可用。 此功能简化了策略管理,改进了 GPO 文件的存储优化。

ADMX 文件分为中心语言 (ADMX) 和特定语言 (ADML) 资源,对所有组策略管理员可用。 这些因素允许组策略工具根据管理员已配置的语言调整其 UI。

ADMX 和 ADML 的文件名和位置

ADM 文件的命名约定(在早期版本的 Receiver 中提供)已得以改进。 下表提供了 ADM 文件到新 ADMX 文件名的映射: 

Citrix Receiver 版本(4.3 之前的版本)

Citrix Receiver 版本(4.3 及更高版本)

Icaclient.adm

receiver.admx\receiver.adm

Icaclient_usb.adm

receiver_usb.admx\receiver_usb.adm

ica-file-signing.adm

ica-file-signing.admx\ica-file-signing.admx

HdxFlash-Client.adm

HdxFlash-Client.admx\HdxFlash-Client.admx

注意:请在 Windows Vista/Windows Server 2008 及更高版本上使用 .admx 文件,对其他平台使用 .adm 文件。

可以将通过 Citrix Receiver 安装程序分发的自定义 ADMX 和 ADML 文件复制到中央应用商店,使其自动对域中的所有组策略管理员可用。 下表提供了需要复制 ADMX 和 ADML 文件的位置:

文件类型

文件位置

receiver.admx

<安装目录>\ICA Client\Configuration

ica-file-signing.admx

<安装目录>\ICA Client\Configuration

receiver_usb.admx

<安装目录>\ICA Client\Configuration\en

HdxFlash-Client.admx

<安装目录>\ICA Client\Configuration

receiver.adml

<安装目录>\ICA Client\Configuration

ica-file-signing.adml

<安装目录>\ICA Client\Configuration

receiver_usb.adml

<安装目录>\ICA Client\Configuration\en

HdxFlash-Client.adml

<安装目录>\ICA Client\Configuration\[MUIculture]

注意:如果 Receiver 是通过 VDA 安装复制的,可以在安装目录中找到 ADMX/ADML 文件。 例如:<安装目录>\online plugin\Configuration。

使用组策略对象模板的 Receiver 配置

Citrix 建议使用组策略对象模板文件配置以下 Receiver 功能的规则。

  • 客户端引擎
  • 客户体验改善计划 (CEIP)
  • 诊断
  • 快速连接 API 支持
  • HDX MediaStream Flash 重定向 - 客户端
  • ICA 文件签名服务
  • 多流 ICA
  • 网络路由
  • 通用 USB 和用户设备的远程处理
  • 自助服务
  • Storefront
  • 用户身份验证
  • 用户体验

可以使用模板文件配置本地 GPO 和基于域的 GPO。 有关详细信息,请参阅 Microsoft TechNet 库文章 Editing the Local GPO Using ADMX Files(使用 ADMX 文件编辑本地 GPO)Editing Domain-Based GPOs Using ADMX Files(使用 ADMX 文件编辑基于域的 GPO)

导入 ADMX 文件后,可以在以下位置中找到与 Receiver 有关的组策略设置:

  • 计算机配置 > 管理模板 > Citrix 组件
  • 计算机配置 > 管理模板 > HDX MediaStream Flash 重定向 - 客户端
注意:Citrix 建议您使用随最新的 Citrix Receiver 提供的 GPO 模板文件。 导入最新的文件时,将保留之前的设置。
 
下图说明了这些组件:
localized image

关于 TLS 和组策略

使用此策略可配置用于确保 Citrix Receiver 能够安全地标识其连接到的服务器的 TLS 选项以及加密与服务器的所有通信。  Citrix 建议通过不可信网络建立的连接使用 TLS。 Citrix 支持在 Receiver 与 XenApp 或 XenDesktop 之间使用 TLS 1.0、TLS 1.1 和 TLS 1.2 协议。

启用此策略时,可以通过选中“Require SSL for all connections”(要求为所有连接使用 SSL)复选框,强制 Receiver 为与已发布的应用程序和桌面建立的所有连接使用 TLS。

Receiver 按服务器出示的安全证书上的名称标识服务器。  其格式为 DNS 名称(例如 www.citrix.com)。  可以将 Receiver 限制为仅连接到“Allowed SSL servers”(允许连接的 SSL 服务器)设置中逗号分隔的列表指定的特定服务器。  可以在此处指定通配符和端口号;例如,*.citrix.com:4433 允许在端口 4433 上连接到通用名以 .citrix.com 结尾的任何服务器。 安全证书中的信息准确度由证书的颁发者声明。  如果 Receiver 无法识别和信任证书的颁发者,连接将被拒绝。

通过 TLS 连接时,服务器可能会配置为要求 Receiver 提供用于标识自身的安全证书。  使用“Client Authentication”(客户端身份验证)设置可配置是否自动提供标识,以及是否通知用户。  选项包括:

  • never supply identification(从不提供标识)
  • only use the certificate configured here(仅使用在此处配置的证书)
  • to always prompt the user to select a certificate(始终提示用户选择证书)
  • to prompt the user only if there a choice of certificate to supply(仅当需要选择提供的证书时才提示用户)

注意:使用“Client Certificate”(客户端证书)设置可指定标识证书的缩略图以避免不必要地提示用户。

验证服务器的安全证书时,可以将插件配置为与证书的颁发者联系以获取证书吊销列表 (CRL),从而确保服务器的证书尚未被吊销。  这样可以在系统受到影响时允许颁发者使证书失效。  使用“CRL verification setting”(CRL 验证设置)可将插件配置为:

  • not check CRLs at all(根本不检查 CRL)
  • only check CRLs that have been previously obtained from the issuer(仅检查以前从颁发者处获取的 CRL)
  • actively retrieve an up-to-date CRL(主动获取最新的 CRL)
  • to refuse to connect unless it can obtain an up-to-date CRL(除非能够获取最新的 CRL,否则拒绝连接)

为多种产品配置 TLS 的组织可以通过指定证书策略 OID 作为安全证书的一部分来选择标识用于 Citrix 插件的服务器。  如果在此处配置了策略 OID,Receiver 将仅接受声明了兼容策略的证书。

某些安全策略对用于连接的加密算法有一定的要求。  可以将插件限制为仅对“TLS version”(TLS 版本)设置使用 TLS v1.0、TLS 1.1 和 TLS 1.2。  同样,可以将插件限制为仅使用某些加密密码集。 这些密码集包括:

政府密码集:

  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_WITH_AES_256_GCM_SHA384

商用密码集:

  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_RC4_128_MD5
  • TLS_RSA_WITH_AES_128_GCM_SHA256