Product Documentation

安装和配置

Feb 26, 2018

安装和配置清单

开始安装之前,请完成以下列表中的步骤:

步骤
  选择您的环境中要在其中安装软件的计算机并将其准备好进行安装。请参阅系统要求
  安装服务所需的 TLS 证书和帐户。请参阅系统要求中的安全性和帐户要求
 

安装许可证服务器。请参阅许可证服务器文档

  创建中央存储。请参阅创建中央存储
  安装自助服务密码重置。请参阅安装和配置自助服务密码重置
  使用控制台配置自助服务密码重置。请参阅安装和配置自助服务密码重置
  在 StoreFront 上配置自助服务密码重置。请参阅配置 StoreFront
  确保自助服务密码重置配置已安全配置。请参阅安全配置
安装服务所需的 SSL 证书和帐户。请参阅“安全性和帐户要求”。
安装服务所需的 SSL 证书和帐户。请参阅“安全性和帐户要求”。
在 StoreFront 上配置自助服务密码重置。请参阅配置 StoreFront

安装和配置顺序

要安装此服务并运行服务配置向导,您的登录帐户必须是域用户,并且属于服务器上的本地管理员组。

我们建议您按以下顺序安装自助服务密码重置:

  1. 安装许可证服务器或将其升级到最低版本 11.13.1.2。请从 https://www.citrix.com/downloads/licensing.html 下载许可证服务器。
  2. 创建中央存储。
  3. 安装自助服务密码重置。
  4. 在控制台中配置自助服务密码重置。
  5. 使用自助服务密码重置服务器的地址配置 StoreFront。

创建中央存储

出于安全原因,我们建议您直接在运行自助服务密码重置服务的计算机上创建中央存储。对于需要多个自助服务密码重置服务器的部署,如果自助服务密码重置服务器和托管共享的服务器都支持 SMB 加密,则可以将中央存储托管在远程网络共享上。 

此功能仅在 Windows Server 2012 R2 或 Windows Server 2016 中可用,因此,使用远程文件共享作为中央存储时不支持 Windows Server 2008 R2。

创建数据代理帐户

创建一个要用作数据代理帐户的常规域用户。请勿将域管理员/本地管理员组中的用户设置为数据代理帐户。 

为 Windows Server 2012 R2 或 Windows Server 2016 创建中央存储

为自助服务密码重置服务器和中央存储使用 Windows Server 2012 R2 或 Windows Server 2016 时,如果按照本部分中的说明进行配置,则可以使用远程网络共享。请务必选中 Encrypt data access(加密数据访问)并应用安全配置中提供的指南。

  1. 要启动 New Share(新建共享)向导,请打开服务器管理器。在 File and Storage Services(文件和存储服务)详细信息页面上,在左侧窗格中选择 Shares(共享),然后单击 Tasks(任务)> New Share(新建共享)。 
  2. 在左侧窗格中选择 Select Profile(选择配置文件),选择 SMB Share - Quick(SMB 共享 - 快速),然后单击 Next(下一步)。  
  3. 在左侧窗格中选择共享位置。从列表中选择要在上面创建新共享的服务器以及要在上面创建新共享文件夹的卷,然后单击下一步。  
  4. 在左侧窗格中选择 Share Name(共享名称),键入新共享名称,例如 CITRIXSYNC$,然后单击 Next(下一步)。  
  5. 在左侧窗格中选择 Other Settings(其他设置),选择 Encrypt data(加密数据),取消选中 Allow caching of share(允许缓存共享), 然后单击 Next(下一步)。    
  6. 要自定义 Share(共享)权限,请在左侧窗格中选择 Permissions(权限),然后选择 Customize permissions(自定义权限)> Share(共享)
    o 删除 Everyone(所有人)
    o 添加具有“Full Control”(完全控制)权限的 Data Proxy Account(数据代理帐户)
    o 添加具有“Full Control”(完全控制)权限的 Local Administrators(本地管理员)
    o 添加具有“Full Control”(完全控制)权限的 Domain Admins(域管理员)
  7. 要自定义 NTFS 权限,请在左侧窗格中选择 Permissions(权限),选择 Customize permissions(自定义权限),单击 Disable inheritence(禁用继承),然后选择 Convert inherited permissions into explicit permissions on this object(将已继承的权限转换为此对象的显式权限)。
localized image

8. 要删除除 CREATOR OWNER/Local Administrators/SYSTEM(创建者所有者/本地管理员/系统)外的所有用户,请在 Customize permissions(自定义权限)> Permissions(权限)中,单击 Remove(删除)。

9. 要修改 CREATOR OWNER(创建者所有者)> Advanced permissions(高级权限),请单击 Edit(编辑)并取消选中以下权限:

o Full Control(完全控制)
o Delete subfolders and files(删除子文件夹和文件)
o Change permissions(更改权限)
o Take ownership(获取所有权)

localized image

10. 添加具有“Full Control”(完全控制)权限的 Data Proxy Account(数据代理帐户)

11. 在“New Share”(新建共享)向导的左侧窗格中选择 Confirmation(确认),检查当前选中的共享设置,单击 Create(创建)开始执行创建新文件夹的过程,然后单击 Close(关闭)。

12. 在 CITRIXSYNC$ 共享文件夹下创建两个子文件夹 CentralStoreRootPeople。   

重要:请确保数据代理帐户对这两个子文件夹具有 Full Control(完全控制)权限。

为 Windows Server 2008 R2 创建中央存储

请务必在安装了自助服务密码重置服务的同一服务器上创建中央存储,然后继续配置 Windows 防火墙以阻止远程访问。

1. 创建一个本地文件夹 (CITRIXSYNC1) 作为文件共享的根目录,然后创建两个子文件夹 CentralStoreRootPeople

2. 设置一个文件共享并授予共享权限:

a. 右键单击 CITRIXSYNC1 文件夹,选择 Properties(属性)> Sharing(共享)> Advanced Sharing(高级设置)。

b. 选中 Share this folder(共享此文件夹)复选框,然后将 Share name(共享名称)设置为 CITRIXSYNC1$

c. 要授予共享权限,请单击 Permissions(权限),删除所有默认用户,然后添加具有 Full Control(完全控制)权限的 Data Proxy Account(数据代理帐户),具有 Full Control(完全控制)权限的 Local Administrators Group(本地管理员组),以及具有 Full Control(完全控制)权限的 Domain Admin Group(域管理员组)。 

d. 单击 Caching(缓存)并选中 No files or programs from the shared folder are available offline(该共享文件夹中的文件或程序在脱机状态下不可用)。

localized image

3. 要授予安全权限,请右键单击 CITRIXSYNC1 文件夹,然后选择 Properties(属性)> Security(安全)。

4. 要禁用可继承的权限,请单击 Advanced(高级)> Change Permissions(更改权限),取消选中 Include inheritable permissions from the object's parent(包括该对象的父对象中的可继承权限),然后在警告窗口中单击 Add(添加)。

 

localized image

5. 单击 Edit(编辑)修改 CREATOR OWNER(创建者所有者)权限,并取消选中以下权限:

o Full Control(完全控制)
o Delete subfolders and files(删除子文件夹和文件)
o Change permissions(更改权限)
o Take ownership(获取所有权)

localized image

6. 要删除不需要的用户组并添加 Data Proxy Account(数据代理帐户),请在 Properties(属性)屏幕上单击 Edit(编辑),并删除除 CREATOR OWNER/SYSTEM/Local Administrators(创建者所有者/系统/本地管理员)外的所有用户,然后添加具有 Full Control(完全控制)权限的 Data Proxy Account(数据代理帐户)。

localized image

7. 要启用 SMB 签名功能,请单击开始 > 管理工具 > 本地安全策略。在左侧窗格中,选择安全设置 > 本地策略 > 安全选项

8. 启用 Microsoft 网络客户端: 对通信进行数字签名(如果服务器允许)Microsoft 网络服务器: 对通信进行数字签名(如果客户端允许)。 

9. 要阻止远程访问本地中央存储,请完成 Windows 防火墙配置。有关详细信息,请参阅配置防火墙设置

安装和配置自助服务密码重置

安装包位于 XenApp 和 XenDesktop 安装介质中。  

  1. 启动自助服务密码重置安装向导并按照以下步骤进行操作。
  2. 依次单击开始 > 所有程序 > Citrix > Citrix 自助服务密码重置配置以配置自助服务密码重置服务。
  3. 控制台打开时,请按照下面三个基本步骤配置此服务。
localized image

服务配置

配置此服务之前,请确保您已创建中央存储、数据代理帐户和自助服务帐户。

  1. 在中间窗格中选择服务配置,然后在右侧窗格中单击新建服务配置
  2. 中央存储位置屏幕中,指定中央存储位置,然后单击下一步
  3. 域配置屏幕中,选择一个域,然后单击属性
  4. 指定数据代理帐户用户名和密码以及自助服务帐户用户名和密码,然后依次单击确定下一步完成

用户配置

  1. 在左侧窗格中选择用户配置,然后在右侧窗格中单击新建用户配置
  2. 命名用户配置屏幕中,定义自助服务密码服务目标用户组,从 Active Directory 中添加用户/组/OU,然后单击下一步。   
  3. 配置许可屏幕上,指定许可证服务器,然后单击下一步
  4. 配置密码重置屏幕上,使用复选框指定用户是否能够在没有管理员介入的情况下重置其 Windows 密码和解锁其域帐户,指定服务端口和地址,然后单击创建

有关管理用户配置的详细信息,请参阅管理用户配置

身份验证

  1. 在左侧窗格中选择身份验证节点,然后在右侧窗格中单击管理问题
  2. 基于问题的身份验证屏幕上,选择默认语言,使用复选框启用或禁用屏蔽安全问题答案的功能,然后单击下一步
  3. 安全问题屏幕上,单击添加问题,在文本框中键入问题,单击确定,然后单击下一步
  4. 调查表屏幕中,单击添加并选择一个问题。可以使用上移下移按钮重新整理您的问题和问题组。完成此页面上的操作后,单击创建确定

有关管理身份验证问题的详细信息,请参阅管理身份验证问题

管理用户配置

通过用户配置,您可以控制用户登录 StoreFront 时界面的行为和外观。创建新用户配置是您在向环境中的用户分发自助服务密码重置之前执行的最后一个步骤。请注意,您可以随时退出现有用户配置。

用户配置是您对与 Active Directory 层级结构(组织单位 [OU] 或单个用户)或 Active Directory 组相关联的用户应用的唯一设置集合。

用户配置由以下各项组成:

  • 与 Active Directory 域层级结构(OU 或单个用户)或 Active Directory 组相关联的用户

重要:处于 Active Directory 混合模式的通讯组和域本地组不受支持。

  • 许可证服务器
  • 自助服务功能(帐户解锁和密码重置)

创建用户配置之前,请确保您已创建或定义以下各项:

  • 中央存储
  • 服务配置
创建用户配置
  1. 依次单击开始 > 所有程序 > Citrix > Citrix 自助服务密码重置配置
  2. 在左窗格中,选择用户配置节点。
  3. 操作菜单中,单击添加新用户配置

添加用户、OU 或组

用户配置向导的命名用户配置页面允许您将用户配置关联到用户。

用户配置关联:

您有两种选项:根据 Active Directory 层级结构(OU 或单个用户)或 Active Directory 组关联用户。如有需要,以后可以通过单击操作菜单中的编辑用户配置将用户配置与其他层级结构或组相关联。

将用户配置与组相关联仅在使用 Active Directory 身份验证的 Active Directory 域中受支持。

命名用户配置页面上选择 OU、用户或组(从“添加新用户配置”或“编辑用户配置”向导中)。

注意:我们建议您不要将任何特权帐户(例如,本地管理员或域管理员)包括在自助服务密码重置帐户能够重置其密码的用户组中。请使用新的专用组。 

配置许可

用户配置向导的配置许可页面允许您配置自助服务密码重置服务使用的许可证服务器。

注意:仅当您安装了 XenApp 或 XenDesktop Platinum Edition 时才能使用解锁和重置功能。

配置许可页面上输入许可证服务器名称和端口号(从“添加新用户配置”或“编辑用户配置”向导中)。

启用解锁或重置功能

自助服务密码重置允许用户在没有管理员介入的情况下重置其 Windows 密码以及解锁其域帐户。在启用自助服务密码重置页面上,可以选择要启用的功能。

启用自助服务密码重置页面上选择希望用户使用的功能:解锁重置(从“添加新用户配置”或“编辑用户配置”向导中)。

配置黑名单

IT 管理员可以向黑名单中添加用户和组。黑名单中的用户和组不能使用任何自助服务密码重置功能,包括注册、帐户解锁和密码重置。此外,黑名单中的用户在登录后在 Citrix Receiver 上看不到任务按钮。

配置黑名单

  1. 依次单击开始 > 所有程序 > Citrix > Citrix 自助服务密码重置配置
  2. 在左侧窗格中选择用户配置,然后在右侧窗格中单击黑名单配置
  3. 使用添加删除按钮在黑名单中添加和删除用户或组。

管理身份验证问题

Citrix 自助服务密码重置配置控制台的身份验证向您提供了一个用于管理与身份验证、自助服务密码重置和帐户解锁相关联的所有安全问题的中央位置。可以在默认问题列表中自定义您自己的安全问题以及创建问题组。

  • 如果您在用户注册其答案后编辑现有的默认问题,请注意所编辑的问题的含义。编辑问题不会强制用户重新进行注册,但是,如果您更改了问题的含义,最初回答该问题的用户可能无法提供正确的答案。
  • 在注册用户后添加、删除和替换安全问题意味着以前使用较旧的一组问题注册的所有用户在重新注册之前将无法进行身份验证和重置密码。用户在 Receiver 中打开“任务”时必须回答一组新问题。
  • 单个安全问题可以属于多个安全问题组。创建安全问题组时,创建的所有问题都可在任何安全问题组中使用。

请按照以下步骤进行操作,访问以下过程中引用的设置:

  1. 依次单击开始 > 所有程序 > Citrix > Citrix 自助服务密码重置配置
  2. 在左窗格中,选择身份验证节点。
  3. 操作菜单中,单击管理问题。

设置默认语言

在大多数情况下,用户会看到安全问题使用与其当前用户配置文件关联的语言显示。如果该语言不可用,自助服务密码重置将使用您指定的默认语言显示问题。

  1. 依次单击开始 > 所有程序 > Citrix > Citrix 自助服务密码重置配置
  2. 在左窗格中,选择身份验证节点。
  3. 操作菜单中,单击管理问题
  4. 基于问题的身份验证页面上的默认语言下拉列表中,选择默认语言。

启用安全答案屏蔽

安全答案屏蔽功能在您的用户注册其安全问题答案或在身份验证过程中提供答案时增加了用户的安全级别。启用此功能时,用户的答案被隐藏。答案注册过程中,系统会要求这些用户键入其答案两次以避免出现键入和拼写错误。身份验证过程中用户仅键入其答案一次,因为系统会在出现错误时提示其重试。

基于问题的身份验证页面上选择屏蔽安全问题的答案

创建新安全问题

可以创建多个不同的问题并为每个问题指定一种语言。还可以提供一个问题的多种翻译。Receiver 中的注册会使用与用户的配置文件的语言设置相对应的语言向用户提供调查表。如果该语言不可用,自助服务密码重置将使用默认语言显示问题。

注意:指定安全问题的语言时,问题将向操作系统设置是针对该指定语言配置的用户显示。如果选定的操作系统设置与任何可用的问题不匹配,则向用户显示您所选择的默认语言。

  1. 安全问题页面上的语言下拉列表中,选择一种语言并单击添加问题。此时将显示“安全问题”对话框。
  2. 安全问题对话框中创建新问题。

重要:必须使用编辑按钮将所翻译的现有问题的文本包括在内。如果选择添加问题,您将创建与原始问题不关联的新问题。

添加或编辑现有问题的文本

在注册用户后添加、删除和替换安全问题意味着以前使用较旧的一组问题注册的所有用户在重新注册之前将无法进行身份验证和重置密码。用户在 Receiver 中打开“任务”时必须回答一组新问题。编辑问题不会强制用户重新注册。

重要:如果要编辑现有问题,请务必不要改变问题的含义。这可能会导致重新身份验证过程中用户答案中出现不一致。即,用户可能会提供与存储的答案不匹配的其他答案。

  1. 安全问题页面上的语言下拉框中选择一种语言。
  2. 选择问题并单击编辑
  3. 编辑安全问题对话框中的问题。

创建安全问题组

可以创建多个用户在确认其身份时需要回答的安全问题。添加到调查表中的每个问题必须由您的用户回答。但是,您还可以将这些问题编组到一个安全问题组中。

例如,将问题放置到组中可使您能够向调查表中添加一组六个问题,并且允许您的用户从该问题组中选择回答其中的三个问题(举例说明)。这使您的用户能够灵活地选择问题和提供用于身份验证的答案。

  1. 安全问题页面上单击添加组
  2. 安全问题组对话框中,命名该组,选择问题,然后设置用户必须回答的问题数量。

编辑安全问题组

选择要编辑的安全组,然后单击安全问题页面上的编辑。此时将显示“安全问题组”对话框,其中包含可作为安全问题组的一部分的安全问题列表。当前在组中的问题通过复选标记指示。您可以在此编辑组的名称、向组中添加问题以及选择此组中用户必须回答的问题数量。

添加或删除现有调查表

在调查表中添加或删除安全问题和问题组。按照要向用户显示的顺序上下移动问题。如果更改了调查表,需要通知用户在登录 StoreFront 后执行重新注册任务。

  1. 单击调查表页面上的添加可向调查表中添加问题或组。
  2. 单击删除可从调查表中删除问题。
  3. 单击上移下移可管理向用户提供的问题。

管理身份验证

通过自助服务密码重置,可以执行以下操作:

  • 导入或导出安全问题。
  • 吊销对用户的安全问题注册。

导入或导出安全问题

可以导入或导出安全问题和组的数据。

  1. 依次单击开始 > 所有程序 > Citrix > Citrix 自助服务密码重置配置
  2. 在左窗格中,选择身份验证节点。
  3. 操作菜单中,单击以下操作之一:

    导入安全问题
    指定文件位置以导入安全问题和组的数据。

    导出安全问题
    指定文件位置以导出安全问题和组的数据。