Product Documentation

防止用户访问本地桌面

Oct 12, 2015

如果用户不需要与本地桌面进行交互,则请使用 Desktop Lock。在此访问方案中,虚拟桌面有效地取代了本地桌面,使用户可以像使用本地桌面一样与虚拟桌面进行交互。

Desktop Lock 是随 XenApp、XenDesktop 和 Citrix VDI-in-a-Box 一起发布的独立组件。它是 Desktop Viewer 的替代项,主要是针对重新设计用途的 Windows 计算机和 Windows 瘦客户端而设计的。Desktop Lock 使用替换 Windows shell(不显示“开始”菜单)防止用户访问本地操作系统。此外,还使用 Windows 任务管理器的替代项。

用户可通过 Desktop Lock 从服务器操作系统和桌面操作系统交付组访问桌面。

Desktop Lock 的系统要求

如果用户不需要与本地桌面进行交互,则请使用 Desktop Lock。在此访问方案中,虚拟桌面有效地取代了本地桌面,使用户可以像使用本地桌面一样与虚拟桌面进行交互。

Desktop Lock 是随 XenApp、XenDesktop 和 Citrix VDI-in-a-Box 一起发布的独立组件。它是 Desktop Viewer 的替代项,主要是针对重新设计用途的 Windows 计算机和 Windows 瘦客户端而设计的。Desktop Lock 使用替换 Windows shell(不显示“开始”菜单)防止用户访问本地操作系统。此外,还使用 Windows 任务管理器的替代项。

用户可通过 Desktop Lock 从服务器操作系统和桌面操作系统交付组访问桌面。

操作系统

Desktop Lock 在以下用户设备操作系统上受支持。仅列出了提供有限支持的环境中使用的版本或 Service Pack:

  • Windows 7,32 位和 64 位版本(包括 Embedded Edition)
  • Windows XP Professional,32 位和 64 位版本
  • Windows XP Embedded
  • Windows Vista,32 位和 64 位版本
注意:Microsoft 已于 2014 年 4 月 8 日终止对 Windows XP 的扩展支持,至此不再支持 Windows XP。继续支持 Windows XP Embedded。

Receiver

Citrix Receiver for Windows Enterprise 3.4 软件包

环境

仅当运行 Desktop Lock 的用户设备连接到局域网 (LAN) 时才受支持。

已加入域和未加入域的安装

您可以在加入域或未加入域的用户设备上安装 Desktop Lock。不同设备类型上的系统行为和用户体验稍有不同。

在已加入域的安装中,Windows 用户设备已加入 Active Directory 域。在这些安装中:

  • 用户设备通过 XenApp Services URL 访问 StoreFront 存储。此外,还可使用 VDI-in-a-Box。
  • Program Neighborhood Agent 替换 Windows Explorer Shell,并启动分配的桌面组中第一个按字母顺序列出的可用桌面。
  • Desktop Lock 替换 Shell 不覆盖管理员的 Shell。
  • Windows 任务管理器将被替换为可让用户重新启动其虚拟桌面或者将 Ctrl + Alt+ Delete 组合键传递到桌面会话的版本。
  • 在 Windows XP 用户设备上,Ctrl+Alt+Delete 组合键可调用替换任务管理器。
  • 用户设备模拟已断开连接或终止的会话的原因。例如,如果用户关闭虚拟桌面(导致会话结束),该设备也将关闭。

未加入域的安装主要由未加入 Active Directory 域的 Windows 终端供应商使用。在这些安装中:

  • 用户设备通过桌面设备站点访问 StoreFront 存储。
  • 可将用户设备配置为用户自动登录,并在 Kiosk 模式下启动 Internet Explorer。不显示域登录页面。
  • 唯一的接入点是桌面设备站点,可启动已分配的桌面组中第一个按字母顺序列出的可用桌面。
  • Windows 任务管理器的版本将 Ctrl+Alt+Delete 组合键传递到桌面会话。

多监视器支持

Desktop Lock 最多支持八个监视器。虚拟桌面将跨所有显示器显示。设备上的主显示器将成为虚拟桌面会话中的主显示器。

Desktop Lock 会话中的键盘输入

在 Desktop Lock 会话中,Windows 徽标键+L 键组合指向本地计算机。在大多数情况下,Ctrl+Alt+Delete 指向本地计算机。Shift+F2 不能用于将全屏桌面会话切换为窗口模式。但是,此组合键可以在桌面会话内的任何应用程序会话中使用。

Ctrl+Esc 和 Alt+Tab 发送到远程虚拟桌面。

激活粘滞键、筛选键和切换键(Microsoft 辅助功能)的按键始终指向本地计算机。
注意:Desktop Lock 对一些 Windows 组合键的处理方式与 Desktop Viewer 不同。Receiver 文档中包括有关 Desktop Viewer 的信息。

安装或删除 Desktop Lock

安装 Desktop Lock

下述过程将安装 Receiver for Windows 插件,以便使用 Desktop Lock 显示虚拟桌面。如果希望将包含在 Receiver 中的 Desktop Viewer 提供给用户使用,请不要使用此操作过程。

安装 Desktop Lock 时,系统将使用替换 shell。要在完成安装之后允许管理用户设备,需要从 Shell 替换阶段排除安装 CitrixDesktopLock.msi 所用的帐户。如果稍后删除了安装 CitrixDesktopLock.msi 所用的帐户,您将无法登录和管理该设备。

Citrix 不建议使用自定义 shell,因为它们可能会影响用于 Desktop Lock 会话的替换 shell。

用户必须使用域帐户才能通过 Desktop Lock 访问桌面。不能使用本地帐户。

  1. 以本地管理员身份登录计算机。
  2. 在命令提示窗口,使用以下语法运行 CitrixReceiverEnterprise.exe。此文件位于安装介质上的 Citrix Receiver and Plug-ins\Windows\Receiver 文件夹中:
    CitrixReceiverEnterprise.exe ADDLOCAL="ReceiverInside,ICA_Client,SSON,USB,DesktopViewer, Flash,PN_Agent,Vd3d" SERVER_LOCATION="my.server" ENABLE_SSON="Yes"

    有关此命令中使用的属性信息,请参阅 Receiver for Windows 文档中的主题使用命令行参数配置和安装 Receiver for Windows

  3. 输入虚拟桌面所在的 Services 站点的 URL。URL 的格式必须是 http://servername 或 https://servername。如果您使用硬件或软件进行负载平衡或故障转移,则可以输入负载平衡的地址。
    重要:请确保您输入的 URL 正确无误。如果键入的 URL 不正确,或者您将该字段保留为空,且用户在安装后收到提示时没有输入有效的 URL,则不会提供任何虚拟桌面或本地桌面。
  4. 在安装介质中,导航到 Citrix Receiver and Plug-ins\Windows\Receiver 文件夹,然后双击 CitrixDesktopLock.msi。此时将显示 Citrix Desktop Lock 向导。
  5. 阅读并接受 Citrix 许可协议,然后单击安装。此时将显示“安装进度”页面。
  6. 安装已完成对话框中,单击关闭
  7. 系统提示之后,重新启动用户设备。如果您尚未获得对某个桌面的访问权限,而是以域用户身份登录,则将使用 Desktop Lock 显示重新启动的设备。

移除 Desktop Lock

  1. 使用在安装 Desktop Lock 时所用的本地管理员凭据登录。
  2. 运行“控制面板”中的“添加/删除程序”实用程序。
  3. 删除 Citrix Desktop Lock
  4. 删除 Citrix ReceiverCitrix Receiver (Enterprise)

配置 Desktop Lock

重要:使用管理员帐户配置 Desktop Lock。该帐户必须是您安装时使用的帐户。
要使用组策略配置 Desktop Lock,请在计算机配置用户配置 > 管理模板 > 经典管理模板(ADM) > Citrix 组件下面加载以下 .adm 文件:
  • icaclient.adm:要获取此文件,请参阅启用智能卡
  • icaclient_usb.adm:此文件位于下列目录中:%SystemDrive%:\Program Files\Citrix\ICA Client\Configuration\en。

配置 Desktop Lock 时的注意事项

仅应向每位用户授予对一个运行 Desktop Lock 的虚拟桌面的访问权限。

请勿允许用户将虚拟桌面置于休眠状态。使用 Active Directory 策略阻止这一情况的发生。

配置 USB 首选项

当用户插入 USB 设备时,该设备将自动远程连接到虚拟桌面。无需执行任何用户交互。虚拟桌面负责控制 USB 设备并在用户界面中显示该设备。
  1. 通过启用 USB 策略规则打开 XenApp 或 XenDesktop 部署中的 USB 支持。有关详细信息,请参阅 USB 设备策略设置
  2. Citrix Receiver > 远程连接客户端设备 > 通用 USB 远程连接中,启用并配置现有 USB 设备新 USB 设备Desktop Viewer 中的 USB 设备列表策略。可以使用显示所有设备策略显示所有已连接的 USB 设备,包括使用通用 USB 虚拟通道(例如网络摄像机和内存条)的 USB 设备。

配置驱动器映射

Citrix Receiver > 远程连接客户端设备中,启用并配置客户端驱动器映射策略。

配置麦克风

Citrix Receiver > 远程连接客户端设备中,启用并配置客户端麦克风策略。

配置智能卡以与运行 Desktop Lock 的设备结合使用

更新日期:2015/03/05

本部分概述了如何准备 Citrix StoreFront、Citrix Desktop Lock 和桌面设备以与智能卡一起使用。

这些说明适用于 Citrix Receiver for Windows Enterprise 3.4 中包含的 Desktop Lock 版本。要配置 Citrix 4.2 中包含的 Desktop Lock 版本,请参阅 Receiver Desktop Lock 中的说明。

  1. 配置 StoreFront。有关详细信息,请参阅安装和设置 StoreFront
    1. 将 XML Service 配置为使用 DNS 地址解析,以获取 Kerberos 支持。
    2. 配置 StoreFront 站点以进行 HTTPS 访问、创建由域证书颁发机构签署的服务器证书,并向默认 Web 站点中添加 HTTPS 绑定。
    3. 确保已启用使用智能卡进行直通身份验证。默认情况下此选项处于启用状态。
    4. 启用 Kerberos
    5. 启用 Kerberos使用智能卡进行直通身份验证
    6. 在 IIS 默认 Web 站点上启用匿名访问并使用集成 Windows 身份验证
    7. 确保 IIS 默认 Web 站点不需要 SSL 并忽略客户端证书。
    8. 启用 XenApp Services 支持。
  2. 在用户设备上配置本地计算机策略。
    1. 使用组策略管理控制台导入 icaclient.adm 模板。模板位于 %Program Files%\Citrix\ICA Client\Configuration\。
    2. 依次展开管理模板 > 经典管理模板(ADM) > Citrix 组件 > Citrix Receiver > 用户身份验证
    3. 启用智能卡身份验证
    4. 启用本地用户名和密码
  3. 安装 Desktop Lock 之前,配置用户设备。
    1. 将 Delivery Controller 的 URL 添加到 Windows Internet Explorer 的可信站点列表中。
    2. 将第一个桌面组的 URL 添加到 Internet Explorer 的可信站点列表中。请使用以下格式:desktop://desktop-20group-20name。
    3. 启用 Internet Explorer 以使用可信站点的自动登录功能。
  4. 安装 Desktop Lock 之后,配置用户设备。
    1. 编辑注册表项 HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\PNAgent\ServerURL,以指向 Delivery Controller 的 PNAgent config.xml。
      警告:注册表编辑不当会导致严重问题,可能导致需要重新安装操作系统。Citrix 无法保证因“注册表编辑器”使用不当导致出现的问题能够得以解决。使用“注册表编辑器”需自担风险。在编辑注册表之前,请务必进行备份。

如果用户设备上已安装 Citrix Desktop Lock,则会强制执行一致的智能卡移除策略。例如,如果桌面的 Windows 智能卡移除策略设置为强制注销,则不管用户设备上的 Windows 智能卡移除策略设置为何,用户都必须从该用户设备注销。这样可确保用户设备处于一致状态。此行为仅适用于使用 Desktop Lock(而不是 Desktop Viewer)的用户设备。