Product Documentation

规划帐户和信任关系

Sep 14, 2015

考虑用户将如何访问资源。如果多个服务器托管同一个已发布应用程序,当用户访问该资源时可能被连接到其中任一服务器。因此,如果用户不具有对所有服务器的访问权限,则可能无法访问该资源。为了避免此问题,可能需要在用户或服务器之间建立域信任关系。

此外,在具有多个非受信任域的场中,当对服务器进行负载平衡时,可以实现将用户路由至其不具有访问权限的域中的服务器上。要确保仅将用户路由至其具有访问权限的域中的服务器上:

  • 请在每个域中发布应用程序的副本,并允许用户仅访问其具有访问权限的域中的应用程序的副本。
  • 创建工作组首选项和故障转移策略以将用户路由至其具有访问权限的域中的服务器上。

系统帐户注意事项

确定如何配置 Citrix 管理员帐户时,请注意以下事项:
  • 对于服务器场,必须始终存在一个具有完全权限的管理员帐户。Citrix XenApp 禁止您删除最后一个完全权限管理员帐户。但是,如果场数据存储数据库中没有管理员帐户,则可以通过本地管理员帐户登录 AppCenter 来设置 Citrix 管理员帐户。
  • 要创建有效的 Citrix 管理员帐户,请确保要添加为 Citrix 管理员的所有用户都是场所在域的域用户。对于负责创建服务器快照的 Citrix 管理员用户,还必须在他们为其创建快照的每个服务器上,授予他们 Windows Management Instrumentation (WMI) 用户权限。

包括其他域中的服务器

XenApp 支持基于信任的路由;彼此不信任的域中的服务器可以是同一个场的成员。

当服务器需要在不信任的域中执行下列任一操作时,可通过数据存储确定哪些服务器可执行该操作,并将请求路由到可访问性最高的服务器:
  • 对 Citrix 管理员进行身份验证
  • 在 Web Interface 中刷新显示或启动应用程序
  • 枚举用户和组
  • 在向已发布应用程序、打印机自动创建列表添加用户或定义新的 Citrix 管理员时解析用户或组

如果起始服务器不具有必需的域信任关系,则会将应用程序枚举请求路由到具有此关系的服务器。

用域帐户替代用户帐户

默认情况下,XenApp 会创建本地帐户来运行以下 XenApp 服务:

XenApp 服务 默认的本地用户帐户
Citrix CPU Utilization Mgmt/CPU Rebalancer ctx_cpuuser
Web Interface 服务的配置管理器 Ctx_ConfigMgr

如果您希望将本地帐户更改为域帐户,Citrix 强烈建议您在安装 XenApp 前执行。不支持在安装后更改服务帐户。

以域管理员身份安装 XenApp,以确保帐户正确创建。如果您准备更改服务的帐户,并且您的场包含多个域中的服务器,则这些域彼此间必须具有信任关系。