Usar perfiles de Windows con Password Manager y Single Sign-On
Este artículo no contiene ningún tipo de información específica sobre Profile Management. Le explica cómo configurar algunas opciones de Windows para que Citrix Single Sign-On funcionen de manera óptima con los perfiles locales, itinerantes, obligatorios e híbridos. Este tema es aplicable a Citrix Single Sign-On 4.8 o 5.0.
Perfiles locales
Los perfiles locales se almacenan en el servidor local en el que ha iniciado sesión el usuario. Password Manager y Single Sign-On guardan información del Registro en el subárbol HKEY_CURRENT_USER\SOFTWARE\Citrix\MetaFrame Password Manager
del Registro del usuario ubicado en:
%SystemDrive%\Documents and Settings\%username%\NTUSER.DAT.
Los archivos también se guardan en:
%SystemDrive%\Documents and Settings\%username%\Application Data\Citrix\MetaFrame Password Manager.
En Windows 7, Single Sign-On utiliza:
%APPDATA%\Roaming\Citrix\MetaFrame Password Manager
Importante: Es muy importante que Single Sign-On tenga acceso de control total para los siguientes archivos:
Nombre del archivo | Descripción |
---|---|
%username%.mmf | Archivo de información de las credenciales del usuario con punteros al archivo aelist.ini. |
entlist.ini | Archivo de definición de aplicación creado a nivel empresarial en el punto de sincronización o en Active Directory. |
aelist.ini | Archivo de definición de aplicación creado al combinar el archivo de definición de aplicación local (applist.ini) y las definiciones de aplicación de la organización (entlist.ini). |
Perfiles itinerantes
Los perfiles itinerantes se guardan en un punto compartido de red y se sincronizan mediante una copia a un servidor local cada vez que el usuario inicia sesión. Entre las características de una implementación de perfil itinerante exitosa se encuentran una conectividad de red de alta velocidad, como SAN (red de área de sistema) o NAS (almacenamiento de área de red). Otras implementaciones comunes consisten en soluciones de clústeres, donde los perfiles se almacenan en servidores de alta disponibilidad.
Existen dos problemas que afectan a las implementaciones de perfiles obligatorios:
- Solo puede usarse un perfil itinerante con un punto de sincronización de archivos. Cuando se utilizan varios puntos de sincronización, pueden dañarse los datos incluidos en el archivo de memoria asignada (MMF).
- Cuando se usan perfiles itinerantes con varias sesiones simultáneas, comparten el mismo MMF central. Esto significa que todas las sesiones activas comparten algunos datos de sesión comunes, como contadores de bloqueo de reintentos, contadores de último acceso a los datos y entradas en el registro de eventos.
Perfiles obligatorios o híbridos
Por definición, los perfiles obligatorios son perfiles del usuario de solo lectura. Single Sign-On necesita permisos de escritura para la carpeta del perfil en Application Data. En los perfiles obligatorios, un usuario puede realizar cambios, pero estos no se guardan en el perfil al cerrar la sesión. Para que Single Sign-On funcione correctamente con los perfiles obligatorios, debe redirigirse la carpeta Application Data.
Los cambios se escriben en el Registro cada vez que el usuario inicia sesión. Se sincroniza la información de credenciales con el punto de sincronización, pero los cambios no se guardan en el perfil.
A partir de Windows 2000, Microsoft ofrece un mecanismo para redirigir la carpeta Application Data. Sin embargo, el uso de dominios Windows NT4 requiere scripts de inicio de sesión capaces de modificar la ubicación de la carpeta Application Data. Puede lograrlo con herramientas como Kix
o VBScript
para definir una ubicación con permisos de escritura para la carpeta Application Data.
El siguiente ejemplo utiliza Kix
para redirigir la carpeta Application Data durante el inicio de sesión del usuario:
Importante: Este script de ejemplo sirve solo a efectos informativos. No lo use en su entorno sin probarlo antes.
``` pre codeblock
$LogonServer = “%LOGONSERVER%” $HKCU = “HKEY_CURRENT_USER” $ShellFolders_Key = “$HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders” $UserShellFolders_Key = “$HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders” $UserProfFolder = “$LogonServer\profiles@userID” $UserAppData = “$LogonServer\profiles@userID\Application Data” $UserDesktop = “$LogonServer\profiles@userID\Desktop” $UserFavorites = “$LogonServer\profiles@userID\Favorites” $UserPersonal = “X:\My Documents” $UserRecent = “$LogonServer\profiles@userID\Recent” if (exist(“$UserAppData”) = 0) shell ‘%ComSpec% /c md “$UserAppData”’ endif if (exist(“$UserDesktop”) = 0) shell ‘%ComSpec% /c md “$UserDesktop”’ endif if (exist(“$UserRecent”) = 0) shell ‘%ComSpec% /c md “$UserRecent”’ endif if (exist(“$UserFavorites”) = 0) shell ‘%ComSpec% /c md “$UserFavorites”’ endif ```
El perfil híbrido es otra solución para el problema del perfil obligatorio. Cuando el usuario inicia sesión, se carga el perfil obligatorio y una aplicación personalizada carga y descarga subárboles del registro de usuario basados en las aplicaciones disponibles para el usuario. Al igual que en el caso de los perfiles obligatorios, el usuario puede modificar esas partes del registro durante una sesión. En comparación con los perfiles obligatorios, la diferencia consiste en que los cambios se guardan cuando el usuario cierra sesión, y se vuelven a cargar al iniciar sesión nuevamente.
Si se utiliza un perfil híbrido, deben importarse y exportarse las claves del Registro HKEY_CURRENT_USER\SOFTWARE\Citrix\MetaFrame Password
como parte del proceso de inicio y cierre de sesión.
Redirección de carpetas
La redirección de carpetas se implementa con objetos de directiva de grupo y Active Directory. Utiliza directivas de grupo para definir la ubicación de las carpetas que forman parte del perfil del usuario.
Pueden redirigirse cuatro carpetas:
- Mis documentos
- Datos de programa
- Escritorio
- Menú Inicio
Pueden configurarse dos modos de redirección a través de las directivas de grupo: redirección básica y redirección avanzada. Ambos son compatibles con Single Sign-On. En Windows 2000, debe hacer referencia al recurso compartido que almacena los datos de la aplicación con la variable de %username%
, (por ejemplo, \\servername\sharename\%username%).
La redirección de carpetas es global para el usuario, y afecta a todas sus aplicaciones. Esto significa que debe existir compatibilidad con todas las aplicaciones que utilizan la carpeta Application Data.
Para obtener más información sobre la redirección de carpetas, lea los siguientes artículos de Microsoft:
HOW TO: Dynamically Create Secure Redirected Folders By Using Folder Redirections
Folder Redirection Feature in Windows
Enabling the Administrator to Have Access to Redirected Folders
Prácticas recomendadas
- Redirija las carpetas Application Data siempre que sea posible. Este enfoque mejora el rendimiento de la red y elimina la necesidad de copiar los datos en esas carpetas cada vez que un usuario inicia sesión.
- Al resolver problemas de Password Manager Agent, siempre verifique que el usuario que inició sesión posea permiso de control total sobre su carpeta Application Data.