安装和配置

安装清单

在开始安装之前，请完成此清单：

安装和配置顺序

Citrix® 建议您按以下顺序安装 Self-Service Password Reset：

1. 创建中央存储。请参阅创建中央存储。
2. 安装 Self-Service Password Reset。要安装服务并运行服务配置向导，您的登录帐户必须是域用户，并且属于服务器上的本地管理员组。有关详细信息，请参阅安装和配置 Self-Service Password Reset。
3. 使用控制台配置 Self-Service Password Reset。请参阅安装和配置 Self-Service Password Reset。
4. 在 StoreFront 上配置 Self-Service Password Reset。请参阅配置 StoreFront。
5. 确保您的 Self-Service Password Reset 配置已安全配置。请参阅安全配置。

创建中央存储

出于安全原因，我们建议您直接在运行 Self-Password Reset 服务的计算机上创建中央存储。对于需要多个 Self-Password Reset 服务器的部署，如果 Self-Service Password Reset 服务器和托管共享的服务器都支持 SMB 加密，则可以在远程网络共享上托管中央存储。

此功能仅适用于 Windows Server 2012 R2 或 Windows Server 2016。

创建数据代理帐户

创建一个普通域用户作为数据代理帐户。请勿将域管理员/本地管理员组中的用户设置为数据代理帐户。

为 Windows Server 2012 R2 或 Windows Server 2016 创建中央存储

当 Self-Service Password Reset 服务器和中央存储都使用 Windows Server 2012 R2 或 Windows Server 2016 时，如果按照本节所述进行配置，则可以使用远程网络共享。确保已选择加密数据访问，并应用安全配置中提供的指导。

1. 要启动新建共享向导，请打开服务器管理器。在文件和存储服务详细信息页面中，在左窗格中选择共享，然后单击任务 > 新建共享。

   

   • 1. 在左窗格中选择选择配置文件，选择 SMB 共享 - 快速，然后单击下一步。
   • 

2. 在左窗格中选择共享位置。从列表中，选择要在其上创建新共享的服务器以及要在其上创建新共享文件夹的卷，然后单击下一步。

   

3. 在左窗格中选择共享名称，键入新共享的名称，例如 CITRIXSYNC$，然后单击下一步。

   

4. 在左窗格中选择其他设置，选择加密数据，取消选择允许共享缓存，然后单击下一步。

   

5. 要自定义共享权限，请在左窗格中选择权限，然后选择自定义权限 > 共享。

   

6. 要自定义 NTFS 权限，请单击禁用继承，然后选择将继承的权限转换为此对象上的显式权限。

   

7. 单击权限选项卡，删除除 CREATOR OWNER、本地管理员和 SYSTEM 之外的所有用户，然后添加具有完全控制权限的数据代理帐户。

   

8. 选择 CREATOR OWNER，然后单击编辑以取消选中以下权限：

   • 完全控制

   • 删除子文件夹和文件

   • 更改权限

   • 获取所有权

   

9. 选择共享选项卡，移除所有人，然后添加具有完全控制权限的数据代理帐户、本地管理员和域管理员。

   

10. 在新共享向导的左侧窗格中选择确认，查看当前选定的共享设置，然后单击创建以开始创建新文件夹的过程，再单击关闭。

11. 在 CITRIXSYNC$ 共享文件夹下创建两个子文件夹：CentralStoreRoot 和 People。

重要提示：确保数据代理帐户对这两个子文件夹具有完全控制权限。

• 您必须为自助密码重置中央存储配置 EncryptData、RejectUnencryptedAccess 和 RequireSecuritySignature。有关更多配置信息，请参阅以下 Microsoft 文章：

https://docs.microsoft.com/en-us/powershell/module/smbshare/set-smbserverconfiguration

• https://docs.microsoft.com/en-us/powershell/module/smbshare/set-smbshare

安装和配置自助密码重置

• 1. 使用 Citrix Virtual Apps and Desktops™ 安装程序安装自助密码重置。

  

1. 安装自助密码重置后，单击开始 > 所有程序 > Citrix > Citrix Self-Service Password Reset Configuration 以配置 Citrix 自助密码重置服务。

2. 控制台打开后，按照以下三个基本步骤配置服务。

   

服务配置

在配置服务之前，请确保您已创建中央存储、数据代理帐户和自助服务帐户。

1. 在中间窗格中选择服务配置，然后单击右侧窗格中的新建服务配置。

2. 在中央存储位置屏幕上，指定中央存储位置，然后单击下一步。

   

3. 在域配置屏幕上，选择要启用自助密码重置服务的域，然后单击属性。

   

4. 指定数据代理帐户的用户名和密码以及自助服务帐户的用户名和密码，然后单击确定。

   

• 1. 单击下一步以应用所有设置。
• 

1. 单击完成以完成配置。

   

用户配置

1. 在左侧窗格中，选择用户配置，然后单击右侧窗格中的新建用户配置。

2. 在命名用户配置屏幕上，定义自助密码服务目标用户组，从 Active Directory 添加用户/组/OU，然后单击下一步。

   

3. 在配置许可屏幕上，指定许可证服务器，然后单击下一步。

   

4. 在启用自助密码重置屏幕上，使用复选框指定用户是否可以在没有管理员干预的情况下重置其 Windows 密码和解锁其域帐户，指定服务端口和地址，然后单击创建。

   

有关管理用户配置的详细信息，请参阅管理用户配置。

身份验证

1. 在左窗格中，选择“身份验证”节点，然后在右窗格中单击“管理问题”。
2. 在“基于问题的身份验证”屏幕上，选择默认语言，使用复选框启用或禁用安全问题答案的掩码，然后单击“下一步”。
3. 在“安全问题”屏幕上，单击“添加问题”，在文本框中键入问题，单击“确定”，然后单击“下一步”。
4. 在“问卷”屏幕上，单击“添加”，然后选择一个问题。可以使用“上移”和“下移”按钮重新组织问题和组。完成此页面后，单击“创建”和“确定”。

有关管理身份验证问题的详细信息，请参阅管理身份验证问题。

管理用户配置

用户配置使管理员能够控制用户登录 Storefront 时界面的行为和外观。创建新配置是在环境中向用户分发 Self-Service Password Reset 之前的最后一步。可以随时编辑现有用户配置。

用户配置是设置的唯一集合，可将其应用于与 Active Directory 层次结构（组织单位 [OU] 或单个用户）或 Active Directory 组关联的用户。

用户配置包含以下内容：

• 与 Active Directory 域层次结构（OU 或单个用户）或 Active Directory 组关联的用户

重要提示：不支持 Active Directory 混合模式下的通讯组和域本地组。

• 许可证服务器
• 自助服务功能（帐户解锁和密码重置）

在创建用户配置之前，请确保已创建或定义以下内容：

• 中央存储
• 服务配置

创建用户配置：

1. 单击“开始”>“所有程序”>“Citrix”>“Citrix Self-Service Password Reset Configuration”。
2. 在左窗格中，选择“用户配置”节点。
3. 从“操作”菜单中，单击“添加新用户配置”。

添加用户、OU 或组：

“用户配置”向导的“命名用户配置”页面允许将用户配置与用户关联。

用户配置关联：

有两种选择：根据 Active Directory 层次结构（OU 或单个用户）或 Active Directory 组关联用户。如有必要，以后可以通过单击“操作”菜单中的“编辑用户配置”将用户配置与不同的层次结构或组关联。

仅在使用 Active Directory 身份验证的 Active Directory 域中支持将用户配置与组关联。

在“命名用户配置”页面（从“添加新用户配置”或“编辑用户配置”向导中）选择 OU、用户或组。

注意：建议不要在 Self-Service Password Reset 帐户可以重置密码的用户组中包含任何特权帐户（例如，本地管理员或域管理员）。请使用新的专用组。

配置许可：

“用户配置”向导的“配置许可”页面允许配置 Self-service Password Reset 服务使用的许可证服务器。

注意：仅当拥有 Citrix Virtual Apps 或 Citrix Virtual Desktops™ Platinum Edition 时，才能使用解锁和重置功能。

在“配置许可”页面（从“添加新用户配置”或“编辑用户配置”向导中）输入许可证服务器名称和端口号。

启用解锁或重置功能：

Self-Service Password Reset 允许用户重置其 Windows 密码并解锁其域帐户，而无需管理员干预。在“启用 Self-Service Password Reset”页面上，可以选择要启用的功能。

在“启用 Self-Service Password Reset”页面（从“添加新用户配置”或“编辑用户配置”向导中）选择要让用户使用的功能：“解锁”或“重置”。

配置黑名单：

IT 管理员可以将用户和组添加到黑名单。黑名单中的用户和组无法使用任何 Self-Service Password Reset 功能，包括注册、帐户解锁和密码重置。此外，黑名单中的用户登录后无法在 Citrix Workspace™ 应用程序上看到“任务”按钮。

配置黑名单：

1. 单击“开始”>“所有程序”>“Citrix”>“Citrix Self-Service Password Reset Configuration”。
2. 在左窗格中，选择“用户配置”，然后在右窗格中单击“黑名单配置”。
3. 使用“添加”和“删除”按钮将用户或组添加到黑名单或从黑名单中删除。

管理身份验证问题

Citrix 自助密码重置配置控制台的身份验证功能为您提供了一个集中位置，用于管理与身份验证、自助密码重置和帐户解锁相关联的所有安全问题。您可以自定义自己的安全问题，将其添加到默认问题列表中，并创建问题组。

• 如果在用户注册其答案后编辑现有默认问题，请考虑编辑后问题的含义。编辑问题不会强制用户重新注册。但是，如果您更改了问题的含义，则最初回答该问题的用户可能无法提供正确答案。
• 在用户注册后添加、删除和替换安全问题意味着，以前使用旧问题集注册的所有用户在重新注册之前无法进行身份验证和重置其密码。当用户在 Citrix Workspace 应用程序中打开“任务”时，必须回答新问题集。
• 单个安全问题可以属于多个安全问题组。当您创建安全问题组时，您创建的所有问题都可用于任何安全问题组。

使用以下步骤访问以下过程中引用的设置：

1. 单击“开始”>“所有程序”>“Citrix”>“Citrix Self-Service Password Reset Configuration”。
2. 在左窗格中，选择“身份验证”节点。
3. 从“操作”菜单中，单击“管理问题”。

设置默认语言：

在大多数情况下，用户会看到以与其当前用户配置文件关联的语言显示的安全问题。如果该语言不可用，自助密码重置会以您指定的默认语言显示问题。

1. 单击“开始”>“所有程序”>“Citrix”>“Citrix Self-Service Password Reset Configuration”。
2. 在左窗格中，选择“身份验证”节点。
3. 从“操作”菜单中，单击“管理问题”。
4. 在“基于问题的身份验证”页面上，从“默认语言”下拉列表中选择默认语言。

启用安全答案掩码：

安全答案掩码在用户注册其安全问题答案或在身份验证期间提供答案时，为您的用户提供了额外的安全级别。启用此功能后，用户的答案将被隐藏。在答案注册过程中，这些用户需要输入两次答案，以避免输入和拼写错误。用户在身份验证期间只需输入一次答案，因为如果出现错误，系统会提示他们重试。

在“基于问题的身份验证”页面上，选中“掩码安全问题答案”。

创建新安全问题：

您可以创建许多不同的问题，并为每个问题指定一种语言。您还可以为单个问题提供多种翻译。Citrix Workspace 应用程序中的注册会以与用户配置文件语言设置对应的语言向用户显示问卷。如果该语言不可用，自助密码重置会以默认语言显示问题。

注意：当您为安全问题指定语言时，该问题会显示给其操作系统设置为该指定语言的用户。如果所选操作系统设置与任何可用问题不匹配，系统会向用户显示您选择的默认语言。

1. 在“安全问题”页面上，从“语言”下拉列表中选择一种语言，然后单击“添加问题”。“安全问题”对话框随即出现。
2. 在“安全问题”对话框中创建新问题。

重要提示：使用“编辑”按钮可包含现有问题的翻译文本。如果您选择“添加问题”，则表示您正在创建一个与原始问题不关联的新问题。

添加或编辑现有问题的文本：

在用户注册后添加、删除和替换安全问题意味着，以前使用旧问题集注册的所有用户在重新注册之前无法进行身份验证和重置其密码。当用户在 Citrix Workspace 应用程序中打开“任务”时，必须回答新问题集。编辑问题不会强制用户重新注册。

重要提示：如果您正在编辑现有问题，请注意不要更改问题的含义。这可能会导致在重新身份验证期间用户答案不匹配。也就是说，用户可能会提供一个与存储答案不匹配的不同答案。

1. 在“安全问题”页面上，从“语言”下拉框中选择一种语言。
2. 选择问题，然后单击“编辑”。
3. 在“安全问题”对话框中编辑问题。

创建安全问题组：

您可以创建一些安全问题，用户回答这些问题以确认其身份。您添加到问卷中的每个问题都必须由用户回答。但是，您也可以将这些问题分组到一个安全问题组中。

例如，将问题分组可让您向问卷添加一组六个问题，并允许用户从该问题组中进行选择，例如，回答六个问题中的三个。这为用户在选择问题和提供用于身份验证的答案方面提供了灵活性。

1. 在“安全问题”页面上，单击“添加组”。
2. 在“安全问题组”对话框中，命名组、选择问题，并设置用户必须回答的问题数量。

编辑安全问题组：

选择要编辑的安全组，然后在“安全问题”页面上单击“编辑”。“安全问题组”对话框随即出现，其中包含可作为组一部分的安全问题列表。组中当前的问题由复选标记指示。在此处，您可以编辑组的名称、向组中添加问题，并选择用户必须回答的此组中的问题数量。

添加或删除现有问卷：

从问卷中添加或删除安全问题和问题组。向上和向下移动问题，以调整向用户显示的顺序。如果问卷已更改，请通知用户在登录 Storefront 后执行重新注册任务。

1. 在“问卷”页面上，单击“添加”以将问题或组添加到问卷。
2. 单击“删除”以从问卷中删除问题。
3. 单击“上移”或“下移”以管理向用户显示的问题。

导入或导出安全问题：

您可以导入或导出安全问题和组的数据。

1. 单击“开始”>“所有程序”>“Citrix”>“Citrix Self-Service Password Reset Configuration”。
2. 在左窗格中，选择“身份验证”节点。

3. 从“操作”菜单中，单击以下选项之一：

   导入安全问题 指定文件位置以导入安全问题和组的数据。

   导出安全问题 指定文件位置以导出安全问题和组的数据。