安装和配置

安装核对表

开始安装之前,请完成以下列表中的步骤:

步骤
  选择您的环境中要在其中安装软件的计算机并将其准备好进行安装。请参阅系统要求
  安装服务所需的 TLS 证书和帐户。请参阅系统要求中的安全性和帐户要求
  安装许可证服务器或将其升级到最低版本 11.13.1.2。从 https://www.citrix.com/downloads/licensing.html 下载许可证服务器。有关详细信息,请参阅许可证服务器文档

安装和配置顺序

Citrix 建议您按以下顺序安装自助服务密码重置:

  1. 创建中央存储。请参阅创建中央存储
  2. 安装自助服务密码重置。要安装此服务并运行服务配置向导,您的登录帐户必须是域用户,并且属于服务器上的本地管理员组。有关详细信息,请参阅安装和配置自助服务密码重置
  3. 使用控制台配置自助服务密码重置。请参阅安装和配置自助服务密码重置
  4. 在 StoreFront 上配置自助服务密码重置。请参阅配置 StoreFront
  5. 确保自助服务密码重置配置已安全配置。请参阅安全配置

创建中央存储

出于安全原因,建议您直接在运行自助服务密码重置服务的计算机上创建中央存储。对于需要多个自助服务密码重置服务器的部署,如果自助服务密码重置服务器和托管共享的服务器都支持 SMB 加密,则可以将中央存储托管在远程网络共享上。

此功能仅在 Windows Server 2012 R2 或 Windows Server 2016 上可用。

创建数据代理帐户

创建一个要用作数据代理帐户的常规域用户。请勿将域管理员/本地管理员组中的用户设置为数据代理帐户。

为 Windows Server 2012 R2 或 Windows Server 2016 创建中央存储

为自助服务密码重置服务器和中央存储使用 Windows Server 2012 R2 或 Windows Server 2016 时,如果按照本部分中的说明进行配置,则可以使用远程网络共享。请务必选中 Encrypt data access(加密数据访问)并应用安全配置中提供的指南。

  1. 要启动 New Share(新建共享)向导,请打开服务器管理器。在 File and Storage Services(文件和存储服务)详细信息页面上,在左侧窗格中选择 Shares(共享),然后单击 Tasks(任务)> New Share(新建共享)

    新共享示意图

  2. 在左侧窗格中选择 Select Profile(选择配置文件),选择 SMB Share - Quick(SMB 共享 - 快速),然后单击 Next(下一步)。

    选择配置文件示意图

  3. 在左侧窗格中选择 Share Location(共享位置)。从列表中选择要在上面创建新共享的服务器以及要在上面创建新共享文件夹的卷,然后单击 Next(下一步)。

    共享位置示意图

  4. 在左侧窗格中选择 Share Name(共享名称),键入新共享名称,例如 CITRIXSYNC$,然后单击 Next(下一步)。

    共享名称示意图

  5. 在左侧窗格中选择 Other Settings(其他设置),选择 Encrypt data(加密数据),取消选中 Allow caching of share(允许缓存共享),然后单击 Next(下一步)。

    其他设置示意图

  6. 要自定义 Share(共享)权限,请在左侧窗格中选择 Permissions(权限),然后选择 Customize permissions(自定义权限)> Share(共享)

    自定义权限示意图

  7. 要自定义 NTFS 权限,请单击 Disable inheritence(禁用继承),然后选择 Convert inherited permissions into explicit permissions on this object(将已继承的权限转换为此对象的显式权限)。

    禁用继承示意图

  8. 单击 Permissions(权限)选项卡,删除除 CREATOR OWNER(创建者所有者)、Local Administrators(本地管理员)和 SYSTEM(系统)外的所有用户,并添加使用“Full Control”(完全控制)权限创建的数据代理帐户。

    删除用户示意图

  9. 单击 CREATOR OWNER(创建者所有者)并单击 Edit(编辑)以取消选中以下权限:

    • 完全控制

    • Delete subfolders and files(删除子文件夹和文件)

    • Change permissions(更改权限)

    • Take ownership(获取所有权)

    高级权限示意图

  10. 选择 Share(共享)选项卡,删除 Everyone(所有人),然后添加具有完全控制权限的数据代理帐户、本地管理员和域管理员。

    共享权限示意图

  11. 在“New Share”(新建共享)向导的左侧窗格中选择 Confirmation(确认),检查当前选中的共享设置,单击 Create(创建)开始执行创建新文件夹的过程,然后单击 Close(关闭)。

  12. CITRIXSYNC$ 共享文件夹下创建两个子文件夹 CentralStoreRootPeople

重要:请确保数据代理帐户对这两个子文件夹具有 Full Control(完全控制)权限。

必须为自助服务密码重置中央存储配置 EncryptData、RejectUnencryptedAccess 和 RequireSecuritySignature。有关更多配置信息,请参阅以下 Microsoft 文章: https://docs.microsoft.com/en-us/powershell/module/smbshare/set-smbserverconfiguration https://docs.microsoft.com/en-us/powershell/module/smbshare/set-smbshare

安装和配置自助服务密码重置

  1. 使用 Citrix Virtual Apps and Desktops 安装程序安装自助服务密码重置。

    CVAD 上的 SSPR 示意图

  2. 安装自助服务密码重置后,依次单击开始 > 所有程序 > Citrix > Citrix 自助服务密码重置配置以配置自助服务密码重置服务。
  3. 控制台打开时,请按照下面三个基本步骤配置此服务。

    SSPR 控制台示意图

服务配置

配置此服务之前,请确保您已创建中央存储、数据代理帐户和自助服务帐户。

  1. 在中间窗格中选择服务配置,然后在右侧窗格中单击新建服务配置

  2. 中央存储位置屏幕中,指定中央存储位置,然后单击下一步

    指定中央存储位置示意图

  3. 域配置屏幕中,选择要启用自助服务密码重置服务的域,然后单击属性

    指定域示意图

  4. 指定数据代理帐户用户名和密码以及自助服务帐户用户名和密码,然后单击确定

    指定用户名和密码示意图

  5. 单击下一步应用所有设置。

    应用所有设置示意图

  6. 单击完成以完成配置。

    单击“完成”示意图

用户配置

  1. 在左侧窗格中选择用户配置,然后在右侧窗格中单击新建用户配置

  2. 命名用户配置屏幕中,定义自助服务密码服务目标用户组,从 Active Directory 中添加用户/组/OU,然后单击下一步

    用户配置示意图

  3. 配置许可屏幕上,指定许可证服务器,然后单击下一步

    许可配置示意图

  4. 启用自助服务密码重置屏幕上,使用复选框指定用户是否能够在没有管理员介入的情况下重置其 Windows 密码和解锁其域帐户,指定服务端口和地址,然后单击创建

    启用密码重置示意图

有关管理用户配置的详细信息,请参阅管理用户配置

身份验证

  1. 在左侧窗格中选择身份验证节点,然后在右侧窗格中单击管理问题
  2. 基于问题的身份验证屏幕上,选择默认语言,使用复选框启用或禁用屏蔽安全问题答案的功能,然后单击下一步
  3. 安全问题屏幕上,单击添加问题,在文本框中键入问题,单击确定,然后单击下一步
  4. 调查表屏幕中,单击添加并选择一个问题。可以使用上移下移按钮重新整理您的问题和问题组。完成此页面上的操作后,单击创建确定

有关管理身份验证问题的详细信息,请参阅管理身份验证问题

管理用户配置

通过用户配置,您可以控制用户登录 StoreFront 时界面的行为和外观。创建新用户配置是您在向环境中的用户分发自助服务密码重置之前执行的最后一个步骤。您可以随时编辑现有用户配置。

用户配置是您对与 Active Directory 层级结构(组织单位 [OU] 或单个用户)或 Active Directory 组相关联的用户应用的唯一设置集合。

用户配置由以下各项组成:

  • 与 Active Directory 域层级结构(OU 或单个用户)或 Active Directory 组相关联的用户

重要:处于 Active Directory 混合模式的通讯组和域本地组不受支持。

  • 许可证服务器
  • 自助服务功能(帐户解锁和密码重置)

创建用户配置之前,请确保您已创建或定义以下各项:

  • 中央存储
  • 服务配置

要创建用户配置,请执行以下操作:

  1. 依次单击开始 > 所有程序 > Citrix > Citrix 自助服务密码重置配置
  2. 在左窗格中,选择用户配置节点。
  3. 操作菜单中,单击添加新用户配置

要添加用户、OU 或组,请执行以下操作:

用户配置向导的命名用户配置页面允许您将用户配置关联到用户。

用户配置关联:

您有两种选项:根据 Active Directory 层级结构(OU 或单个用户)或 Active Directory 组关联用户。如有必要,以后可以通过单击操作菜单中的编辑用户配置将用户配置与其他层次结构或组相关联。

将用户配置与组相关联仅在使用 Active Directory 身份验证的 Active Directory 域中受支持。

命名用户配置页面上选择 OU、用户或组(从“添加新用户配置”或“编辑用户配置”向导中)。

注意: 建议您不要将任何特权帐户(例如,本地管理员或域管理员)包括在自助服务密码重置帐户能够重置其密码的用户组中。请使用新的专用组。

要配置许可,请执行以下操作:

用户配置向导的配置许可页面允许您配置自助服务密码重置服务使用的许可证服务器。

注意:仅当您安装了 Citrix Virtual Apps 或 Citrix Virtual Desktops Platinum Edition 时才能使用解锁和重置功能。

配置许可页面上输入许可证服务器名称和端口号(从“添加新用户配置”或“编辑用户配置”向导中)。

要启用解锁或重置功能,请执行以下操作:

自助服务密码重置允许用户在没有管理员介入的情况下重置其 Windows 密码以及解锁其域帐户。在启用自助服务密码重置页面上,可以选择要启用的功能。

启用自助服务密码重置页面上选择希望用户使用的功能:解锁重置(从“添加新用户配置”或“编辑用户配置”向导中)。

要配置黑名单,请执行以下操作:

IT 管理员可以向黑名单中添加用户和组。黑名单中的用户和组不能使用任何自助服务密码重置功能,包括注册、帐户解锁和密码重置。此外,黑名单中的用户在登录后看不到 Citrix Workspace 应用程序上的任务按钮。

要配置黑名单,请执行以下操作:

  1. 依次单击开始 > 所有程序 > Citrix > Citrix 自助服务密码重置配置
  2. 在左侧窗格中选择用户配置,然后在右侧窗格中单击黑名单配置
  3. 使用添加删除按钮在黑名单中添加和删除用户或组。

管理身份验证问题

Citrix 自助服务密码重置配置控制台的身份验证向您提供了一个用于管理与身份验证、自助服务密码重置和帐户解锁相关联的所有安全问题的中央位置。可以在默认问题列表中自定义您自己的安全问题以及创建问题组。

  • 如果您在用户注册其答案后编辑现有的默认问题,请注意所编辑的问题的含义。编辑问题不会强制用户重新注册。但是,如果您更改了问题的含义,最初回答该问题的用户可能无法提供正确的答案。
  • 在注册用户后添加、删除和替换安全问题意味着以前使用较旧的一组问题注册的所有用户在重新注册之前将无法进行身份验证和重置密码。用户在 Citrix Workspace 应用程序中打开“任务”时必须回答一组新问题。
  • 单个安全问题可以属于多个安全问题组。创建安全问题组时,创建的所有问题都可在任何安全问题组中使用。

请按照以下步骤进行操作,访问以下过程中引用的设置:

  1. 依次单击开始 > 所有程序 > Citrix > Citrix 自助服务密码重置配置
  2. 在左窗格中,选择身份验证节点。
  3. 操作菜单中,单击管理问题

要设置默认语言,请执行以下操作:

在大多数情况下,用户会看到安全问题使用与其当前用户配置文件关联的语言显示。如果该语言不可用,自助服务密码重置将使用您指定的默认语言显示问题。

  1. 依次单击开始 > 所有程序 > Citrix > Citrix 自助服务密码重置配置
  2. 在左窗格中,选择身份验证节点。
  3. 操作菜单中,单击管理问题
  4. 基于问题的身份验证页面上的默认语言下拉列表中,选择默认语言。

启用安全答案屏蔽,请执行以下操作:

安全答案屏蔽功能在您的用户注册其安全问题答案或在身份验证过程中提供答案时增加了用户的安全级别。启用此功能时,用户的答案被隐藏。答案注册过程中,系统会要求这些用户键入其答案两次以避免出现键入和拼写错误。身份验证过程中用户仅键入其答案一次,因为系统会在出现错误时提示其重试。

基于问题的身份验证页面上选择屏蔽安全问题的答案

创建新安全问题,请执行以下操作:

可以创建多个不同的问题并为每个问题指定一种语言。还可以提供一个问题的多种翻译。Citrix Workspace 应用程序中的“注册”会使用与用户的配置文件的语言设置相对应的语言向用户提供调查表。如果该语言不可用,自助服务密码重置将使用默认语言显示问题。

注意:指定安全问题的语言时,问题将向操作系统设置是针对该指定语言配置的用户显示。如果选定的操作系统设置与任何可用的问题不匹配,则向用户显示您所选择的默认语言。

  1. 安全问题页面上的语言下拉列表中,选择一种语言并单击添加问题。此时将显示“安全问题”对话框。
  2. 安全问题对话框中创建新问题。

重要:请使用编辑按钮将所翻译的现有问题的文本包括在内。如果选择添加问题,您将创建与原始问题不关联的新问题。

添加或编辑现有问题的文本,请执行以下操作:

在注册用户后添加、删除和替换安全问题意味着以前使用较旧的一组问题注册的所有用户在重新注册之前将无法进行身份验证和重置密码。用户在 Citrix Workspace 应用程序中打开“任务”时必须回答一组新问题。编辑某个问题不会强制重新注册用户。

重要:如果要编辑现有问题,请务必不要改变问题的含义。这可能会导致重新身份验证过程中用户答案中出现不一致。即,用户可能会提供与存储的答案不匹配的其他答案。

  1. 安全问题页面上的语言下拉框中选择一种语言。
  2. 选择问题并单击编辑
  3. 编辑安全问题对话框中的问题。

创建安全问题组,请执行以下操作:

可以创建用户在确认其身份时需要回答的一些安全问题。添加到调查表中的每个问题必须由您的用户回答。但是,您还可以将这些问题编组到一个安全问题组中。

例如,将问题放置到组中可使您能够向调查表中添加一组六个问题,并且允许您的用户从该问题组中选择回答其中的三个问题(举例说明)。这使您的用户能够灵活地选择问题和提供用于身份验证的答案。

  1. 安全问题页面上单击添加组
  2. 安全问题组对话框中,命名该组,选择问题,然后设置用户必须回答的问题数量。

编辑安全问题组,请执行以下操作:

选择要编辑的安全组,然后单击安全问题页面上的编辑。此时将显示“安全问题组”对话框,其中包含可作为安全问题组的一部分的安全问题列表。当前在组中的问题通过复选标记指示。您可以在此编辑组的名称、向组中添加问题以及选择此组中用户必须回答的问题数量。

添加或删除现有调查表,请执行以下操作:

在调查表中添加或删除安全问题和问题组。按照要向用户显示的顺序上下移动问题。如果更改了调查表,应通知用户在登录 StoreFront 后执行重新注册任务。

  1. 单击调查表页面上的添加可向调查表中添加问题或组。
  2. 单击删除可从调查表中删除问题。
  3. 单击上移下移可管理向用户提供的问题。

导入或导出安全问题,请执行以下操作:

可以导入或导出安全问题和组的数据。

  1. 依次单击开始 > 所有程序 > Citrix > Citrix 自助服务密码重置配置
  2. 在左窗格中,选择身份验证节点。
  3. 操作菜单中,单击以下选项之一:

    导入安全问题 指定文件位置以导入安全问题和组的数据。

    导出安全问题 指定文件位置以导出安全问题和组的数据。

安装和配置