Richtlinien vergleichen, priorisieren, modellieren und Fehler beheben
Sie können mehrere Richtlinien verwenden, um Ihre Umgebung an die Bedürfnisse der Benutzer anzupassen, basierend auf deren Aufgaben, geografischen Standorten oder Verbindungstypen. Beispielsweise können Sie zur Verbesserung der Sicherheit Einschränkungen für Benutzergruppen festlegen, die regelmäßig mit sensiblen Daten interagieren.
Sie können auch eine Richtlinie erstellen, die Benutzer daran hindert, sensible Dateien auf ihren lokalen Clientlaufwerken zu speichern. Wenn jedoch einige Benutzer in der Benutzergruppe Zugriff auf ihre lokalen Laufwerke benötigen, können Sie eine weitere Richtlinie nur für diese Benutzer erstellen. Anschließend ordnen Sie die beiden Richtlinien nach Rang oder priorisieren sie, um zu steuern, welche Vorrang hat. Bei der Verwendung mehrerer Richtlinien müssen Sie Folgendes festlegen:
- Wie die Richtlinien zu priorisieren sind
- Wie Ausnahmen zu erstellen sind
- Wie die effektive Richtlinie angezeigt wird, wenn Richtlinien in Konflikt stehen.
Im Allgemeinen überschreiben Richtlinien ähnliche Einstellungen, die für die gesamte Site, für bestimmte Delivery Controller oder auf dem Benutzergerät konfiguriert sind. Die Ausnahme von diesem Prinzip ist die Sicherheit. Die höchste Verschlüsselungseinstellung in Ihrer Umgebung überschreibt immer andere Einstellungen und Richtlinien. Die höchste Verschlüsselungseinstellung umfasst das Betriebssystem und die restriktivsten Shadowing-Einstellungen.
Citrix®-Richtlinien interagieren mit Richtlinien, die Sie in Ihrem Betriebssystem festlegen. In einer Citrix-Umgebung überschreiben Citrix-Einstellungen dieselben Einstellungen, die in einer Active Directory-Richtlinie oder mithilfe der Remote Desktop Session Host-Konfiguration konfiguriert sind. Diese Einstellung umfasst Einstellungen, die sich auf typische Clientverbindungseinstellungen des Remote Desktop Protocols (RDP) beziehen. Die typischen RDP-Einstellungen umfassen Einstellungen wie Desktop-Hintergrund, Menüanimation und die Anzeige von Fensterinhalten während des Ziehens.
Einige Richtlinieneinstellungen, wie z. B. Secure ICA®, müssen mit den Einstellungen im Betriebssystem übereinstimmen. Wenn eine Verschlüsselungsstufe mit höherer Priorität an anderer Stelle festgelegt ist, können die Secure ICA-Richtlinieneinstellungen, die Sie in der Richtlinie oder bei der Bereitstellung von Anwendungen und Desktops angeben, überschrieben werden.
Beispielsweise müssen die Verschlüsselungseinstellungen, die Sie beim Erstellen von Delivery Groups angeben, auf derselben Ebene liegen wie die Verschlüsselungseinstellungen, die Sie in Ihrer gesamten Umgebung angegeben haben.
Hinweis:
Im zweiten Hop von Double-Hop-Szenarien ist zu beachten, dass ein Single-session OS VDA mit einem Multi-session OS VDA verbunden ist. In diesem Fall wirken sich Citrix-Richtlinien auf den Single-session OS VDA aus, als wäre er das Benutzergerät. Angenommen, Richtlinien sind so eingestellt, dass Bilder auf dem Benutzergerät zwischengespeichert werden. In diesem Beispiel werden die für den zweiten Hop in einem Double-Hop-Szenario zwischengespeicherten Bilder auf der Single-session OS VDA-Maschine zwischengespeichert.
Richtlinien und Vorlagen vergleichen
Sie können die Einstellungen in einer Richtlinie oder Vorlage mit den Einstellungen der anderen Richtlinien oder Vorlagen vergleichen. Beispielsweise müssen Sie möglicherweise Einstellungswerte überprüfen, um die Einhaltung bewährter Methoden zu gewährleisten. Möglicherweise möchten Sie auch Einstellungen in einer Richtlinie oder Vorlage mit den Standardeinstellungen vergleichen, die von Citrix bereitgestellt werden.
- Wählen Sie Richtlinien im Studio-Navigationsbereich aus.
- Klicken Sie auf die Registerkarte Vergleich und dann auf Auswählen.
- Wählen Sie die Richtlinien oder Vorlagen aus, die verglichen werden sollen. Um Standardwerte in den Vergleich einzubeziehen, aktivieren Sie das Kontrollkästchen Mit Standardeinstellungen vergleichen.
- Nachdem Sie auf Vergleichen geklickt haben, werden die konfigurierten Einstellungen in Spalten angezeigt.
- Um alle Einstellungen anzuzeigen, wählen Sie Alle Einstellungen anzeigen. Um zur Standardansicht zurückzukehren, wählen Sie Allgemeine Einstellungen anzeigen.
Richtlinien priorisieren
Durch die Priorisierung von Richtlinien können Sie die Rangfolge von Richtlinien festlegen, wenn diese widersprüchliche Einstellungen enthalten. Wenn sich ein Benutzer anmeldet, werden alle Richtlinien identifiziert, die den Zuweisungen für die Verbindung entsprechen. Diese Richtlinien werden nach Priorität sortiert, und mehrere Instanzen jeder Einstellung werden verglichen. Jede Einstellung wird gemäß der Prioritätsrangfolge der Richtlinie angewendet.
Sie priorisieren Richtlinien, indem Sie ihnen in Studio unterschiedliche Prioritätsnummern zuweisen. Standardmäßig erhalten neue Richtlinien die niedrigste Priorität. Wenn Richtlinieneinstellungen in Konflikt stehen, überschreibt eine Richtlinie mit höherer Priorität (Prioritätsnummer 1 ist die höchste) eine Richtlinie mit niedrigerer Priorität. Einstellungen werden gemäß Priorität und Bedingung der Einstellung zusammengeführt. Zum Beispiel, ob die Einstellung deaktiviert oder aktiviert ist. Jede deaktivierte Einstellung überschreibt eine niedriger eingestufte Einstellung, die aktiviert ist. Richtlinieneinstellungen, die nicht konfiguriert sind, werden ignoriert und überschreiben die Einstellungen niedriger eingestufter Einstellungen nicht.
- Wählen Sie Richtlinien im Navigationsbereich von Studio aus. Stellen Sie sicher, dass die Registerkarte Richtlinien ausgewählt ist.
- Wählen Sie eine Richtlinie aus.
- Wählen Sie Priorität verringern oder Priorität erhöhen im Bereich Aktionen aus.
Ausnahmen
Wenn Sie Richtlinien für Benutzergruppen, Benutzergeräte oder Maschinen erstellen, stellen Sie möglicherweise fest, dass einige Mitglieder der Gruppe Ausnahmen von bestimmten Richtlinieneinstellungen benötigen. Sie können Ausnahmen erstellen, indem Sie:
- Eine Richtlinie nur für die Gruppenmitglieder erstellen, die die Ausnahmen benötigen, und diese Richtlinie dann höher einstufen als die Richtlinie für die gesamte Gruppe
- Den Modus „Verweigern“ für eine der Richtlinie hinzugefügte Zuweisung verwenden
Eine Zuweisung, deren Modus auf „Verweigern“ eingestellt ist, wendet eine Richtlinie nur auf Verbindungen an, die nicht den Zuweisungskriterien entsprechen. Eine Richtlinie enthält beispielsweise die folgenden Zuweisungen:
- Zuweisung A ist eine Client-IP-Adresszuweisung, die den Bereich 208.77.88.* angibt. Der Modus ist auf Zulassen festgelegt.
- Zuweisung B ist eine Benutzerzuweisung, die ein bestimmtes Benutzerkonto angibt. Der Modus ist auf Verweigern festgelegt.
Die Richtlinie wird auf alle Benutzer angewendet, die sich mit IP-Adressen im in Zuweisung A angegebenen Bereich an der Site anmelden. Die Richtlinie wird jedoch nicht auf den Benutzer angewendet, der sich mit dem in Zuweisung B angegebenen Benutzerkonto an der Site anmeldet.
Bestimmen, welche Richtlinien für eine Verbindung gelten
Manchmal reagiert eine Verbindung nicht wie erwartet, weil mehrere Richtlinien gelten. Wenn eine Richtlinie mit höherer Priorität auf eine Verbindung angewendet wird, kann sie die Einstellungen überschreiben, die Sie in der ursprünglichen Richtlinie konfiguriert haben. Sie können den Resultierenden Richtliniensatz berechnen und festlegen, wie die endgültigen Richtlinieneinstellungen für eine Verbindung zusammengeführt werden.
Sie können den Resultierenden Richtliniensatz auf folgende Weisen berechnen:
- Verwenden Sie den Citrix Gruppenrichtlinien-Modellierungs-Assistenten, um ein Verbindungsszenario zu simulieren und zu erkennen, wie Citrix Richtlinien angewendet werden könnten. Sie können Bedingungen für ein Verbindungsszenario angeben, z. B.:
- Domänencontroller
- Benutzer
- Nachweiswerte für Citrix Richtlinienzuweisung
- Simulierte Umgebungseinstellungen wie langsame Netzwerkverbindung Der vom Assistenten erstellte Bericht listet die Citrix Richtlinien auf, die in diesem Szenario wahrscheinlich wirksam werden würden. Beachten Sie, dass Sie als Domänenbenutzer am Controller angemeldet sind. In diesem Fall berechnet der Assistent den Resultierenden Richtliniensatz unter Verwendung von Site-Richtlinieneinstellungen und Active Directory-Gruppenrichtlinienobjekten (GPOs).
- Verwenden Sie Gruppenrichtlinienergebnisse, um einen Bericht zu erstellen, der die für einen bestimmten Benutzer und Controller geltenden Citrix Richtlinien beschreibt. Das Tool Gruppenrichtlinienergebnisse hilft Ihnen, den aktuellen Status von GPOs in Ihrer Umgebung zu bewerten und einen Bericht zu erstellen. Der generierte Bericht beschreibt, wie diese Objekte, einschließlich Citrix Richtlinien, derzeit auf einen bestimmten Benutzer und Controller angewendet werden.
Sie können den Citrix Gruppenrichtlinien-Modellierungs-Assistenten über den Bereich Aktionen in Citrix Studio starten. Sie können beide Tools über die Gruppenrichtlinien-Verwaltungskonsole in Windows starten.
Site-Richtlinieneinstellungen, die mit Studio erstellt wurden, sind in den folgenden Fällen nicht im Resultierenden Richtliniensatz enthalten:
- Wenn Sie den Citrix Gruppenrichtlinien-Modellierungs-Assistenten über die Gruppenrichtlinien-Verwaltungskonsole ausführen Oder,
- Wenn Sie das Tool „Gruppenrichtlinienergebnisse“ über die Gruppenrichtlinien-Verwaltungskonsole ausführen
Um sicherzustellen, dass Sie den umfassendsten Resultant Set of Policy erhalten, empfiehlt Citrix, den Assistenten für die Citrix Gruppenrichtlinienmodellierung über Studio zu starten, es sei denn, Sie erstellen Richtlinien ausschließlich über die Gruppenrichtlinien-Verwaltungskonsole.
Verwenden des Assistenten für die Citrix Gruppenrichtlinienmodellierung
Öffnen Sie den Assistenten für die Citrix Gruppenrichtlinienmodellierung auf eine der folgenden Weisen:
- Wählen Sie im Navigationsbereich von Studio die Option „Richtlinien“, wählen Sie die Registerkarte „Modellierung“ und dann im Aktionsbereich „Modellierungsassistent starten“.
- Starten Sie die Gruppenrichtlinien-Verwaltungskonsole (gpmc.msc), klicken Sie im Strukturfenster mit der rechten Maustaste auf „Citrix Gruppenrichtlinienmodellierung“ und wählen Sie dann „Assistent für die Citrix Gruppenrichtlinienmodellierung“.
Befolgen Sie die Anweisungen des Assistenten, um Folgendes auszuwählen:
- Domänencontroller
- Benutzer
- Computer
- Umgebungseinstellungen
- Citrix Zuweisungskriterien, die in der Simulation verwendet werden sollen.
Nachdem Sie auf Fertig stellen geklickt haben, erstellt der Assistent einen Bericht der Modellierungsergebnisse. In Studio wird der Bericht im mittleren Bereich unter der Registerkarte Modellierung angezeigt.
Um den Bericht anzuzeigen, wählen Sie Modellierungsbericht anzeigen.
Hinweis:
Die Registerkarte Modellierung ist in Studio, das in Citrix Cloud gehostet wird, nicht verfügbar.
Problembehandlung für Richtlinien
Benutzer, IP-Adressen und andere zugewiesene Objekte können mehrere Richtlinien gleichzeitig anwenden. Dieses Szenario kann zu Konflikten führen, bei denen eine Richtlinie möglicherweise nicht wie erwartet funktioniert. Wenn Sie den Citrix Gruppenrichtlinien-Modellierungsassistenten oder das Gruppenrichtlinienergebnis-Tool ausführen, stellen Sie möglicherweise fest, dass keine Richtlinien auf Benutzerverbindungen angewendet werden. In einem solchen Szenario werden Richtlinieneinstellungen nicht auf Benutzer angewendet, die sich unter Bedingungen, die den Richtlinienauswertungskriterien entsprechen, mit ihren Anwendungen und Desktops verbinden. Diese Situation tritt auf, wenn:
- Keine Richtlinien Zuweisungen haben, die den Richtlinienauswertungskriterien entsprechen.
- Richtlinien, die der Zuweisung entsprechen, keine Einstellungen konfiguriert haben.
- Richtlinien, die der Zuweisung entsprechen, deaktiviert sind.
Wenn Sie Richtlinieneinstellungen auf die Verbindungen anwenden möchten, die die angegebenen Kriterien erfüllen, stellen Sie sicher:
- Die Richtlinien, die Sie auf diese Verbindungen anwenden möchten, aktiviert sind.
- Die Richtlinien, die Sie anwenden möchten, die entsprechenden Einstellungen konfiguriert haben.