Vergleichen, Priorisieren, Modellieren und Problembehandlung für Richtlinien
Sie können mit mehreren Richtlinien Ihre Umgebung an die Anforderungen der Benutzer, basierend auf deren Aufgabengebiet, geografischem Standort oder Verbindungstyp anpassen. Beispielsweise erlegen Sie aus Sicherheitsgründen Benutzergruppen, die regelmäßig mit sensiblen Daten interagieren, Beschränkungen auf.
Sie können auch eine Richtlinie erstellen, die Benutzer daran hindert, vertrauliche Daten auf ihren lokalen Clientlaufwerken zu speichern. Wenn jedoch manche Mitglieder dieser Benutzergruppe Zugang zu ihren lokalen Laufwerken benötigen, können Sie eine andere Richtlinie für diese Benutzer erstellen. Anschließend können Sie den beiden Richtlinien jeweils eine Priorität zuweisen und damit festlegen, welche Richtlinie Vorrang haben soll. Wenn Sie mehrere Richtlinien verwenden, müssen Sie Folgendes festlegen:
- Wie Sie die Richtlinienpriorität festlegen
- Wie Sie Ausnahmen erstellen
- Wie Sie die gültige Richtlinie bei einem Richtlinienkonflikt anzeigen.
In der Regel setzen Richtlinien ähnliche Einstellungen, die für die gesamte Site, für bestimmte Delivery Controller oder auf dem Benutzergerät konfiguriert wurden, außer Kraft. Die Ausnahme von diesem Prinzip sind Sicherheitseinstellungen. Die höchste Verschlüsselungseinstellung in der Umgebung hat immer Vorrang vor allen anderen Einstellungen und Richtlinien. Die höchste Verschlüsselungseinstellung umfasst das Betriebssystem und die Spiegelungseinstellung mit der größten Einschränkung.
Citrix Richtlinien interagieren mit den Richtlinien, die Sie im Betriebssystem eingestellt haben. In einer Citrix Umgebung überschreiben Citrix Einstellungen die gleichen Einstellungen in einer Active Directory-Richtlinie oder in der Konfiguration des Remotedesktop-Sitzungshosts. Diese Einstellung umfasst Einstellungen, die sich auf typische Remotedesktopprotokoll-Clientverbindungseinstellungen (RDP) beziehen. Zu typischen RDP-Einstellungen gehören Desktophintergrund, Menüanimationen und das Anzeigeverhalten bei Drag & Drop.
Manche Richtlinieneinstellungen, wie Secure ICA, müssen mit den Richtlinien und Einstellungen im Betriebssystem übereinstimmen. Wenn anderswo ein höherer Verschlüsselungsgrad festgelegt wurde, kann die Secure ICA-Richtlinieneinstellung oder die Einstellung beim Veröffentlichen einer Anwendung außer Kraft gesetzt werden.
Die beim Erstellen von Bereitstellungsgruppen angegebenen Verschlüsselungseinstellungen müssen beispielsweise den gleichen Verschlüsselungsgrad verwenden, den Sie an anderer Stelle in der Umgebung verwenden.
Hinweis:
Bei Double-Hop-Szenarien stellen Einzelsitzungs-OS-VDAs im zweiten Hop eine Verbindung zu einem Multisitzungs-OS-VDA her. In diesem Fall wirken die Citrix Richtlinien auf dem Einzelsitzungs-OS-VDA so, als wäre dieser das Benutzergerät. Beispiel: Richtlinien legen fest, dass Bilder auf dem Benutzergerät zwischengespeichert werden. Die Bilder, die für den zweiten Hop in einem Double-Hop-Szenario zwischengespeichert werden, werden dann auf der Maschine mit dem Einzelsitzungs-OS-VDA zwischengespeichert.
Vergleichen von Richtlinien und Vorlagen
Sie können die Einstellungen einer Richtlinie oder Vorlage mit denen in anderen Richtlinien oder Vorlagen vergleichen. Beispielsweise ist die Prüfung von Einstellungswerten erforderlich, sodass optimale Verfahren eingehalten werden. Außerdem ist ggf. ein Vergleich von Einstellungen in einer Richtlinie oder Vorlage mit den Standardeinstellungen von Citrix erforderlich.
- Wählen Sie im Navigationsbereich von Studio die Option “Richtlinien”.
- Klicken Sie auf die Registerkarte Vergleich und dann auf Auswählen.
- Wählen Sie die Richtlinien oder Vorlagen aus, die Sie vergleichen möchten. Aktivieren Sie das Kontrollkästchen Mit Standardeinstellungen vergleichen, um Standardwerte im Vergleich einzuschließen.
- Wenn Sie auf Vergleichen klicken, werden die konfigurierten Einstellungen in Spalten angezeigt.
- Zum Anzeigen aller Einstellungen wählen Sie Alle Einstellungen anzeigen. Sie kehren zur Standardansicht zurück, indem Sie Gemeinsame Einstellungen anzeigen auswählen.
Festlegen der Richtlinienpriorität
Durch Festlegen der Richtlinienpriorität definieren Sie, welche Richtlinie Vorrang hat, wenn es Konflikte gibt. Alle Richtlinien, die mit den Zuweisungen für die Verbindung übereinstimmen, werden bei der Anmeldung eines Benutzers identifiziert. Die Richtlinien werden nach Priorität sortiert und mehrere Instanzen jeder Einstellung werden verglichen. Die einzelnen Einstellungen werden gemäß der Richtlinien-Prioritätsreihenfolge angewendet.
Sie weisen Richtlinien Prioritäten zu, indem Sie ihnen unterschiedliche Prioritätswerte in Studio geben. Neue Richtlinien erhalten standardmäßig die niedrigste Priorität. Falls widersprüchliche Richtlinieneinstellungen auftreten, setzt eine Richtlinie mit einem höheren Prioritätswert (eine Priorität von “1” hat die höchste Priorität) eine Richtlinie mit einem niedrigeren Prioritätswert außer Kraft. Einstellungen werden entsprechend ihrer Priorität und Bedingung zusammengefasst. Zum Beispiel, ob die Einstellung deaktiviert oder aktiviert ist. Jede deaktivierte Einstellung hat Vorrang vor einer aktivierten Einstellung, deren Priorität niedriger ist. Richtlinieneinstellungen, die nicht konfiguriert sind, werden ignoriert und setzen keine Einstellungen mit niedrigerer Priorität außer Kraft.
- Wählen Sie im Navigationsbereich von Studio die Option Richtlinien. Wählen Sie die Registerkarte Richtlinien aus.
- Wählen Sie eine Richtlinie.
- Wählen Sie im Aktionsbereich die Option Geringere Priorität oder Höhere Priorität.
Ausnahmen
Wenn Sie Richtlinien für Benutzergruppen, Benutzergeräte oder Maschinen erstellen, werden Sie möglicherweise feststellen, dass für einige Mitglieder einer Gruppe Ausnahmen zu einigen Einstellungen erstellt werden müssen. Sie können Ausnahmen wie folgt erstellen:
- Erstellen Sie eine Richtlinie für die Gruppenmitglieder, für die Ausnahmen erforderlich sind, und stufen Sie die Richtlinie mit höherer Priorität ein als die Richtlinie für die gesamte Gruppe.
- Verwenden Sie den Modus Verweigern in einer Zuweisung, die Sie der Richtlinie hinzufügen.
Die Zuweisung im Modus Verweigern wendet eine Richtlinie nur auf Verbindungen an, die nicht den Zuweisungskriterien entsprechen. Beispielsweise kann eine Richtlinie folgende Zuweisungen enthalten:
- Zuweisung A ist eine Client-IP-Adressenzuweisung, die den Bereich 208.77.88.* angibt, festlegt. Der Modus ist auf “Zulassen” eingestellt.
- Zuweisung B ist eine Benutzerzuweisung, die ein spezifisches Benutzerkonto angibt. Der Modus ist auf “Verweigern” eingestellt.
Die Richtlinie wird auf alle Benutzer angewendet, die sich bei der Site mit einer IP-Adresse aus dem in Zuweisung A festgelegten Bereich anmelden. Die Richtlinie wird aber nicht auf den Benutzer angewendet, der sich mit dem in Zuweisung B festgelegten Konto anmeldet.
Ermitteln der auf eine Verbindung angewendeten Richtlinien
Manchmal reagiert eine Verbindung nicht wie erwartet, weil mehrere Richtlinien gelten. Wenn eine Richtlinie mit einer höheren Priorität auf eine Verbindung angewendet wird, kann sie Einstellungen, die Sie in der ursprünglichen Richtlinie konfigurieren, außer Kraft setzen. Sie können den Richtlinienergebnissatz berechnen und so ermitteln, wie die Richtlinieneinstellungen am Ende für eine Verbindung zusammengeführt werden.
Sie berechnen den Richtlinienergebnissatz mit folgenden Methoden:
- Verwenden Sie den Assistenten für die Citrix Gruppenrichtlinienmodellierung, um ein Verbindungsszenario zu simulieren und festzustellen, wie Citrix Richtlinien angewendet werden. Sie können Bedingungen für ein Verbindungsszenario angeben. Beispiel:
- Domänencontroller
- Benutzer
- Citrix Richtlinienzuweisungsbeweiswerte
- Simulierte Umgebungseinstellungen wie etwa eine langsame Netzwerkverbindung Der von dem Assistenten erstellte Bericht listet die Citrix Richtlinien auf, die in dem Szenario wahrscheinlich wirksam werden. Bedenken Sie, dass Sie als Domänenbenutzer am Controller angemeldet sind. Der Assistent berechnet daher den Richtlinienergebnissatz anhand von Richtlinieneinstellungen für die Site und Active Directory-Gruppenrichtlinienobjekten.
- Verwenden Sie das Tool “Gruppenrichtlinienergebnisse”, um einen Bericht zu erstellen, der beschreibt, welche Citrix Richtlinien für einen bestimmten Benutzer oder einen bestimmten Controller angewendet werden. Mit dem Tool “Gruppenrichtlinienergebnisse” können Sie den aktuellen Status von GPOs in Ihrer Umgebung bewerten und einen Bericht generieren. In dem Bericht wird beschrieben, wie diese Objekte, einschließlich Citrix Richtlinien, derzeit auf einen bestimmten Benutzer und Controller angewendet werden.
Sie können den Assistenten für die Citrix Gruppenrichtlinienmodellierung im Bereich Aktionen in Citrix Studio starten. Sie können beide Tools in der Gruppenrichtlinien-Verwaltungskonsole von Windows starten.
Mit Studio erstellte Site-Richtlinieneinstellungen sind in den folgenden Fällen nicht im Richtlinienergebnissatz enthalten:
- Wenn Sie den Citrix Gruppenrichtlinienmodellierungsassistenten von der Gruppenrichtlinienverwaltungskonsole aus ausführen Oder:
- Wenn Sie das Tool “Gruppenrichtlinienergebnisse” in der Gruppenrichtlinien-Verwaltungskonsole ausführen
Um zu prüfen, ob Sie den umfassendsten Richtlinienergebnissatz erhalten, empfiehlt Citrix das Starten des Assistenten für die Citrix Gruppenrichtlinienmodellierung über Studio, es sei denn, Sie erstellen Richtlinien nur über die Gruppenrichtlinien-Verwaltungskonsole.
Verwenden des Assistenten für die Citrix Gruppenrichtlinienmodellierung
Öffnen Sie den Assistenten für die Citrix Gruppenrichtlinienmodellierung mit einer der folgenden Optionen:
- Wählen Sie Richtlinien im Navigationsbereich von Studio, wählen Sie dann die Registerkarte “Modellierung” und dann im Aktionsbereich die Option Modellierungsassistenten starten.
- Starten Sie die Gruppenrichtlinien-Verwaltungskonsole (gpmc.msc), klicken Sie mit der rechten Maustaste in der Konsolenstruktur auf Citrix Gruppenrichtlinienmodellierung und wählen Sie dann Citrix Gruppenrichtlinienmodellierungsassistent aus.
Folgen Sie den Anweisungen des Assistenten, um Folgendes auszuwählen:
- Domänencontroller
- Benutzer
- Computer
- Umgebungseinstellungen
- In der Simulation zu verwendende Citrix Zuweisungskriterien.
Wenn Sie auf Fertig stellen klicken, erstellt der Assistent einen Bericht mit den Modellierungsergebnissen. In Studio wird der Bericht im mittleren Bereich unter der Registerkarte Modellierung angezeigt.
Zum Anzeigen des Berichts wählen Sie Modellierungsbericht anzeigen.
Hinweis:
Die Registerkarte Modellierung ist in Studio nicht verfügbar, wenn es in Citrix Cloud gehostet wird.
Problembehandlung bei Richtlinien
Für Benutzer, IP-Adressen und andere zugewiesene Objekte können mehrere Richtlinien gleichzeitig gelten. Dies kann zu Konflikten führen, wenn eine Richtlinie sich nicht wie erwartet verhält. Wenn Sie den Citrix Gruppenrichtlinienmodellierungsassistenten oder das Gruppenrichtlinienergebnisse-Tool ausführen, entdecken Sie möglicherweise, dass keine Richtlinien auf die Benutzerverbindungen angewendet werden. In diesen Fall sind Benutzer nicht von Richtlinieneinstellungen betroffen, wenn sie sich unter Bedingungen mit Anwendungen verbinden, die den Richtlinienkriterien entsprechen. Diese Situation tritt in folgenden Fällen auf:
- Keine Richtlinie hat eine Zuweisung, die den Richtlinienkriterien entspricht.
- Richtlinien, die der Zuweisung entsprechen, haben keine konfigurierten Einstellungen.
- Richtlinien, die der Zuweisung entsprechen, sind deaktiviert.
Wenn Sie Richtlinieneinstellungen auf Verbindungen anwenden möchten, die bestimmten Kriterien entsprechen, stellen Sie Folgendes sicher:
- Die Richtlinien, die auf diese Verbindungen angewendet werden sollen, sind aktiviert.
- In den Richtlinien, die Sie anwenden möchten, sind die geeigneten Einstellungen konfiguriert.