Vergleichen, Priorisieren und Problembehandlung für Richtlinien
Hinweis:
Sie können Ihre Citrix Virtual Apps and Desktops-Bereitstellung mithilfe von zwei Verwaltungskonsolen verwalten: Web Studio (webbasiert) und Citrix Studio (Windows-basiert). Dieser Artikel behandelt nur Web Studio. Informationen zu Citrix Studio finden Sie im entsprechenden Artikel in Citrix Virtual Apps and Desktops 7 2212 oder früher.
Sie können mit mehreren Richtlinien Ihre Umgebung an die Anforderungen der Benutzer, basierend auf deren Aufgabengebiet, geografischem Standort oder Verbindungstyp anpassen. Beispielsweise erlegen Sie aus Sicherheitsgründen Benutzergruppen, die regelmäßig mit sensiblen Daten interagieren, Beschränkungen auf.
Sie können auch eine Richtlinie erstellen, die Benutzer daran hindert, vertrauliche Daten auf ihren lokalen Clientlaufwerken zu speichern. Wenn jedoch manche Mitglieder dieser Benutzergruppe Zugang zu ihren lokalen Laufwerken benötigen, können Sie eine andere Richtlinie für diese Benutzer erstellen. Anschließend können Sie den beiden Richtlinien jeweils eine Priorität zuweisen und damit festlegen, welche Richtlinie Vorrang haben soll. Wenn Sie mehrere Richtlinien verwenden, müssen Sie Folgendes festlegen:
- Wie Sie die Richtlinienpriorität festlegen
- Wie Sie Ausnahmen erstellen
- Wie Sie die gültige Richtlinie bei einem Richtlinienkonflikt anzeigen.
In der Regel setzen Richtlinien ähnliche Einstellungen, die für die gesamte Site, für bestimmte Delivery Controller oder auf dem Benutzergerät konfiguriert wurden, außer Kraft. Die Ausnahme von diesem Prinzip sind Sicherheitseinstellungen. Die höchste Verschlüsselungseinstellung in der Umgebung hat immer Vorrang vor allen anderen Einstellungen und Richtlinien. Die höchste Verschlüsselungseinstellung umfasst das Betriebssystem und die Spiegelungseinstellung mit der größten Einschränkung.
Citrix Richtlinien interagieren mit den Richtlinien, die Sie im Betriebssystem eingestellt haben. In einer Citrix Umgebung überschreiben Citrix Einstellungen die gleichen Einstellungen in einer Active Directory-Richtlinie oder in der Konfiguration des Remotedesktop-Sitzungshosts. Diese Einstellung umfasst Einstellungen, die sich auf typische Remotedesktopprotokoll-Clientverbindungseinstellungen (RDP) beziehen. Zu typischen RDP-Einstellungen gehören Desktophintergrund, Menüanimationen und das Anzeigeverhalten bei Drag & Drop.
Manche Richtlinieneinstellungen, wie Secure ICA, müssen mit den Richtlinien und Einstellungen im Betriebssystem übereinstimmen. Wenn anderswo ein höherer Verschlüsselungsgrad festgelegt wurde, kann die Secure ICA-Richtlinieneinstellung oder die Einstellung beim Veröffentlichen einer Anwendung außer Kraft gesetzt werden.
Die beim Erstellen von Bereitstellungsgruppen angegebenen Verschlüsselungseinstellungen müssen beispielsweise den gleichen Verschlüsselungsgrad verwenden, den Sie an anderer Stelle in der Umgebung verwenden.
Hinweis:
Bei Double-Hop-Szenarien stellen Einzelsitzungs-OS-VDAs im zweiten Hop eine Verbindung zu einem Multisitzungs-OS-VDA her. In diesem Fall wirken die Citrix Richtlinien auf dem Einzelsitzungs-OS-VDA so, als wäre dieser das Benutzergerät. Beispiel: Richtlinien legen fest, dass Bilder auf dem Benutzergerät zwischengespeichert werden. Die Bilder, die für den zweiten Hop in einem Double-Hop-Szenario zwischengespeichert werden, werden dann auf der Maschine mit dem Einzelsitzungs-OS-VDA zwischengespeichert.
Assistenten für die Richtlinienmodellierung verwenden
Mithilfe der Richtlinienmodellierung können Sie aktivierte Richtlinien mit Filtern für Planungs- und Testzwecke simulieren. Nur aktivierte Richtlinien mit Filtern werden modelliert. Deaktivierte Richtlinien werden niemals angewendet und aktivierte Richtlinien ohne Filter werden immer angewendet.
Führen Sie die folgenden Schritte aus, um den Modellierungsassistenten zu öffnen:
- Wählen Sie in der linken Navigationsleiste Richtlinien aus.
- Wählen Sie die Registerkarte Modellierung.
- Wählen Sie Richtlinienmodellierung in der Aktionsleiste aus.
- Lesen Sie die Einführung und klicken Sie auf Weiter.
- Wählen Sie Benutzer oder Computer aus. Sie können nach Containern oder Benutzern oder Computern suchen. Klicken Sie auf Weiter.
- Wählen Sie Ihre Filterbeweise aus. Sie können Ihre Simulation optional detaillierter gestalten, indem Sie zusätzliche Details wie Bereitstellungsgruppe, Tags, Client-IP-Adresse usw. eingeben. Klicken Sie auf Weiter.
- Überprüfen Sie die Zusammenfassung Ihrer Auswahl und klicken Sie auf Ausführen.
Wenn Sie auf Ausführen klicken, erstellt der Assistent einen Bericht mit den Modellierungsergebnissen. Beim Anzeigen des Berichts haben Sie folgende Möglichkeiten:
- Wählen Sie im Dropdownmenü aus, ob Sie Alle Einstellungen, Computereinstellungenoder Benutzereinstellungen anzeigen möchten.
- Verwenden Sie die Suchleiste, um nach bestimmten Einstellungen zu suchen.
- Klicken Sie auf eine Einstellung, um deren Details anzuzeigen. Wenn beispielsweise nicht alle Benutzereinstellungen für eine Richtlinie angewendet wurden, wird im Bereich Details der Grund hierfür angezeigt.
- Klicken Sie auf Exportieren, um die Modellierungsergebnisse im JSON-Format, HTML-Format oder beidem zu exportieren.
Nach ausgeführter Richtlinienmodellierung stehen Ihnen weitere Optionen zur Verfügung. Sie haben folgende Möglichkeiten:
- Modellierungsbericht anzeigen: Dadurch wird der o. g. Modellierungsbericht geöffnet, sodass Sie ihn erneut ansehen oder exportieren können.
- Richtlinienmodellierung erneut ausführen: Hiermit können Sie die Richtlinienmodellierung mit den zuvor ausgewählten Kriterien erneut ausführen und neue Modellierungsergebnisse generieren. Dies ist nützlich, wenn sich Richtlinien geändert haben und Sie sehen möchten, wie sich diese Änderungen auf Ihr aktuelles Modell auswirken.
- Modellierungsbericht löschen: Dadurch wird der aktuelle Modellierungsbericht gelöscht.
Vergleichen von Richtlinien und Vorlagen
Sie können die Einstellungen einer Richtlinie oder Vorlage mit denen in anderen Richtlinien oder Vorlagen vergleichen. Beispielsweise ist die Prüfung von Einstellungswerten erforderlich, sodass optimale Verfahren eingehalten werden. Außerdem ist ggf. ein Vergleich von Einstellungen in einer Richtlinie oder Vorlage mit den Standardeinstellungen von Citrix erforderlich.
- Melden Sie sich bei Web Studio an und wählen Sie im linken Bereich Richtlinien.
- Klicken Sie auf die Registerkarte Vergleich und dann auf Auswählen.
- Wählen Sie die Richtlinien oder Vorlagen aus, die Sie vergleichen möchten. Aktivieren Sie das Kontrollkästchen Mit Standardeinstellungen vergleichen, um Standardwerte im Vergleich einzuschließen.
- Wenn Sie auf Vergleichen klicken, werden die konfigurierten Einstellungen in Spalten angezeigt.
- Zum Anzeigen aller Einstellungen wählen Sie Alle Einstellungen anzeigen. Um zur Standardansicht zurückzukehren, wählen Sie Gemeinsame Einstellungen anzeigen.
Festlegen der Richtlinienpriorität
Durch Festlegen der Richtlinienpriorität definieren Sie, welche Richtlinie Vorrang hat, wenn es Konflikte gibt. Alle Richtlinien, die mit den Zuweisungen für die Verbindung übereinstimmen, werden bei der Anmeldung eines Benutzers identifiziert. Die Richtlinien werden nach Priorität sortiert und mehrere Instanzen jeder Einstellung werden verglichen. Die einzelnen Einstellungen werden gemäß der Richtlinien-Prioritätsreihenfolge angewendet.
Sie weisen Richtlinien Prioritäten zu, indem Sie ihnen unterschiedliche Prioritätswerte geben. Neue Richtlinien erhalten standardmäßig die niedrigste Priorität. Falls widersprüchliche Richtlinieneinstellungen auftreten, setzt eine Richtlinie mit einem höheren Prioritätswert (eine Priorität von “1” hat die höchste Priorität) eine Richtlinie mit einem niedrigeren Prioritätswert außer Kraft. Einstellungen werden entsprechend ihrer Priorität und Bedingung zusammengefasst. Zum Beispiel, ob die Einstellung deaktiviert oder aktiviert ist. Jede deaktivierte Einstellung hat Vorrang vor einer aktivierten Einstellung, deren Priorität niedriger ist. Richtlinieneinstellungen, die nicht konfiguriert sind, werden ignoriert und setzen keine Einstellungen mit niedrigerer Priorität außer Kraft.
- Melden Sie sich bei Web Studio an, wählen Sie im linken Bereich Richtlinien und klicken Sie dann auf die Registerkarte Richtlinien.
- Wählen Sie eine Richtlinie.
- Wählen Sie in der Aktionsleiste Richtlinienprioritäten ändern.
- Passen Sie unter Richtlinienprioritäten ändern die Prioritäten für Richtlinien mithilfe der entsprechenden Symbole an.
- Klicken Sie auf Speichern, um die Änderungen zu speichern und den Vorgang zu beenden.
Ausnahmen
Wenn Sie Richtlinien für Benutzergruppen, Benutzergeräte oder Maschinen erstellen, werden Sie möglicherweise feststellen, dass für einige Mitglieder einer Gruppe Ausnahmen zu einigen Einstellungen erstellt werden müssen. Sie können Ausnahmen wie folgt erstellen:
- Erstellen Sie eine Richtlinie für die Gruppenmitglieder, für die Ausnahmen erforderlich sind, und stufen Sie die Richtlinie mit höherer Priorität ein als die Richtlinie für die gesamte Gruppe.
- Verwenden Sie den Modus Verweigern in einer Zuweisung, die Sie der Richtlinie hinzufügen.
Die Zuweisung im Modus Verweigern wendet eine Richtlinie nur auf Verbindungen an, die nicht den Zuweisungskriterien entsprechen. Beispielsweise kann eine Richtlinie folgende Zuweisungen enthalten:
- Zuweisung A ist eine Client-IP-Adressenzuweisung, die den Bereich 208.77.88.* angibt, festlegt. Der Modus ist auf “Zulassen” eingestellt.
- Zuweisung B ist eine Benutzerzuweisung, die ein spezifisches Benutzerkonto angibt. Der Modus ist auf Verweigern eingestellt.
Die Richtlinie wird auf alle Benutzer angewendet, die sich bei der Site mit einer IP-Adresse aus dem in Zuweisung A festgelegten Bereich anmelden. Die Richtlinie wird aber nicht auf den Benutzer angewendet, der sich mit dem in Zuweisung B festgelegten Konto anmeldet.
Ermitteln der auf eine Verbindung angewendeten Richtlinien
Eine Verbindung reagiert möglicherweise nicht wie erwartet, weil mehrere Richtlinien gelten. Wenn eine Richtlinie mit einer höheren Priorität auf eine Verbindung angewendet wird, kann sie Einstellungen, die Sie in der ursprünglichen Richtlinie konfigurieren, außer Kraft setzen. Sie können den Richtlinienergebnissatz berechnen und so ermitteln, wie die Richtlinieneinstellungen am Ende für eine Verbindung zusammengeführt werden.
Sie berechnen den Richtlinienergebnissatz mit folgenden Methoden:
- Verwenden Sie den Assistenten für die Citrix Gruppenrichtlinienmodellierung, um ein Verbindungsszenario zu simulieren und festzustellen, wie Citrix Richtlinien angewendet werden. Sie können Bedingungen für ein Verbindungsszenario angeben. Beispiel:
- Domänencontroller
- Benutzer
- Citrix Richtlinienzuweisungsbeweiswerte
- Simulierte Umgebungseinstellungen wie etwa eine langsame Netzwerkverbindung Der von dem Assistenten erstellte Bericht listet die Citrix Richtlinien auf, die in dem Szenario wirksam werden. Da Sie beim Controller als Domänenbenutzer angemeldet sind, berechnet der Assistent die Ergebnisse anhand von Richtlinieneinstellungen für die Site und Active Directory-Gruppenrichtlinienobjekten.
- Verwenden Sie das Tool Gruppenrichtlinienergebnisse, um einen Bericht zu erstellen, der beschreibt, welche Citrix Richtlinien für einen bestimmten Benutzer oder einen bestimmten Controller angewendet werden. Mit dem Tool “Gruppenrichtlinienergebnisse” können Sie den aktuellen Status von GPOs in Ihrer Umgebung bewerten und einen Bericht generieren. In dem Bericht wird beschrieben, wie diese Objekte, einschließlich Citrix Richtlinien, derzeit auf einen bestimmten Benutzer und Controller angewendet werden.
Sie können den Assistenten für die Citrix Gruppenrichtlinienmodellierung in Web Studio starten. Sie können das Tool “Gruppenrichtlinienergebnisse” auch über die Gruppenrichtlinien-Verwaltungskonsole in Windows starten.
Mit Web Studio erstellte Site-Richtlinieneinstellungen sind in den folgenden Fällen nicht im Richtlinienergebnissatz enthalten:
- Wenn Sie den Assistenten für die Citrix Gruppenrichtlinienmodellierung von der Gruppenrichtlinien-Verwaltungskonsole aus ausführen
- Wenn Sie das Tool “Gruppenrichtlinienergebnisse” in der Gruppenrichtlinien-Verwaltungskonsole ausführen
Um zu prüfen, ob Sie den umfassendsten Richtlinienergebnissatz erhalten, empfiehlt Citrix das Starten des Assistenten für die Citrix Gruppenrichtlinienmodellierung über Web Studio, es sei denn, Sie erstellen Richtlinien nur über die Gruppenrichtlinien-Verwaltungskonsole.
Problembehandlung bei Richtlinien
Für Benutzer, IP-Adressen und andere zugewiesene Objekte können mehrere Richtlinien gleichzeitig gelten. Dies kann zu Konflikten führen, wenn eine Richtlinie sich nicht wie erwartet verhält. Wenn Sie den Citrix Gruppenrichtlinienmodellierungsassistenten oder das Gruppenrichtlinienergebnisse-Tool ausführen, entdecken Sie möglicherweise, dass keine Richtlinien auf die Benutzerverbindungen angewendet werden. In diesen Fall sind Benutzer nicht von Richtlinieneinstellungen betroffen, wenn sie sich unter Bedingungen mit Anwendungen verbinden, die den Richtlinienkriterien entsprechen. Diese Situation tritt in folgenden Fällen auf:
- Keine Richtlinie hat eine Zuweisung, die den Richtlinienkriterien entspricht.
- Richtlinien, die der Zuweisung entsprechen, haben keine konfigurierten Einstellungen.
- Richtlinien, die der Zuweisung entsprechen, sind deaktiviert.
Wenn Sie Richtlinieneinstellungen auf Verbindungen anwenden möchten, die bestimmten Kriterien entsprechen, stellen Sie Folgendes sicher:
- Die Richtlinien, die auf diese Verbindungen angewendet werden sollen, sind aktiviert.
- In den Richtlinien, die Sie anwenden möchten, sind die geeigneten Einstellungen konfiguriert.