Richtlinien vergleichen, priorisieren, modellieren und Fehler beheben
Sie können mehrere Richtlinien verwenden, um Ihre Umgebung an die Bedürfnisse der Benutzer anzupassen, basierend auf deren Aufgaben, geografischen Standorten oder Verbindungstypen. Zum Beispiel müssen Sie aus Sicherheitsgründen möglicherweise Einschränkungen für Benutzergruppen festlegen, die regelmäßig mit sensiblen Daten arbeiten. Sie können eine Richtlinie erstellen, die Benutzer daran hindert, sensible Dateien auf ihren lokalen Clientlaufwerken zu speichern. Wenn jedoch einige Personen in der Benutzergruppe Zugriff auf ihre lokalen Laufwerke benötigen, können Sie eine weitere Richtlinie nur für diese Benutzer erstellen. Anschließend ordnen Sie die beiden Richtlinien nach Rang oder priorisieren sie, um zu steuern, welche Vorrang hat.
Bei der Verwendung mehrerer Richtlinien müssen Sie festlegen, wie diese zu priorisieren sind, wie Ausnahmen erstellt werden und wie die effektive Richtlinie angezeigt wird, wenn Richtlinien in Konflikt stehen.
Im Allgemeinen überschreiben Richtlinien ähnliche Einstellungen, die für die gesamte Site, für bestimmte Delivery Controller oder auf dem Benutzergerät konfiguriert sind. Die Ausnahme von diesem Prinzip ist die Sicherheit. Die höchste Verschlüsselungseinstellung in Ihrer Umgebung, einschließlich des Betriebssystems und der restriktivsten Shadowing-Einstellung, überschreibt immer andere Einstellungen und Richtlinien.
Citrix®-Richtlinien interagieren mit Richtlinien, die Sie in Ihrem Betriebssystem festlegen. In einer Citrix-Umgebung überschreiben Citrix-Einstellungen dieselben Einstellungen, die in einer Active Directory-Richtlinie oder mithilfe der Remote Desktop Session Host-Konfiguration konfiguriert wurden. Dies umfasst Einstellungen, die sich auf typische Clientverbindungseinstellungen des Remote Desktop Protocols (RDP) beziehen, wie z. B. Desktop-Hintergrund, Menüanimation und Fensterinhalt beim Ziehen anzeigen. Bei einigen Richtlinieneinstellungen, wie z. B. Secure ICA®, müssen die Einstellungen in den Richtlinien mit den Einstellungen im Betriebssystem übereinstimmen. Wenn an anderer Stelle eine Verschlüsselungsstufe mit höherer Priorität festgelegt ist, können die Secure ICA-Richtlinieneinstellungen, die Sie in der Richtlinie oder bei der Bereitstellung von Anwendungen und Desktops angeben, überschrieben werden.
Beispielsweise sollten die Verschlüsselungseinstellungen, die Sie beim Erstellen von Delivery Groups angeben, auf derselben Ebene liegen wie die Verschlüsselungseinstellungen, die Sie in Ihrer gesamten Umgebung angegeben haben.
Hinweis: Im zweiten Hop von Double-Hop-Szenarien, wenn ein Desktop OS VDA mit einem Server OS VDA verbunden ist, wirken sich Citrix-Richtlinien auf den Desktop OS VDA aus, als wäre er das Benutzergerät. Wenn beispielsweise Richtlinien so eingestellt sind, dass Bilder auf dem Benutzergerät zwischengespeichert werden, werden die für den zweiten Hop in einem Double-Hop-Szenario zwischengespeicherten Bilder auf der Desktop OS VDA-Maschine zwischengespeichert.
Richtlinien und Vorlagen vergleichen
Sie können Einstellungen in einer Richtlinie oder Vorlage mit denen in anderen Richtlinien oder Vorlagen vergleichen. Beispielsweise müssen Sie möglicherweise Einstellungswerte überprüfen, um die Einhaltung bewährter Methoden sicherzustellen. Möglicherweise möchten Sie auch Einstellungen in einer Richtlinie oder Vorlage mit den von Citrix bereitgestellten Standardeinstellungen vergleichen.
- Wählen Sie im Navigationsbereich von Studio die Option Richtlinien aus.
- Klicken Sie auf die Registerkarte Vergleich und dann auf Auswählen.
- Wählen Sie die zu vergleichenden Richtlinien oder Vorlagen aus. Um Standardwerte in den Vergleich einzubeziehen, aktivieren Sie das Kontrollkästchen Mit Standardeinstellungen vergleichen.
- Nachdem Sie auf Vergleichen geklickt haben, werden die konfigurierten Einstellungen in Spalten angezeigt.
- Um alle Einstellungen anzuzeigen, wählen Sie Alle Einstellungen anzeigen. Um zur Standardansicht zurückzukehren, wählen Sie Allgemeine Einstellungen anzeigen.
Richtlinien priorisieren
Das Priorisieren von Richtlinien ermöglicht es Ihnen, die Rangfolge von Richtlinien festzulegen, wenn diese widersprüchliche Einstellungen enthalten. Wenn sich ein Benutzer anmeldet, werden alle Richtlinien identifiziert, die den Zuweisungen für die Verbindung entsprechen. Diese Richtlinien werden nach Priorität sortiert und mehrere Instanzen einer Einstellung werden verglichen. Jede Einstellung wird entsprechend der Prioritätsrangfolge der Richtlinie angewendet.
Sie priorisieren Richtlinien, indem Sie ihnen in Studio unterschiedliche Prioritätsnummern zuweisen. Standardmäßig erhalten neue Richtlinien die niedrigste Priorität. Wenn Richtlinieneinstellungen in Konflikt stehen, überschreibt eine Richtlinie mit höherer Priorität (Prioritätsnummer 1 ist die höchste) eine Richtlinie mit niedrigerer Priorität. Einstellungen werden gemäß der Priorität und dem Zustand der Einstellung zusammengeführt; zum Beispiel, ob die Einstellung deaktiviert oder aktiviert ist. Jede deaktivierte Einstellung überschreibt eine niedriger eingestufte Einstellung, die aktiviert ist. Nicht konfigurierte Richtlinieneinstellungen werden ignoriert und überschreiben nicht die Einstellungen niedriger eingestufter Einstellungen.
- Wählen Sie im Navigationsbereich von Studio die Option Richtlinien aus. Stellen Sie sicher, dass die Registerkarte Richtlinien ausgewählt ist.
- Wählen Sie eine Richtlinie aus.
- Wählen Sie im Bereich Aktionen die Option Niedrigere Priorität oder Höhere Priorität aus.
Ausnahmen
Wenn Sie Richtlinien für Benutzergruppen, Benutzergeräte oder Maschinen erstellen, stellen Sie möglicherweise fest, dass einige Mitglieder der Gruppe Ausnahmen von bestimmten Richtlinieneinstellungen benötigen. Sie können Ausnahmen erstellen, indem Sie:
- Eine Richtlinie nur für die Gruppenmitglieder erstellen, die die Ausnahmen benötigen, und diese Richtlinie dann höher einstufen als die Richtlinie für die gesamte Gruppe
- Den Modus „Verweigern“ für eine der Richtlinie hinzugefügte Zuweisung verwenden
Eine Zuweisung, deren Modus auf Verweigern eingestellt ist, wendet eine Richtlinie nur auf Verbindungen an, die nicht den Zuweisungskriterien entsprechen. Beispielsweise enthält eine Richtlinie die folgenden Zuweisungen:
- Zuweisung A ist eine Client-IP-Adresszuweisung, die den Bereich 208.77.88.* angibt; der Modus ist auf „Zulassen“ eingestellt
- Zuweisung B ist eine Benutzerzuweisung, die ein bestimmtes Benutzerkonto angibt; der Modus ist auf „Verweigern“ eingestellt
Die Richtlinie wird auf alle Benutzer angewendet, die sich mit IP-Adressen im in Zuweisung A angegebenen Bereich an der Site anmelden. Die Richtlinie wird jedoch nicht auf den Benutzer angewendet, der sich mit dem in Zuweisung B angegebenen Benutzerkonto an der Site anmeldet, obwohl dem Computer des Benutzers eine IP-Adresse im in Zuweisung A angegebenen Bereich zugewiesen ist.
Bestimmen, welche Richtlinien auf eine Verbindung angewendet werden
Manchmal reagiert eine Verbindung nicht wie erwartet, weil mehrere Richtlinien angewendet werden. Wenn eine Richtlinie mit höherer Priorität auf eine Verbindung angewendet wird, kann sie die Einstellungen überschreiben, die Sie in der ursprünglichen Richtlinie konfiguriert haben. Sie können ermitteln, wie die endgültigen Richtlinieneinstellungen für eine Verbindung zusammengeführt werden, indem Sie den resultierenden Richtliniensatz berechnen.
Sie können den resultierenden Richtliniensatz auf folgende Weisen berechnen:
- Verwenden Sie den Citrix Gruppenrichtlinien-Modellierungsassistenten, um ein Verbindungsszenario zu simulieren und zu ermitteln, wie Citrix Richtlinien angewendet werden könnten. Sie können Bedingungen für ein Verbindungsszenario angeben, z. B. Domänencontroller, Benutzer, Nachweiswerte für die Zuweisung von Citrix Richtlinien und simulierte Umgebungseinstellungen wie eine langsame Netzwerkverbindung. Der vom Assistenten erstellte Bericht listet die Citrix Richtlinien auf, die in diesem Szenario wahrscheinlich wirksam werden würden. Wenn Sie als Domänenbenutzer am Controller angemeldet sind, berechnet der Assistent den resultierenden Richtliniensatz unter Verwendung von Standortrichtlinieneinstellungen und Active Directory-Gruppenrichtlinienobjekten (GPOs).
- Verwenden Sie Gruppenrichtlinienergebnisse, um einen Bericht zu erstellen, der die für einen bestimmten Benutzer und Controller wirksamen Citrix Richtlinien beschreibt. Das Tool Gruppenrichtlinienergebnisse hilft Ihnen, den aktuellen Status von GPOs in Ihrer Umgebung zu bewerten, und erstellt einen Bericht, der beschreibt, wie diese Objekte, einschließlich Citrix Richtlinien, derzeit auf einen bestimmten Benutzer und Controller angewendet werden.
Sie können den Citrix Gruppenrichtlinien-Modellierungsassistenten über den Bereich „Aktionen“ in Studio starten. Sie können beide Tools über die Gruppenrichtlinien-Verwaltungskonsole in Windows starten.
Wenn Sie den Citrix Gruppenrichtlinien-Modellierungsassistenten oder das Tool Gruppenrichtlinienergebnisse über die Gruppenrichtlinien-Verwaltungskonsole ausführen, werden die mit Studio erstellten Standortrichtlinieneinstellungen nicht in den resultierenden Richtliniensatz aufgenommen.
Um sicherzustellen, dass Sie den umfassendsten resultierenden Richtliniensatz erhalten, empfiehlt Citrix, den Citrix Gruppenrichtlinien-Modellierungsassistenten von Studio aus zu starten, es sei denn, Sie erstellen Richtlinien ausschließlich über die Gruppenrichtlinien-Verwaltungskonsole.
Verwenden des Citrix Gruppenrichtlinien-Modellierungsassistenten
Öffnen Sie den Citrix Gruppenrichtlinien-Modellierungsassistenten auf eine der folgenden Weisen:
- Wählen Sie im Navigationsbereich von Studio die Option „Richtlinien“ aus, wählen Sie die Registerkarte „Modellierung“ aus, und wählen Sie dann im Bereich „Aktionen“ die Option „Modellierungsassistent starten“ aus.
- Starten Sie die Gruppenrichtlinien-Verwaltungskonsole (gpmc.msc), klicken Sie im Strukturfenster mit der rechten Maustaste auf „Citrix Gruppenrichtlinienmodellierung“, und wählen Sie dann „Citrix Gruppenrichtlinien-Modellierungsassistent“ aus.
Befolgen Sie die Anweisungen des Assistenten, um den Domänencontroller, Benutzer, Computer, Umgebungseinstellungen und Citrix Zuweisungskriterien auszuwählen, die in der Simulation verwendet werden sollen. Nachdem Sie auf „Fertig stellen“ geklickt haben, erstellt der Assistent einen Bericht mit den Modellierungsergebnissen. In Studio wird der Bericht im mittleren Bereich unter der Registerkarte „Modellierung“ angezeigt.
Um den Bericht anzuzeigen, wählen Sie „Modellierungsbericht anzeigen“ aus.
Problembehandlung für Richtlinien
Benutzer, IP-Adressen und andere zugewiesene Objekte können mehrere Richtlinien gleichzeitig anwenden. Dies kann zu Konflikten führen, bei denen eine Richtlinie möglicherweise nicht wie erwartet funktioniert. Wenn Sie den Citrix Gruppenrichtlinien-Modellierungsassistenten oder das Tool Gruppenrichtlinienergebnisse ausführen, stellen Sie möglicherweise fest, dass keine Richtlinien auf Benutzerverbindungen angewendet werden. In diesem Fall sind Benutzer, die sich unter Bedingungen, die den Richtlinienbewertungskriterien entsprechen, mit ihren Anwendungen und Desktops verbinden, von keinen Richtlinieneinstellungen betroffen. Dies tritt auf, wenn:
- Keine Richtlinien Zuweisungen haben, die den Richtlinienbewertungskriterien entsprechen.
- Richtlinien, die der Zuweisung entsprechen, haben keine Einstellungen konfiguriert.
- Richtlinien, die der Zuweisung entsprechen, sind deaktiviert.
Wenn Sie Richtlinieneinstellungen auf die Verbindungen anwenden möchten, die die angegebenen Kriterien erfüllen, stellen Sie sicher:
- Die Richtlinien, die Sie auf diese Verbindungen anwenden möchten, sind aktiviert.
- Die Richtlinien, die Sie anwenden möchten, haben die entsprechenden Einstellungen konfiguriert.