Product Documentation

Anwenden von Richtlinien

Sep 29, 2015

Wenn Sie eine Richtlinie bestimmten Benutzer- und Maschinenobjekten zuweisen, wird sie gemäß bestimmter Kriterien oder Regeln auf Verbindungen angewendet. Wenn keine Zuweisung hinzugefügt wurde, gilt die Richtlinie für alle Verbindungen.

Basierend auf einer Kombination von Kriterien können Sie in der Regel beliebig viele Zuweisungen für eine Richtlinie hinzufügen.
Hinweis: Sie können einer Richtlinie nur eine Citrix CloudBridge-Zuweisung hinzufügen.

In der folgenden Tabelle werden verfügbare Zuweisungen aufgelistet:

Name Beschreibung

Zugriffssteuerung

Wendet die Richtlinie basierend auf den Zugriffssteuerungsbedingungen an, die für die Clientverbindung gelten.

Citrix CloudBridge

Wendet die Richtlinie abhängig davon an, ob der Sitzungsstart über Citrix CloudBridge erfolgte.

Client-IP-Adresse

Wendet die Richtlinie basierend auf der IP-Adresse (IPv4 oder IPv6) des Benutzergeräts an, über das die Verbindung mit der Sitzung hergestellt wird.

IPv4-Beispiele:
  • 12.0.0.0
  • 12.0.0.*
  • 12.0.0.1-12.0.0.70
  • 12.0.0.1/24
IPv6-Beispiele:
  • 2001:0db8:3c4d:0015:0:0:abcd:ef12
  • 2001:0db8:3c4d:0015::/54

Clientname

Wendet die Richtlinie basierend auf dem Namen des Benutzergeräts an, über das die Verbindung mit der Sitzung hergestellt wird.

Bereitstellungsgruppe

Wendet die Richtlinie basierend auf der Bereitstellungsgruppen-Mitgliedschaft des Desktops an, auf dem die Sitzung ausgeführt wird.

Desktoptyp

Wendet eine Richtlinie basierend auf dem Typ des Desktops an, auf dem die Sitzung ausgeführt wird.

Organisationseinheit

Wendet eine Richtlinie basierend auf der Organisationseinheit des Desktops an, auf dem die Sitzung ausgeführt wird.

Tag

Wendet eine Richtlinie basierend auf beliebigen Tags an, die auf dem Desktop angewendet werden, auf dem die Sitzung ausgeführt wird.

Benutzer oder Gruppe

Wendet die Richtlinie basierend auf dem Benutzernamen oder der Gruppenmitgliedschaft des Benutzers an, der die Verbindung mit der Sitzung herstellt.

Alle Richtlinien, die mit den Zuweisungen für die Verbindung übereinstimmen, werden bei der Anmeldung eines Benutzers identifiziert. Die identifizierten Richtlinien werden nach Priorität sortiert und mehrere Instanzen jeder Einstellung werden verglichen. Die einzelnen Einstellungen werden gemäß der Richtlinien-Prioritätsreihenfolge angewendet. Wenn Sie Active Directory verwenden, werden Richtlinieneinstellungen aktiviert, wenn Active Directory Richtlinien in 90-Minuten-Intervallen neu evaluiert, und bei der Anmeldung eines Benutzers angewendet.

Jede deaktivierte Richtlinieneinstellung hat Vorrang vor einer aktivierten Richtlinieneinstellung, deren Priorität niedriger ist. Richtlinieneinstellungen, die nicht konfiguriert sind, werden ignoriert.

Wichtig: Bei der Konfiguration von Active Directory- und Citrix Richtlinien mit der Gruppenrichtlinien-Verwaltungskonsole werden Zuweisungen und Einstellungen möglicherweise nicht wie erwartet angewendet. Weitere Informationen finden Sie unter http://support.citrix.com/article/CTX127461.

Ungefilterte Richtlinien

Standardmäßig gibt es eine Richtlinie "Ungefiltert". Die Einstellungen, die der Richtlinie hinzugefügt werden, gelten für alle Verbindungen.

Wenn Sie Studio zur Verwaltung von Citrix Richtlinien verwenden, werden die Einstellungen, die Sie der Richtlinie "Ungefiltert" hinzufügen, auf alle Server, Desktops und Verbindungen einer Site angewendet.

Wenn Sie in Ihrer Umgebung Active Directory verwenden und mit dem Gruppenrichtlinien-Editor Citrix Richtlinien verwalten, gelten Einstellungen, die Sie der Richtlinie "Ungefiltert" hinzufügen, für alle Sites und Verbindungen, die zu dem Geltungsbereich des Gruppenrichtlinienobjekts gehören, das die Richtlinie enthält. Beispiel: Die Organisationseinheit (OU) "Verkauf" enthält ein Gruppenrichtlinienobjekt "Verkauf-USA", das alle Mitarbeiter des US-Verkaufsteams einschließt. Das Gruppenrichtlinienobjekt "Verkauf-USA" ist mit einer Richtlinie "Ungefiltert" konfiguriert, die mehrere Benutzerrichtlinieneinstellungen enthält. Wenn der US-Verkaufsleiter sich an der Site anmeldet, werden die Einstellungen der Richtlinie "Ungefiltert" automatisch auf die Sitzung angewendet, weil der Benutzer Mitglied des Gruppenrichtlinienobjekts "Verkauf-USA" ist.

Zuweisungsmodi

Der Modus einer Zuweisung entscheidet, ob die Richtlinie nur auf Verbindungen angewendet wird, die alle Zuweisungskriterien erfüllen. Wenn der Modus Zulassen (Standardwert) ist, wird die Richtlinie nur auf Verbindungen angewendet, die die Zuweisungskriterien erfüllen. Wenn der Modus Verweigern ist, wird die Richtlinie angewendet, wenn eine Verbindung die Zuweisungskriterien nicht erfüllt. Das folgende Beispiel zeigt, wie Zuweisungsmodi sich auf Citrix Richtlinien auswirken, wenn mehrere Zuweisungen vorhanden sind.

Beispiel: Zuweisungen des gleichen Typs mit unterschiedlichen Modi

In Richtlinien mit zwei Zuweisungen des gleichen Typs, eine mit der Einstellung Zulassen und die andere mit der Einstellung Verweigern, hat die Zuweisung mit der Einstellung Verweigern Vorrang, wenn die Verbindung die Kriterien beider Zuweisungen erfüllt. Beispiel:

Richtlinie 1 enthält die folgenden Zuweisungen:
  • Zuweisung A ist eine Benutzerzuweisung, die die Verkaufsgruppe angibt, und der Modus ist Zulassen.
  • Zuweisung B ist eine Benutzerzuweisung, die das Konto des Verkaufsleiters angibt, und der Modus ist Verweigern.

Da der Modus für Zuweisung B Verweigern ist, wird die Richtlinie nicht angewendet, wenn der Verkaufsleiter sich bei der Site anmeldet, obwohl er Mitglied der Verkaufsgruppe ist.

Beispiel: Zuweisungen unterschiedlichen Typs mit gleichen Modi

In Richtlinien mit zwei oder mehr Zuweisungen unterschiedlichen Typs, für die Zulassen eingestellt ist, muss die Verbindung die Kriterien von mindestens einer Zuweisung jedes Typs erfüllen, damit die Richtlinie angewendet wird. Beispiel:

Richtlinie 2 enthält die folgenden Zuweisungen:
  • Zuweisung C ist eine Benutzerzuweisung, die die Verkaufsgruppe angibt, und der Modus ist Zulassen.
  • Zuweisung D ist eine Client-IP-Adressenzuweisung, die 10.8.169.* festlegt (das Unternehmensnetzwerk), und der Modus ist Zulassen.

Wenn der Verkaufsleiter sich im Büro bei der Site anmeldet, wird die Richtlinie angewendet, weil die Verbindung die Kriterien beider Zuweisungen erfüllt.

Richtlinie 3 enthält die folgenden Zuweisungen:
  • Zuweisung E ist eine Benutzerzuweisung, die die Verkaufsgruppe angibt, und der Modus ist Zulassen.
  • Zuweisung F ist eine Zugriffssteuerungszuweisung, die NetScaler Gateway-Verbindungsbedingungen angibt, und der Modus ist Zulassen.

Wenn der Verkaufsleiter sich im Büro bei der Site anmeldet, wird die Richtlinie nicht angewendet, weil die Verbindung nicht die Kriterien von Zuweisung F erfüllt.

Anwenden einer Richtlinie

Soll eine Richtlinie nur auf bestimmte Benutzer- und Maschinenobjekte angewendet werden, müssen Sie ihr mindestens eine Zuweisung hinzufügen. Wenn Sie keine Zuweisung hinzufügen, werden die Richtlinieneinstellungen auf alle Verbindungen angewendet, es sei denn, die Richtlinieneinstellungen werden von Einstellungen einer Richtlinie mit einer höheren Priorität außer Kraft gesetzt.
  1. Wählen Sie in Studio im linken Bereich den Knoten Richtlinie aus.
  2. Klicken Sie auf die Registerkarte Richtlinien und wählen Sie eine bestehende Richtlinie aus oder erstellen Sie eine neue Richtlinie.
  3. Befolgen Sie die Anweisungen des Richtlinien-Assistenten bis Sie zu der Seite Benutzer und Maschinen gelangen.
  4. Wählen Sie die Zuweisung aus, die Sie anwenden möchten, und klicken Sie dann auf Zuweisen.
  5. Wählen Sie im Dialogfeld Richtlinie zuweisen den Modus für die Zuweisung aus und konfigurieren Sie die Zuweisungselemente:
    Assignment Type Parameter
    Zugriffssteuerung
    • Verbindungstyp: Wählen Sie aus, ob die Richtlinie auf Verbindungen anzuwenden ist, die mit NetScaler Gateway hergestellt wurden, oder auf solche, die ohne NetScaler Gateway hergestellt wurden.
    • NetScaler Gateway-Farmname: Geben Sie den Namen des virtuellen Servers für NetScaler Gateway (früher "Access Gateway") ein.
    • Zugriffsbedingung: Geben Sie den Namen der Endpunktanalyserichtlinie oder der Sitzungsrichtlinie ein, die verwendet werden soll.
    Citrix CloudBridge Verbindungen: Wählen Sie aus, ob die Richtlinie auf Verbindungen anzuwenden ist, die mit Citrix CloudBridge gestartet wurden, oder auf solche, die ohne Citrix CloudBridge gestartet wurden.
    Client-IP-Adresse IP-Adresse: IP-Adresse des Benutzergeräts, auf das die Richtlinie angewendet werden soll.
    Clientname Clientname: Name des Benutzergeräts, auf das die Richtlinie angewendet werden soll.
    Bereitstellungsgruppe
    • Controller: Name des Controllers zur Verwaltung der Desktops, auf den die Richtlinie angewendet wird.
    • Bereitstellungsgruppe: Name der Bereitstellungsgruppe, auf die die Richtlinie angewendet wird.
    Desktoptyp
    Desktoptyp: Typ des Desktops, auf den Sie die Richtlinie anwenden. Wählen Sie eine der folgenden Optionen:
    • Privater Desktop
    • Freigegebener Desktop
    • Private Anwendung
    • Freigegebene Anwendung
    Organisationseinheit Organisationseinheit: Name der Organisationseinheit, auf die die Richtlinie angewendet werden soll.
    Tag
    • Controller: Name des Controllers zur Verwaltung der Desktops, auf den die Richtlinie angewendet wird.
    • Tag: Desktop-Tag, das beim Anwenden der Richtlinie gesucht werden soll.
    Benutzer oder Gruppe Benutzer- oder Gruppenname: Name des Benutzers bzw. der Gruppe, auf den bzw. die die Richtlinie angewendet werden soll.

Die Richtlinie wird angewendet, wenn die relevanten Benutzer das nächste Mal eine Verbindung herstellen.

Verwenden mehrerer Richtlinien für die Anpassung von Benutzerzugriff

Aktualisiert: 2015-04-26

Sie können mehrere Richtlinien verwenden, um Ihre Umgebung an die Anforderungen der Benutzer, basierend auf deren Aufgabengebiet, geografischem Standort oder Verbindungstyp anzupassen. Beispielsweise sind Sie vielleicht aus Sicherheitsgründen gezwungen, Benutzergruppen, die regelmäßig mit äußerst wichtigen Daten Umgang haben, Beschränkungen aufzuerlegen. Sie können eine Richtlinie erstellen, die Benutzer daran hindert, vertrauliche Daten auf ihren lokalen Clientlaufwerken zu speichern. Wenn jedoch manche Mitglieder dieser Benutzergruppe Zugang zu ihren lokalen Laufwerken benötigen, können Sie eine andere Richtlinie für diese Benutzer erstellen. Anschließend können Sie den beiden Richtlinien jeweils eine Priorität zuweisen und damit festlegen, welche Richtlinie Vorrang haben soll.

Wenn Sie mehrere Richtlinien verwenden, müssen Sie festlegen, wie Prioritäten zugewiesen und Ausnahmen erstellt werden und wie die wirksame Richtlinie bei Richtlinienkonflikten angezeigt wird.

In der Regel setzen Richtlinien ähnliche Einstellungen, die für die gesamte Site, für bestimmte Controller oder auf dem Benutzergerät konfiguriert wurden, außer Kraft. Die Ausnahme von diesem Prinzip sind Sicherheitseinstellungen. Die höchste Verschlüsselungseinstellung in der Umgebung, einschließlich Betriebssystem, und die Spiegelungseinstellung mit der größten Einschränkung haben immer Vorrang vor allen anderen Einstellungen und Richtlinien.

Citrix Richtlinien interagieren mit den Richtlinien, die Sie im Betriebssystem eingestellt haben. In einer Citrix Umgebung überschreiben Citrix Einstellungen die gleichen Einstellungen in einer Active Directory-Richtlinie oder in der Konfiguration des Remotedesktop-Sitzungshosts. Dazu gehören auch Einstellungen, die mit typischen Remotedesktopprotokoll-Clientverbindungseinstellungen zusammenhängen, wie Desktophintergrund, Menüanimation und das Anzeigeverhalten beim Drag & Drop. Manche Richtlinieneinstellungen, wie SecureICA, müssen mit den Richtlinien und Einstellungen im Betriebssystem übereinstimmen. Wenn anderswo ein höherer Verschlüsselungsgrad festgelegt wurde, kann die SecureICA-Richtlinieneinstellung oder die Einstellung beim Veröffentlichen einer Anwendung außer Kraft gesetzt werden.

Beispiel: Verschlüsselungseinstellungen, die Sie beim Erstellen von Bereitstellungsgruppen zur Bereitstellung von Anwendungen und Desktops für Benutzer angeben, müssen mindestens den gleichen Verschlüsselungsgrad aufweisen wie die umgebungsweit geltenden Verschlüsselungseinstellungen.

Festlegen der Richtlinienpriorität und Erstellen von Ausnahmen

Durch Festlegen der Richtlinienpriorität definieren Sie, welche Richtlinie Vorrang hat, wenn es Konflikte gibt. Der Prozess für die Auswertung der Richtlinien ist wie folgt:
  1. Alle Richtlinien, die mit den Zuweisungen für die Verbindung übereinstimmen, werden bei der Anmeldung eines Benutzers identifiziert.
  2. Die identifizierten Richtlinien werden nach Priorität sortiert und mehrere Instanzen jeder Einstellung werden verglichen. Die einzelnen Einstellungen werden gemäß der Richtlinien-Prioritätsreihenfolge angewendet.

Sie weisen Richtlinien eine Priorität zu, indem Sie ihnen eine andere Prioritätszahl geben. Neue Richtlinien erhalten standardmäßig die niedrigste Priorität. Falls widersprüchliche Richtlinieneinstellungen auftreten, setzt eine Richtlinie mit einem höheren Prioritätswert (eine Priorität von "1" hat die höchste Priorität) eine Richtlinie mit einem niedrigeren Prioritätswert außer Kraft. Einstellungen werden nach der Priorität und dem Zustand der Einstellung, z. B. ob die Einstellung deaktiviert oder aktiviert ist, zusammengeführt. Jede deaktivierte Einstellung hat Vorrang vor einer aktivierten Einstellung, deren Priorität niedriger ist. Richtlinieneinstellungen, die nicht konfiguriert sind, werden ignoriert und setzen keine Einstellungen mit niedrigerer Priorität außer Kraft.

Wenn Sie Richtlinien für Benutzergruppen, Benutzergeräte oder Maschinen erstellen, werden Sie möglicherweise feststellen, dass für einige Mitglieder einer Gruppe Ausnahmen zu einigen Einstellungen erstellt werden müssen. Sie können Ausnahmen wie folgt erstellen:
  • Erstellen Sie eine Richtlinie für die Gruppenmitglieder, für die Ausnahmen erforderlich sind, und stufen Sie die Richtlinie mit höherer Priorität ein als die Richtlinie für die gesamte Gruppe.
  • Verwenden Sie den Modus Verweigern in einer Zuweisung, die Sie der Richtlinie hinzufügen.
Die Zuweisung im Modus Verweigern wendet eine Richtlinie nur auf Verbindungen an, die nicht den Zuweisungskriterien entsprechen. Beispielsweise könnte eine Richtlinie folgende Zuweisungen enthalten:
  • Zuweisung A ist eine Client-IP-Adressenzuweisung, die den Bereich 208.77.88.* festlegt, und der Modus ist Zulassen.
  • Zuweisung B ist eine Benutzerzuweisung, die ein spezifisches Benutzerkonto angibt, und der Modus ist Verweigern.

Die Richtlinie wird auf alle Benutzer angewendet, die sich mit IP-Adressen aus dem in Zuweisung A festgelegten Bereich bei der Site anmelden. Die Richtlinie wird aber nicht auf den Benutzer angewendet, der sich mit dem in Zuweisung B festgelegten Konto anmeldet, obwohl dem Computer dieses Benutzers eine IP-Adresse aus dem in Zuweisung A festgelegten Bereich zugewiesen wurde.