Crear directivas
Antes de crear una directiva, decida a qué grupo de usuarios o dispositivos puede afectar. Puede crear una directiva según las funciones laborales del usuario, el tipo de conexión, el dispositivo de usuario o la ubicación geográfica.
Si ya creó una directiva aplicable a un grupo, considere la posibilidad de modificar dicha directiva, en lugar de crear otra directiva nueva. Después de modificar la directiva, configure los parámetros correspondientes. Evite la creación de una directiva exclusivamente para habilitar una configuración específica o para excluir la aplicación de la directiva a determinados usuarios.
Al crear una directiva, puede basarla en las configuraciones de una plantilla de directiva y personalizarlas según sea necesario. También puede crearla sin usar una plantilla y agregar las configuraciones que necesite.
En Citrix Studio, las nuevas directivas creadas se establecen como inhabilitadas a menos que se marque explícitamente la casilla Habilitar directiva.
Durante la creación de directivas y al configurar los parámetros, el sistema ofrece una opción para ver el tipo de parámetros. Puede ver los siguientes tipos de parámetros:
- Todos los parámetros: Ver todos los parámetros de todas las versiones de VDA
- Solo parámetros actuales: Ver solo los parámetros de las versiones actuales de VDA
- Solo parámetros antiguos: Ver solo los parámetros de las versiones retiradas de VDA
Para ver los parámetros mientras los configura:
- Inicie sesión en DaaS Premium.
- En el menú de navegación de la izquierda, haga clic en Directivas.
- En la ficha Directivas, haga clic en Crear directiva.
- En la tabla Seleccionar configuraciones, haga clic en el menú desplegable situado junto a Parámetros.
-
Seleccione una de las siguientes opciones del menú desplegable:
- Todos los parámetros: Ver todos los parámetros de todas las versiones de VDA
- Solo parámetros actuales: Ver solo los parámetros de las versiones actuales de VDA
- Solo parámetros antiguos: Ver solo los parámetros de las versiones retiradas de VDA
- La tabla Parámetros muestra los parámetros disponibles en función del paso anterior.
Configuraciones de directivas
Las configuraciones de directiva pueden estar habilitadas, inhabilitadas o sin configurar. De forma predeterminada, las configuraciones de directiva no están definidas; es decir, que no están agregadas a una directiva. La configuración solamente puede aplicarse cuando se agrega a una directiva.
Al configurar los parámetros para crear o modificar una directiva, si todos los grupos de entrega están inhabilitados, el sistema muestra una señal de notificación de advertencia de que ninguno de los elementos de este filtro está habilitado. Si hay al menos un grupo de entrega habilitado, el sistema no muestra la señal de advertencia.
Para ver la advertencia al crear una directiva:
- Inicie sesión en DaaS Premium.
- En el menú de navegación de la izquierda, haga clic en Directivas.
- En la ficha Directivas, haga clic en Crear directiva.
- En la tabla Seleccionar configuraciones, seleccione cualquier configuración y haga clic en Siguiente.
- En la tabla Asignar directiva a, seleccione un filtro del menú desplegable.
- Desmarque la casilla Habilitar y haga clic en Guardar.
Nota:
No todos los filtros permiten desmarcar la casilla Habilitar. En la tabla Filtros, el filtro muestra la advertencia.
Para ver la advertencia al modificar una directiva:
- Inicie sesión en DaaS Premium.
- En el menú de navegación de la izquierda, haga clic en Directivas.
- En la ficha Directivas, seleccione cualquiera de las directivas de la lista y haga clic en Modificar directiva.
- En la página Modificar directiva, haga clic en Asignar directiva a en el menú de navegación de la izquierda.
-
En la tabla Filtro, seleccione o haga clic en Modificar para el filtro requerido:
- Si un filtro no tiene el botón Modificar, seleccione el filtro.
- Si un filtro tiene el botón de modificación, haga clic en Modificar.
- Desmarque la opción Habilitar y haga clic en Guardar.
Nota:
No todos los filtros permiten desmarcar la casilla Habilitar. En la tabla Filtros, el filtro muestra la advertencia.
Algunas configuraciones de directiva pueden tener uno de los siguientes estados:
- Allowed or Prohibited allows or prevents the action controlled by the setting. Sometimes users are allowed or prevented from managing the setting’s action in a session. For example, if the menu animation setting is set to Allowed, users can control menu animations in their client environment
- Enabled or Disabled turns the setting on or off. If you disable a setting, it is not enabled in lower-ranked policies.
Asimismo, algunas configuraciones controlan la eficacia de otras configuraciones dependientes. Por ejemplo: la configuración Redirección de unidades del cliente controla si los usuarios pueden acceder a las unidades de sus dispositivos. Para permitir que los usuarios accedan a sus unidades de red, es necesario agregar tanto este parámetro como el parámetro Unidades de red del cliente a la directiva. Si la configuración Redirección de unidades del cliente está inhabilitada, los usuarios no pueden acceder a sus unidades de red aunque la configuración Unidades de red del cliente esté habilitada.
En general, los cambios de configuraciones de directiva que afectan a máquinas surten efecto cuando se reinicia el escritorio virtual o cuando un usuario inicia una sesión. Los cambios de configuraciones de directiva que afectan a usuarios surten efecto la próxima vez que el usuario inicia una sesión.
Para algunas configuraciones de directiva, puede especificar o seleccionar un valor cuando se las agrega a una directiva. Puede limitar la configuración del parámetro si selecciona Usar el valor predeterminado. Esta selección impide configurar el parámetro y permite usar solo el valor predeterminado al aplicar la directiva. Esta selección es independiente del valor que se haya introducido antes de seleccionar Usar valor predeterminado.
Recomendaciones:
- Asigne las directivas a grupos y no a usuarios individuales. Si asigna directivas a un grupo, las asignaciones se actualizan automáticamente cuando se agregan o se quitan usuarios.
- Inhabilite las directivas que no use. Las directivas sin configuración generan una actividad de procesamiento innecesaria.
Asignaciones de directiva
Al crear una directiva, se asigna a determinados objetos de usuario y máquina. Esa directiva se aplica a las conexiones según criterios o reglas específicos. Por lo general, es posible agregar tantas asignaciones como se desee a una directiva, según una combinación de criterios. Si no se especifica ninguna asignación, la directiva se aplica a todas las conexiones.
Si no especifica ninguna asignación o especifica asignaciones, pero las inhabilita, la directiva se aplica a todas las conexiones.
Nota:
Las asignaciones de directivas también se conocen como filtros de directivas. Para obtener información adicional, consulte los siguientes temas:
En la siguiente tabla se muestran las asignaciones disponibles:
Nombre de asignación | Aplica una directiva según |
---|---|
Control de acceso | Condiciones de control de acceso del cliente. Tipo de conexión: Si se debe aplicar la directiva a las conexiones realizadas con o sin NetScaler Gateway. Nombre de la comunidad de NetScaler Gateway: Nombre del servidor virtual de NetScaler Gateway. Condición de acceso: Nombre de la directiva de análisis o de la directiva de sesión que se va a usar en el dispositivo de punto final. |
Citrix SD-WAN | Si se inicia una sesión de usuario a través de Citrix SD-WAN. Nota: Puede agregar solo una asignación de Citrix SD-WAN a una directiva. |
Dirección IP del cliente | Dirección IP del dispositivo del usuario, utilizado para conectarse a la sesión. Ejemplos de IPv4: 12.0.0.0, 12.0.0.*, 12.0.0.1-12.0.0.70, 12.0.0.1/24. Ejemplos de IPv6: 2001:0db8:3c4d:0015:0:0:abcd:ef12, 2001:0db8:3c4d:0015::/54 |
Nombre del cliente | Nombre del dispositivo de usuario. Coincidencia exacta: ClientABCName. Uso de comodines: Client*Name. |
Grupo de entrega | Pertenencia a un grupo de entrega. |
Tipo de grupo de entrega | Tipo de escritorio o aplicación: escritorio privado, escritorio compartido, aplicación privada o aplicación compartida. |
Unidad organizativa (UO) | Unidad organizativa. |
Etiqueta | Etiquetas. Nota: Aplique esta directiva a todas las máquinas etiquetadas. Las etiquetas de aplicación no están incluidas. |
Usuario o grupo | Nombre de usuario o grupo. |
Cuando un usuario inicia sesión, se identifican todas las directivas que coinciden con las asignaciones para la conexión. Las directivas se ordenan por prioridad y se comparan varias instancias de cualquier configuración. Cada configuración se aplica según la clasificación de prioridades de la directiva. Toda configuración de directiva que esté inhabilitada prevalece sobre las configuraciones habilitadas de menor prioridad. Las configuraciones de directiva que no están configuradas se ignoran.
Importante:
Si configura las directivas de Active Directory y Citrix mediante la Consola de administración de directivas de grupo, es posible que las asignaciones y las configuraciones no se apliquen de la forma esperada. Para obtener más información, consulte CTX127461.
De forma predeterminada se proporciona una directiva “Sin filtro”.
- Si utiliza Studio para administrar las directivas de Citrix, las configuraciones que agregue a la directiva sin filtro se aplican a todos los servidores, escritorios y conexiones de un sitio.
- Los sitios y las conexiones deben estar en el ámbito de los objetos de directiva de grupo (GPO) que incluye la directiva. Por ejemplo: la unidad organizativa Ventas incluye un GPO denominado Ventas-EE. UU. que incluye a todos los miembros del equipo de ventas de los Estados Unidos. El GPO Ventas-EE. UU. tiene configurada una directiva sin filtro que incluye varias configuraciones de directiva de usuario. Cuando el jefe de Ventas-EE. UU. inicia sesión en el sitio, la configuración de la directiva sin filtro se aplica automáticamente a la sesión. Esto se debe a que el usuario es miembro del GPO Ventas-EE. UU.
El modo de una asignación determina si la directiva se aplica exclusivamente a las conexiones que coinciden con todos los criterios de la asignación. Si el modo está establecido en Permitir (Allow) (valor predeterminado), la directiva se aplica solamente a las conexiones que coinciden con los criterios de la asignación. Si el modo está establecido en Denegar (Deny), la directiva se aplica si la conexión no coincide con las asignaciones del filtro. Los siguientes ejemplos ilustran cómo los modos de las asignaciones afectan a las directivas de Citrix cuando hay varias asignaciones.
-
Ejemplo: Asignaciones del mismo tipo en modos distintos: En las directivas con dos asignaciones del mismo tipo, donde una está establecida en Permitir y la otra en Denegar, la asignación establecida en Denegar tiene precedencia, siempre que la conexión satisfaga ambas asignaciones. Por ejemplo:
La directiva 1 incluye las siguientes asignaciones:
- La asignación A especifica el grupo Ventas. El modo está establecido en Permitir.
- La asignación B especifica la cuenta del jefe de ventas. El modo está establecido en Denegar.
Como el modo de la asignación B es Denegar, no se aplica la directiva cuando el jefe de Ventas inicia sesión en el sitio, aunque este usuario sea miembro del grupo Ventas.
-
Ejemplo: Asignaciones de diferentes tipos con modos iguales: En las directivas con dos o más asignaciones de diferentes tipos, establecidas en Permitir, la conexión debe satisfacer al menos una asignación de cada tipo para que se aplique la directiva. Por ejemplo:
La directiva 2 incluye las siguientes asignaciones:
- La asignación C es una asignación de usuario que especifica el grupo Ventas. El modo está establecido en Permitir.
- La asignación D es una asignación de dirección IP del cliente que especifica 10.8.169.* (la red de la empresa). El modo está establecido en Permitir.
Cuando el jefe de Ventas inicia sesión en el sitio desde la oficina, se aplica la directiva, ya que la conexión satisface ambas asignaciones.
La directiva 3 incluye las siguientes asignaciones:
- La asignación E es una asignación de usuario que especifica el grupo Ventas. El modo está establecido en Permitir.
- La asignación F es una asignación de control de acceso que especifica condiciones de conexión de NetScaler Gateway. El modo está establecido en Permitir.
Cuando el jefe de Ventas inicia sesión en el sitio desde la oficina, no se aplica la directiva, ya que la conexión no cumple con los requisitos de la asignación F.