Decisión de diseño: diseño de directivas de referencia

Overview

Las directivas proporcionan la base para configurar y ajustar los entornos Citrix Virtual Apps and Desktops. Las directivas permiten a las organizaciones controlar la configuración en función de varias combinaciones de usuarios, dispositivos o tipos de conexión e incluir configuraciones para:

  • Conexiones
  • Seguridad
  • Ancho de banda

Al tomar decisiones sobre directivas, tenga en cuenta las directivas de Microsoft y Citrix para incluir toda la configuración de experiencia del usuario, seguridad y optimización. Este artículo se centra únicamente en las directivas de Citrix. Para obtener una lista de todas las configuraciones de directivas relacionadas con Citrix, consulte la Referencia de configuraciones de directivas de Citrix.

Decisión: Motor preferido para las directivas

Las organizaciones pueden configurar las políticas de Citrix mediante Citrix Studio, Web Studio o mediante la política de grupo de Active Directory. Las directivas de Active Directory utilizan archivos de Citrix ADMX, que amplían la directiva de grupo y proporcionan mecanismos avanzados de filtrado.

El uso de la directiva de grupo de Active Directory permite a las organizaciones administrar directivas de Windows y directivas de Citrix en la misma ubicación, y minimiza las herramientas administrativas necesarias para la administración de directivas. Las directivas de grupo se replican automáticamente en los controladores de dominio, protegiendo la información y simplificando la aplicación de directivas.

Utilice las consolas administrativas de Citrix si los administradores de Citrix no tienen acceso a las directivas de Active Directory. Seleccione el método más adecuado para las necesidades de la organización y utilice ese método de manera coherente. El uso de un único método evita confusiones con varias ubicaciones de directivas de Citrix.

Es importante entender cómo fluye la agregación de directivas, conocida como prioridad de directivas, para entender cómo se crea un conjunto resultante de directivas. Con las directivas de Active Directory y Citrix, la prioridad es la siguiente:

Precedencia de directivas Tipo de directiva
Primera procesada (precedencia más baja) Directivas de máquinas locales
Segunda procesada Directivas de Citrix creadas mediante las consolas administrativas de Citrix
Tercera procesada Directivas de AD a nivel de sitio
Cuarta procesada Directivas de AD a nivel de dominio
Quinta procesada Unidad organizativa de nivel más alto en el dominio
Sexta procesada y subsiguientes Unidad organizativa de nivel posterior en el dominio
Última procesada (precedencia más alta) Unidad organizativa de nivel más bajo que contiene el objeto

Las directivas de cada nivel se agregan a una directiva final que se aplica al usuario o al equipo. En la mayoría de las implementaciones empresariales, los administradores de Citrix no tienen permisos para cambiar las directivas fuera de sus unidades de organización específicas, que suelen ser el nivel más alto de prioridad. Cuando se requieran excepciones, utilice la configuración de “herencia de bloques” y “no sobrescribir” para administrar la configuración de directiva que se aplica desde la parte superior del árbol de unidades organizativas. La herencia de bloques impide que configuraciones de las unidades organizativas de nivel superior (precedencia inferior) se incorpore a la directiva. Sin embargo, al configurar una directiva de unidad organizativa de nivel superior sin anulación, no se aplica la configuración de herencia de bloques. Por esta razón, se debe tener cuidado en la planificación de directivas. Utilice las herramientas disponibles como el “Conjunto resultante de directivas de Active Directory” o el “Asistente para modelado de directivas de grupo de Citrix” para validar los resultados observados con los resultados esperados.

Nota:

Algunas opciones de configuración de directivas de Citrix, si se utilizan, deben configurarse mediante la directiva de grupo de Active Directory. Por ejemplo, los Delivery Controllers y el puerto de registro de Delivery Controller son necesarios para el registro de los VDA.

Decisión: Integración de las directivas

Al configurar directivas, las organizaciones suelen requerir directivas de Active Directory y Citrix para crear un entorno completamente configurado. Con el uso de ambos conjuntos de directivas, el conjunto resultante de directivas puede resultar confuso de determinar. A veces, especialmente en relación con los Servicios de Escritorio remoto de Windows (RDS) y las directivas de Citrix, se puede configurar una funcionalidad similar en dos ubicaciones diferentes. Por ejemplo, es posible habilitar la asignación de unidades de cliente en una directiva de Citrix e inhabilitar la asignación de unidades de cliente en una directiva de RDS. La capacidad de utilizar la función deseada puede depender de la combinación de directivas RDS y Citrix. Es esencial comprender que las directivas de Citrix se basan en la funcionalidad disponible en Servicios de Escritorio remoto. Si la función requerida está explícitamente inhabilitada en la directiva RDS, la directiva de Citrix no puede afectar a una configuración.

Para evitar esta confusión, Citrix recomienda configurar directivas RDS solo cuando sea necesario, y no hay ninguna directiva correspondiente en la configuración de Citrix Virtual Apps and Desktops. Configure únicamente directivas RDS si la configuración es necesaria para el uso de RDS dentro de la organización. La configuración de directivas con el denominador común más alto simplifica el proceso de comprensión del conjunto resultante de directivas y la solución de problemas de configuración de directivas.

Decisión: Ámbito de aplicación de las directivas

Una vez creadas las directivas, aplique las directivas a grupos de usuarios, equipos o ambos, en función del resultado requerido. El filtrado de directivas permite que las directivas se apliquen al usuario o a los grupos de equipos necesarios. Con las directivas basadas en Active Directory, una decisión crucial es aplicar una directiva a equipos o usuarios dentro del sitio, dominio o unidades organizativas (OU). Las directivas de Active Directory se dividen en la configuración de usuario y la configuración de equipo. De forma predeterminada, la configuración de usuario se aplica a los usuarios que residen en la unidad organizativa al iniciar sesión. Los ajustes dentro de la configuración del equipo se aplican al equipo al iniciar el sistema y afectan a todos los usuarios que inician sesión en el sistema. Un aspecto complejo de la asociación de directivas con implementaciones de Active Directory y Citrix gira en torno a tres áreas principales:

  • Directivas de equipo específicas del entorno
    Citrix Los servidores y los escritorios virtuales Citrix suelen tener directivas de equipo que se crean e implementan específicamente para el entorno. La aplicación de estas directivas se logra fácilmente mediante la creación de estructuras de unidad organizativa independientes para los servidores y los escritorios virtuales. A continuación, las directivas específicas se pueden crear y aplicar con confianza solo a los equipos dentro de la unidad organizativa y debajo y nada más. En función de los requisitos, divida escritorios virtuales y servidores dentro de la estructura de la unidad organizativa según las funciones de servidor, las ubicaciones geográficas o las unidades de negocio.
  • Directivas de usuario específicas de Citrix
    Al crear directivas para Citrix Virtual Apps and Desktops, se aplican varias directivas específicas para la experiencia del usuario y la seguridad en función de la conexión del usuario. Sin embargo, la cuenta del usuario puede estar ubicada en cualquier parte de la estructura de Active Directory, lo que crea dificultades para aplicar simplemente directivas basadas en la configuración del usuario. No es deseable aplicar las configuraciones específicas de Citrix en el nivel de dominio, ya que la configuración se aplicaría a todos los sistemas en los que un usuario inicie sesión. La aplicación de los parámetros de configuración del usuario en la unidad organizativa donde se encuentran los servidores Citrix o los escritorios virtuales tampoco funciona. Las cuentas de usuario no se encuentran dentro de esa unidad organizativa, por lo tanto, la configuración no se aplica a los usuarios. La solución es aplicar una directiva de bucle invertido. Una directiva de bucle invertido es una directiva de configuración de equipo que obliga al equipo a aplicar la directiva de configuración de usuario asignada de la unidad organizativa a cualquier usuario que inicie sesión en el servidor o en el escritorio virtual. La ubicación del usuario en Active Directory no afecta a la configuración aplicada en una directiva de bucle invertido. El procesamiento de bucle invertido se puede aplicar al modo de fusión o reemplazo. El uso del modo de reemplazo sobrescribe todo el objeto de directiva de grupo (GPO) de usuario con la directiva del servidor Citrix o la unidad organizativa de escritorio virtual. El modo de combinación combina el GPO del usuario con el GPO del servidor Citrix o la unidad organizativa de escritorio. Dado que los GPO del equipo se procesan después de los GPO del usuario cuando se configura el modo de combinación, la configuración de unidad organizativa relacionada con Citrix tiene prioridad. Cuando se utiliza el modo de combinación, la configuración de unidad organizativa relacionada con Citrix se aplica en caso de conflicto. Para obtener más información, consulte el artículo de soporte de Microsoft Loopback processing of Group Policy.
  • Filtrado de directivas de Active Directory
    En casos más avanzados, puede ser necesario aplicar una configuración de directiva a un pequeño subconjunto de usuarios, como los administradores de Citrix. En este caso, el procesamiento de bucle invertido solo se aplica a un subconjunto de usuarios, no a todos los usuarios que inician sesión en el sistema. Utilice el filtrado de directivas de Active Directory para especificar usuarios o grupos de usuarios específicos a los que se aplica la directiva. Se puede crear una directiva para una función específica. Además, se puede establecer un filtro de directivas para que aplique esa directiva solo a un grupo de usuarios. El filtrado de directivas se realiza por las propiedades de seguridad de cada directiva de destino.

Las directivas de Citrix creadas con Citrix Studio tienen una configuración de filtro específica disponible, que se utiliza para abordar situaciones de filtrado de directivas que no están disponibles cuando se utiliza la directiva de grupo. Aplique directivas de Citrix mediante cualquier combinación de los siguientes filtros:

Nombre del filtro Descripción del filtro Ámbito
Control de acceso Aplica una directiva basada en las condiciones de control de acceso a través de las cuales se conecta un cliente. Por ejemplo, se pueden aplicar directivas específicas a los usuarios que se conectan a través de Citrix NetScaler Gateway. Configuración de usuario
Dirección IP del cliente Aplica una directiva basada en la dirección IPv4 o IPv6 del dispositivo de usuario utilizado para conectarse a la sesión. Se debe tener cuidado con este filtro si se utilizan rangos de direcciones IPv4 para evitar resultados inesperados. Configuración de usuario
Nombre del cliente Aplica una directiva basada en el nombre del dispositivo de usuario desde el que está conectada la sesión. Configuración de usuario
Grupo de entrega Aplica una directiva basada en la pertenencia al grupo de entrega del escritorio o servidor que ejecuta la sesión. Configuración del usuario y del equipo
Tipo de grupo de entrega Aplica una directiva basada en el tipo de equipo que ejecuta la sesión. Por ejemplo, se pueden establecer diferentes directivas dependiendo de si una máquina es privada o compartida. Configuración del usuario y del equipo
Unidad organizativa (UO) Aplica una directiva basada en la unidad organizativa (OU) del escritorio o servidor que ejecuta la sesión. Configuración del usuario y del equipo
Etiqueta Aplica una directiva basada en las etiquetas aplicadas al equipo que ejecuta la sesión. Las etiquetas son cadenas que se pueden agregar a elementos, como máquinas, en entornos Citrix Virtual Apps and Desktops. Estas etiquetas se pueden utilizar para buscar o limitar el acceso a los escritorios. Configuración del usuario y del equipo
Usuario o grupo Aplica una directiva basada en la pertenencia de usuario o grupo del usuario que se conecta a la sesión. Configuración de usuario

Nota:

Las directivas de un entorno de Citrix Virtual Apps and Desktops proporcionan una vista combinada de la configuración que se aplica a nivel de usuario y equipo. En la tabla anterior, la columna Ámbito identifica si el filtro especificado se aplica a la configuración del usuario, a la configuración del equipo o a ambos.

Decisión: Directiva de referencia

Una directiva de línea base contiene todos los elementos comunes necesarios para ofrecer una experiencia de alta definición a la mayoría de los usuarios de la organización. Una directiva de línea base crea la base para el acceso de los usuarios y las excepciones necesarias para cumplir los requisitos de acceso específicos para grupos de usuarios. Para crear la estructura de directivas más simple posible, configure la configuración de directiva en la línea base para que sea lo suficientemente completa como para acomodar tantos casos de uso como sea posible. Establezca la prioridad de la directiva de línea de base en la prioridad más baja, por ejemplo, 99. Un número de prioridad de “1” es la prioridad más alta. Habilite todas las opciones de directiva de Citrix en la configuración de línea base, incluso si esas opciones utilizan el valor predeterminado. La configuración de estos parámetros define el comportamiento deseado y evita confusiones si cambia la configuración predeterminada. Utilice plantillas de directivas de Citrix para configurar directivas de Citrix para administrar eficazmente la experiencia del usuario final dentro de un entorno. Las plantillas de directiva de Citrix son un punto de partida inicial sólido para una directiva de línea base. Las plantillas consisten en configuraciones preconfiguradas que optimizan el rendimiento para entornos específicos o condiciones de red concretas. Las plantillas integradas incluidas en Citrix Virtual Apps and Desktops se muestran en la siguiente tabla:

Nombre de plantilla Descripción
Alta escalabilidad de servidores Incluye configuraciones para proporcionar una experiencia de usuario óptima mientras hospeda a más usuarios en un único servidor.
Alta escalabilidad de servidores: SO antiguos Igual que la plantilla “High Server Scalability”, aplique esta directiva a los VDA que ejecuten un sistema operativo heredado como Windows 2008R2 o Windows 7 y versiones anteriores.
Optimizado para WAN Incluye configuraciones para proporcionar una experiencia optimizada a los usuarios con conexiones de bajo ancho de banda o alta latencia.
Optimizado para WAN: SO antiguos Igual que la plantilla “Optimizado para WAN”, aplique esta directiva a los VDA que ejecutan un sistema operativo heredado como Windows 2008R2 o Windows 7 y versiones anteriores.
Seguridad y control Incluye configuraciones para inhabilitar el acceso a dispositivos periféricos, la asignación de unidades, la redirección de puertos y la aceleración de Flash en dispositivos de usuario.
Experiencia de usuario de muy alta definición Incluye ajustes para proporcionar audio, gráficos y vídeo de alta calidad a los usuarios.

Para obtener más información sobre las plantillas de directivas de Citrix, consulte Citrix Docs - Policy Templates.

Incluir directivas de Windows en una configuración de directiva de línea base. Las directivas de Windows reflejan la configuración que optimiza la experiencia del usuario y eliminan funciones que no son necesarias o deseadas en un entorno de Citrix Virtual Apps and Desktops. Una función común desactivada en estos entornos es Windows Update. En entornos virtualizados, principalmente donde los escritorios y los servidores se transmiten y no son persistentes, Windows Update crea sobrecarga de red y procesamiento. Los cambios realizados por el proceso de actualización no persisten después de reiniciar el escritorio virtual o el servidor de aplicaciones. Las organizaciones suelen utilizar el Servicio de actualización de software de Windows (WSUS) para controlar las actualizaciones de Windows. En estos casos, las actualizaciones se aplican al disco maestro y el departamento de TI las pone a disposición de forma programada.

Además de las consideraciones anteriores, la directiva de línea base final de una organización incluye configuraciones para satisfacer los requisitos de la organización. Estos requisitos pueden estar relacionados con la seguridad, las condiciones comunes de red o la administración de dispositivos de usuario o perfiles de usuario.

Decisión de diseño: Delegación administrativa

Evite el acceso no autorizado limitando el número de usuarios que pueden acceder a las directivas. Dejar la seguridad demasiado relajada puede llevar a la exfiltración de los detalles de configuración de la implementación de Citrix Virtual Apps and Desktops. El método para restringir el acceso depende del motor utilizado para configurar las directivas. Cuando utilice Citrix Studio como motor de directivas, asigne roles a grupos para delegar el acceso administrativo. Para obtener más información sobre los ámbitos y las funciones, consulte la documentación de Administración delegada.

  • Utilice las funciones administrativas integradas
    Agregue grupos de Active Directory a la función respectiva para delegar el nivel de control necesario.

    • El administrador total concede acceso de lectura y escritura en todos los objetos del sitio Citrix Virtual Apps and Desktops. Preste especial atención al asignar el rol de “Administrador total”. Además de las directivas, el rol “Administrador total” otorga acceso de lectura y escritura a todos los demás objetos dentro de todo el Sitio.
    • El administrador de solo lectura proporciona permisos de solo lectura en objetos dentro del ámbito asignado en un sitio de Citrix Virtual Apps and Desktops. La asignación de un grupo a las funciones de “Administrador de solo lectura” otorga acceso de solo lectura a todas las directivas independientemente del ámbito asignado.
  • Crear una función administrativa personalizada
    Para un control más detallado sobre el acceso a las directivas, cree roles personalizados. Una función personalizada permite a los administradores asignar tareas específicas a un grupo de administradores. Asigne la definición “Administrar directivas” o “Ver directivas” para delegar los permisos adecuados. Dado que las directivas no forman parte de un ámbito específico, el ámbito asignado al administrador no afecta al acceso a las directivas. Agregue grupos de Active Directory como administradores y asigne el rol personalizado para delegar el acceso.

Al configurar directivas de Citrix mediante directivas de grupo de Active Directory, los administradores delegan el acceso mediante la Consola de administración de directivas de grupo. Un único GPO puede contener varias directivas de Citrix. La granularidad de los permisos asignados depende del diseño de la estructura de GPO. El acceso de lectura o escritura se concede a un usuario o grupo por GPO. El acceso concedido en el nivel de GPO concede permisos a todas las directivas de Citrix configuradas en ese GPO.

Recomendaciones de diseño de directivas

Basándose en la experiencia adquirida sobre el terreno, Citrix desarrolló prácticas líderes relacionadas con el diseño de directivas de Citrix. Las prácticas principales reunieron las decisiones de diseño tomadas de los capítulos anteriores.

Directiva de línea de base

Deje la directiva sin filtrar vacía y configurarla como inhabilitada. Configure la directiva sin filtrar para que tenga la prioridad más baja posible. Cuanto mayor sea el número de prioridad (por ejemplo, una prioridad de 99), menor será la prioridad. Cree directivas de usuario y equipos de línea base nombradas de acuerdo con la convención de nomenclatura de la empresa. Asegúrese de que las directivas de línea base se aplican a la mayoría de los usuarios y equipos que se conectan al entorno de Citrix Virtual Apps and Desktops. Configure todas las opciones de la directiva de línea base, incluso si estas opciones utilizan el valor predeterminado.

Capas de directivas

Cree excepciones a la directiva de línea base basadas en los requisitos de los usuarios finales. Asigne las excepciones de directiva en función del filtro adecuado. Establezca la prioridad de las directivas de excepción para que sea mayor que la directiva de línea base. Cree el menor número posible de directivas y consolide la configuración siempre que sea posible. Definir demasiadas directivas puede dar lugar a complejidad y resultados inesperados.

Ejemplo:

En una implementación de Citrix Virtual Apps and Desktops, los usuarios no pueden acceder a las unidades locales de sus dispositivos de punto final dentro de la sesión de Citrix. La pertenencia a grupos de Active Directory concede acceso a unidades locales. Para lograr este comportamiento, establezca la configuración “Redirección de unidad de cliente” en “Prohibido” en la directiva de línea base. Cree una directiva con una prioridad más alta y establezca la configuración “Redirección de unidad de cliente” en “Permitido” en la nueva directiva. Agregue un grupo de Active Directory en las asignaciones de la nueva directiva. Solo los usuarios que son miembros del grupo de Active Directory tienen acceso a las unidades locales. El comportamiento predeterminado es denegar el acceso a las unidades locales para todos los demás usuarios.

Administración de directivas

No mezcle y coincidan los motores de directivas. Elija un motor de directivas y configure todas las directivas de Citrix con ese motor. Por ejemplo, cuando utilice directivas de grupo de Active Directory, no utilice Citrix Studio para crear otras directivas de Citrix.

Documentar todas las directivas, la configuración de directivas y las excepciones. Utilice un formato de documentación interna de la empresa o utilice el campo de descripción de la directiva para realizar un seguimiento de los cambios. Cuando utilice el campo de descripción, utilice un formulario estandarizado. Por ejemplo, incluya la fecha, el autor y la descripción de los cambios: 2020-04-17 - FvdP: Disabled Client Drive Mapping according to request SR422344.

Usar el campo de descripción de directivas para la documentación

Decisión de diseño: diseño de directivas de referencia