Product Documentation

Restricción del acceso a máquinas en un grupo de entrega

Nov 18, 2015

Puede restringir el acceso a máquinas de grupos de entrega. Todos los cambios que realice sustituyen los parámetros anteriores, independientemente del método que utilice.

  • Restrinja el acceso de los administradores mediante ámbitos para controlar el acceso de los administradores a grupos de objetos como catálogos de máquinas, grupos de entrega y recursos. Es posible crear y asignar un ámbito que permita el acceso de los administradores a todas las aplicaciones y otro que proporcione acceso solamente a ciertas aplicaciones.
  • Restrinja el acceso de los usuarios mediante:
    • Expresiones de directiva de SmartAccess para filtrar las conexiones de usuario realizadas a través de NetScaler Gateway. El administrador de directivas puede realizar esta tarea en el nodo Directiva de Studio o a través de configuraciones de directivas tal y como se describe en Referencia para configuraciones de directivas.
    • Filtros de exclusión en las directivas de acceso que se pueden definir con el kit de desarrollo de software (SDK). Directivas de acceso que se aplican a grupos de entrega para precisar ciertos aspectos de las conexiones con escritorios virtuales. Por ejemplo, puede restringir el acceso a las máquinas a un subconjunto de usuarios en la página Configuración de usuario final del grupo de entrega y puede especificar los dispositivos de usuario autorizados que pueden conectarse a las máquinas. Las directivas de acceso logran resultados similares pero son diferentes de las directivas.

      El uso de filtros de exclusión permite definir más detalladamente las directivas de acceso. Por ejemplo, por razones empresariales o de seguridad, puede negar el acceso a un subconjunto de usuarios o dispositivos. De forma predeterminada, los filtros de exclusión se encuentran inhabilitados y se pueden configurar mediante el SDK.

Para restringir el acceso de los administradores mediante ámbitos

  1. En Studio, en el nodo Grupos de entrega, seleccione el grupo de entrega que desea restringir.
  2. Haga clic en Modificar grupo de entrega y seleccione Ámbitos.
  3. Seleccione un ámbito existente.
  4. Agregue o quite objetos para incluirlos en el ámbito.
  5. Para seleccionar el subconjunto de un objeto, haga clic en la flecha izquierda para ver y seleccionar subobjetos y, a continuación, haga clic en Aceptar.

Para restringir el acceso de los usuarios mediante expresiones de directiva de SmartAccess

Utilice las expresiones de directiva de SmartAccess a través de NetScaler Gateway.
  1. En Studio, en Grupos de entrega, seleccione el grupo de entrega que desea restringir.
  2. Haga clic en Modificar grupo de entrega y, a continuación, seleccione Directiva de acceso.
  3. En la página Directiva de acceso, seleccione Conexiones a través de NetScaler Gateway. Solo se permiten conexiones a través de NetScaler Gateway.
  4. Para elegir un subconjunto de esas conexiones, seleccione Conexiones que cumplan cualquiera de estos filtros y:
    1. Defina el sitio de NetScaler Gateway.
    2. Agregue, edite o quite expresiones de directiva de SmartAccess que definen las situaciones de acceso autorizado del usuario para el grupo de entrega. Para obtener más información acerca de NetScaler Gateway y las expresiones de directiva de SmartAccess, consulte Configuración de SmartAccess en NetScaler Gateway.

Para restringir el acceso de los usuarios mediante filtros de exclusión

Puede utilizar filtros de exclusión a través del SDK.

En este ejemplo, hay un laboratorio de aprendizaje en una subred dentro de la red de la empresa y usted desea evitar el acceso desde ese laboratorio a un grupo de entrega determinado, independientemente del usuario que utilice las máquinas del laboratorio. Para ello, ejecute el siguiente comando del SDK:

 Set-BrokerAccessPolicy -Name VPDesktops_Direct -ExcludedClientIPFilterEnabled $True - 
Nota: También puede utilizar el asterisco (*) como comodín para hacer coincidir todas las etiquetas que comienzan con la misma expresión de directiva. Por ejemplo, si se ha agregado la etiqueta VPDesktops_Direct a una máquina y VPDesktops_Test a otra, la configuración de la etiqueta en el script Set-BrokerAccessPolicy como VPDesktops_* aplica el filtro a las dos máquinas.

Consulte Acerca del SDK de XenDesktop para obtener más información sobre cómo usar el SDK.