Product Documentation

Aplicación de directivas

Nov 18, 2015

Al asignar una directiva a ciertos objetos de usuario y máquina, dicha directiva se aplica a las conexiones según criterios o reglas específicos. Si no se agrega ninguna asignación, la directiva se aplica a todas las conexiones.

Por lo general, es posible agregar tantas asignaciones como se desee a una directiva, según una combinación de criterios.
Nota: Puede agregar solo una asignación de Citrix CloudBridge a una directiva.

En la siguiente tabla se muestran las asignaciones disponibles:

Nombre de asignación Descripción de asignación

Control de acceso

Aplica una directiva según las condiciones de control de acceso para la conexión que el cliente está usando.

Citrix CloudBridge

Aplica una directiva basándose en si se ha iniciado una sesión de usuario a través de Citrix CloudBridge.

Dirección IP del cliente

Aplica una directiva según la dirección IP (IPv4 o IPv6) del dispositivo del usuario empleado para conectarse a la sesión.

Ejemplos de IPv4:
  • 12.0.0.0
  • 12.0.0.*
  • 12.0.0.1-12.0.0.70
  • 12.0.0.1/24
Ejemplos de IPv6:
  • 2001:0db8:3c4d:0015:0:0:abcd:ef12
  • 2001:0db8:3c4d:0015::/54

Nombre del cliente

Aplica una directiva según el nombre del dispositivo del usuario desde el cual se conecta la sesión.

Grupo de entrega

Aplica una directiva según a qué grupo de entrega pertenezca el escritorio que ejecuta la sesión.

Tipo de escritorio

Aplica una directiva según el tipo de escritorio que ejecuta la sesión.

Unidad organizativa

Aplica una directiva según la unidad organizativa (OU) del escritorio que ejecuta la sesión.

Etiqueta

Aplica una directiva según las etiquetas que se aplican al escritorio que ejecuta la sesión.

Usuario o grupo

Aplica una directiva según cuál sea, o a qué grupo pertenezca, el usuario que se conecta a la sesión.

Cuando un usuario inicia sesión, se identifican todas las directivas que coinciden con las asignaciones para la conexión. Las directivas identificadas se ordenan por prioridad y se comparan varias instancias de cualquier configuración. Cada configuración se aplica según la clasificación de prioridades de la directiva. Si se utiliza Active Directory, las configuraciones de directiva se actualizan cuando Active Directory vuelve a evaluar las directivas en intervalos regulares de 90 minutos y se aplican cuando un usuario inicia sesión.

Toda configuración de directiva que esté inhabilitada prevalece sobre las configuraciones habilitadas de menor prioridad. Las configuraciones de directiva que no están configuradas se ignoran.

Importante: Si configura las directivas de Active Directory y Citrix mediante la Consola de administración de directivas de grupo, es posible que las asignaciones y las configuraciones no se apliquen de la forma esperada. Para obtener más información, consulte http://support.citrix.com/article/CTX127461.

Directivas sin filtro

De forma predeterminada, se le proporciona una directiva "sin filtro". Las configuraciones que se agreguen a esta directiva se aplican a todas las conexiones.

Si utiliza Studio para administrar las directivas de Citrix, las configuraciones que agregue a la directiva sin filtro se aplican a todos los servidores, escritorios y conexiones de un sitio.

Si tiene Active Directory en su entorno y utiliza el Editor de directivas de grupo para administrar las directivas de Citrix, las configuraciones que se agreguen a la directiva sin filtro se aplican a todos los sitios y conexiones que abarquen los objetos de directiva de grupo (GPO) que contienen la directiva. Por ejemplo, la unidad organizativa Ventas contiene un GPO denominado Ventas-EE. UU. que incluye a todos los miembros del equipo de ventas de los Estados Unidos. El GPO Ventas-EE. UU. tiene configurada una directiva sin filtro que incluye varias configuraciones de directiva de usuario. Cuando el administrador de Ventas-EE. UU. inicia sesión en el sitio, la configuración de la directiva sin filtro se aplica automáticamente a la sesión, ya que el usuario es miembro del GPO Ventas-EE. UU.

Modos de asignación

El modo de una asignación determina si la directiva se aplica exclusivamente a las conexiones que coinciden con todos los criterios de la asignación. Si el modo está establecido en Permitir (Allow) (valor predeterminado), la directiva se aplica solamente a las conexiones que coinciden con los criterios de la asignación. Si el modo está establecido en Denegar (Deny), la directiva se aplica si la conexión no coincide con las asignaciones del filtro. Los siguientes ejemplos ilustran cómo los modos de las asignaciones afectan a las directivas de Citrix cuando hay varias asignaciones.

Ejemplo: asignaciones del mismo tipo con diferentes modos

En las directivas con dos asignaciones del mismo tipo, donde una está establecida en Permitir y la otra en Denegar, la asignación establecida en Denegar prevalece, siempre que la conexión coincida con ambas asignaciones. Por ejemplo:

La directiva 1 incluye las siguientes asignaciones:
  • La asignación A es una asignación de usuario que especifica el grupo Ventas con el modo Permitir
  • La asignación B es una asignación de usuario que especifica la cuenta del jefe de Ventas con el modo Denegar

Como el modo de la asignación B es Denegar, no se aplica la directiva cuando el jefe de Ventas inicia sesión en el sitio, aunque este usuario sea miembro del grupo Ventas.

Ejemplo: asignaciones de diferentes tipos con modos iguales

En las directivas con dos o más asignaciones de diferentes tipos, todas establecidas en Permitir, la conexión debe satisfacer al menos una asignación de cada tipo para que se aplique la directiva. Por ejemplo:

La directiva 2 incluye las siguientes asignaciones:
  • La asignación C es una asignación de usuario que especifica el grupo Ventas con el modo Permitir
  • La asignación D es una asignación de dirección IP del cliente que especifica 10.8.169.* (la red de la empresa) con el modo Permitir

Cuando el Jefe de Ventas inicia sesión en el sitio desde la oficina, se aplica la directiva, ya que la conexión satisface ambas asignaciones.

La directiva 3 incluye las siguientes asignaciones:
  • La asignación E es una asignación de usuario que especifica el grupo Ventas con el modo Permitir
  • La asignación F es una asignación de control de acceso que especifica las condiciones de conexión de NetScaler Gateway con el modo Permitir

Cuando el Jefe de Ventas inicia sesión en el sitio desde la oficina, no se aplica la directiva, ya que la conexión no satisface la asignación F.