Product Documentation

Aplicación de directivas

Nov 11, 2015

Al asignar una directiva a ciertos objetos de usuario y máquina, dicha directiva se aplica a las conexiones según criterios o reglas específicos. Si no se agrega ninguna asignación, la directiva se aplica a todas las conexiones.

Por lo general, es posible agregar tantas asignaciones como se desee a una directiva, según una combinación de criterios.
Nota: Puede agregar solo una asignación de Citrix CloudBridge a una directiva.

En la siguiente tabla se muestran las asignaciones disponibles:

Nombre de asignación Descripción de asignación

Control de acceso

Aplica una directiva según las condiciones de control de acceso para la conexión que el cliente está usando.

Citrix CloudBridge

Aplica una directiva basándose en si se ha iniciado una sesión de usuario a través de Citrix CloudBridge.

Dirección IP del cliente

Aplica una directiva según la dirección IP (IPv4 o IPv6) del dispositivo del usuario empleado para conectarse a la sesión.

Ejemplos de IPv4:
  • 12.0.0.0
  • 12.0.0.*
  • 12.0.0.1-12.0.0.70
  • 12.0.0.1/24
Ejemplos de IPv6:
  • 2001:0db8:3c4d:0015:0:0:abcd:ef12
  • 2001:0db8:3c4d:0015::/54

Nombre del cliente

Aplica una directiva según el nombre del dispositivo del usuario desde el cual se conecta la sesión.

Grupo de entrega

Aplica una directiva según a qué grupo de entrega pertenezca el escritorio que ejecuta la sesión.

Tipo de escritorio

Aplica una directiva según el tipo de escritorio que ejecuta la sesión.

Unidad organizativa

Aplica una directiva según la unidad organizativa (OU) del escritorio que ejecuta la sesión.

Etiqueta

Aplica una directiva según las etiquetas que se aplican al escritorio que ejecuta la sesión.

Usuario o grupo

Aplica una directiva según cuál sea, o a qué grupo pertenezca, el usuario que se conecta a la sesión.

Cuando un usuario inicia sesión, se identifican todas las directivas que coinciden con las asignaciones para la conexión. Las directivas identificadas se ordenan por prioridad y se comparan varias instancias de cualquier configuración. Cada configuración se aplica según la clasificación de prioridades de la directiva. Si se utiliza Active Directory, las configuraciones de directiva se actualizan cuando Active Directory vuelve a evaluar las directivas en intervalos regulares de 90 minutos y se aplican cuando un usuario inicia sesión.

Toda configuración de directiva que esté inhabilitada prevalece sobre las configuraciones habilitadas de menor prioridad. Las configuraciones de directiva que no están configuradas se ignoran.

Importante: Si configura las directivas de Active Directory y Citrix mediante la Consola de administración de directivas de grupo, es posible que las asignaciones y las configuraciones no se apliquen de la forma esperada. Para obtener más información, consulte http://support.citrix.com/article/CTX127461.

Directivas sin filtro

De forma predeterminada, se le proporciona una directiva "sin filtro". Las configuraciones que se agreguen a esta directiva se aplican a todas las conexiones.

Si utiliza Studio para administrar las directivas de Citrix, las configuraciones que agregue a la directiva sin filtro se aplican a todos los servidores, escritorios y conexiones de un sitio.

Si tiene Active Directory en su entorno y utiliza el Editor de directivas de grupo para administrar las directivas de Citrix, las configuraciones que se agreguen a la directiva sin filtro se aplican a todos los sitios y conexiones que abarquen los objetos de directiva de grupo (GPO) que contienen la directiva. Por ejemplo, la unidad organizativa Ventas contiene un GPO denominado Ventas-EE. UU. que incluye a todos los miembros del equipo de ventas de los Estados Unidos. El GPO Ventas-EE. UU. tiene configurada una directiva sin filtro que incluye varias configuraciones de directiva de usuario. Cuando el administrador de Ventas-EE. UU. inicia sesión en el sitio, la configuración de la directiva sin filtro se aplica automáticamente a la sesión, ya que el usuario es miembro del GPO Ventas-EE. UU.

Modos de asignación

El modo de una asignación determina si la directiva se aplica exclusivamente a las conexiones que coinciden con todos los criterios de la asignación. Si el modo está establecido en Permitir (Allow) (valor predeterminado), la directiva se aplica solamente a las conexiones que coinciden con los criterios de la asignación. Si el modo está establecido en Denegar (Deny), la directiva se aplica si la conexión no coincide con las asignaciones del filtro. Los siguientes ejemplos ilustran cómo los modos de las asignaciones afectan a las directivas de Citrix cuando hay varias asignaciones.

Ejemplo: asignaciones del mismo tipo con diferentes modos

En las directivas con dos asignaciones del mismo tipo, donde una está establecida en Permitir y la otra en Denegar, la asignación establecida en Denegar prevalece, siempre que la conexión coincida con ambas asignaciones. Por ejemplo:

La directiva 1 incluye las siguientes asignaciones:
  • La asignación A es una asignación de usuario que especifica el grupo Ventas con el modo Permitir
  • La asignación B es una asignación de usuario que especifica la cuenta del administrador de Ventas con el modo Denegar

Como el modo de la asignación B es Denegar, no se aplica la directiva cuando el jefe de Ventas inicia sesión en el sitio, aunque este usuario sea miembro del grupo Ventas.

Ejemplo: asignaciones de diferentes tipos con modos iguales

En las directivas con dos o más asignaciones de diferentes tipos, todas establecidas en Permitir, la conexión debe satisfacer al menos una asignación de cada tipo para que se aplique la directiva. Por ejemplo:

La directiva 2 incluye las siguientes asignaciones:
  • La asignación C es una asignación de usuario que especifica el grupo Ventas con el modo Permitir
  • La asignación D es una asignación de dirección IP del cliente que especifica 10.8.169.* (la red de la empresa) con el modo Permitir

Cuando el administrador de Ventas inicia sesión en el sitio desde la oficina, se aplica la directiva, ya que la conexión satisface ambas asignaciones.

La directiva 3 incluye las siguientes asignaciones:
  • La asignación E es una asignación de usuario que especifica el grupo Ventas con el modo Permitir
  • La asignación F es una asignación de control de acceso que especifica las condiciones de conexión de NetScaler Gateway con el modo Permitir

Cuando el administrador de Ventas inicia sesión en el sitio desde la oficina, no se aplica la directiva, ya que la conexión no satisface la asignación F.

Para aplicar una directiva

Para aplicar una directiva solo a determinados objetos de usuarios y de máquina debe agregar al menos una asignación a dicha directiva. Si no agrega ninguna asignación, las configuraciones de la directiva se aplican a todas las conexiones, a menos que sean sustituidas por las configuraciones de una directiva con mayor prioridad.
  1. Desde Studio, seleccione el nodo Directiva en el panel izquierdo.
  2. Haga clic en la ficha Directivas y, a continuación, seleccione una directiva existente o cree una nueva directiva.
  3. Siga las instrucciones del asistente de directivas hasta la página Usuarios y máquinas.
  4. Seleccione la asignación que desea aplicar y haga clic en Asignar.
  5. En el cuadro de diálogo Asignar directiva, seleccione el modo de asignación y configure la asignación de elementos:
    Assignment Type Parámetros
    Control de acceso
    • Tipo de conexión. Seleccione si desea aplicar la directiva a las conexiones realizadas con o sin NetScaler Gateway.
    • Nombre de la comunidad de servidores de NetScaler Gateway. Escriba el nombre del servidor virtual de NetScaler Gateway (anteriormente Access Gateway).
    • Condición de acceso. Escriba el nombre de la directiva de análisis de punto final o la directiva de sesión que se utilizará.
    Citrix CloudBridge Conexiones. Seleccione si desea aplicar la directiva a las conexiones iniciadas con o sin Citrix CloudBridge.
    Dirección IP del cliente Dirección IP. Dirección IP del dispositivo de usuario al que desea aplicar la directiva.
    Nombre del cliente Nombre de cliente. Nombre del dispositivo de usuario al que desea aplicar la directiva.
    Grupo de entrega
    • Controller. Nombre del Controller que administra los escritorios a los que desea aplicar la directiva.
    • Grupo de entrega. Nombre del grupo de entrega al que desea aplicar la directiva.
    Tipo de escritorio
    Tipo de escritorio. Tipo de escritorio al que desea aplicar la directiva. Elija una de las siguientes opciones:
    • Escritorio privado
    • Escritorio compartido
    • Aplicación privada
    • Aplicación compartida
    Unidad organizativa (UO) Unidad organizativa. Nombre de la unidad organizativa a la que desea aplicar la directiva.
    Etiqueta
    • Controller. Nombre del Controller que administra los escritorios a los que desea aplicar la directiva.
    • Etiqueta. La etiqueta de escritorio que se busca cuando se aplica la directiva.
    Usuario o grupo Nombre de usuario o grupo. Nombre del usuario o grupo al que desea aplicar la directiva.

La directiva se aplicará la próxima vez que los usuarios correspondientes establezcan una conexión.

Uso de varias directivas para personalizar el acceso de los usuarios

Actualizado: 26-04-2015

Puede utilizar varias directivas para personalizar su entorno y responder a las necesidades de los usuarios según su función laboral, la ubicación geográfica o el tipo de conexión. Por ejemplo, es posible que por razones de seguridad deba establecer restricciones en los grupos de usuarios que trabajan regularmente con datos confidenciales. Puede crear una directiva para evitar que los usuarios guarden archivos con información confidencial en sus unidades de cliente locales. No obstante, si algunos de los miembros del grupo de usuarios necesitan acceder a las unidades locales, puede crear otra directiva para permitirles el acceso a esos usuarios en particular. A continuación, puede clasificar y dar prioridad a las dos directivas para establecer cuál de ellas tiene preferencia.

Cuando se utilizan varias directivas, debe determinar cuál es su prioridad, cómo crear las excepciones y cómo ver la directiva vigente cuando hay un conflicto de directivas.

En general, las directivas anulan configuraciones similares definidas para todo el sitio, para Controllers específicos o en el dispositivo del usuario. La excepción a este principio es la seguridad. La configuración de cifrado más exigente en su entorno, incluidos el sistema operativo y la configuración de remedo más restrictiva, siempre anulan otras configuraciones y directivas.

Las directivas de Citrix interactúan con directivas configuradas en su sistema operativo. En un entorno de Citrix, los parámetros de Citrix sobrescriben los parámetros similares configurados en una directiva de Active Directory o mediante Configuración de host de sesión de Escritorio remoto. Esto incluye las configuraciones relacionadas con la configuración típica de conexión del cliente del Protocolo de escritorio remoto (RDP), como Tapiz del escritorio, Animación de menús y Ver contenido de las ventanas al arrastrar. En el caso de algunas configuraciones de directiva, como Secure ICA, la configuración de las directivas debe coincidir con la configuración del sistema operativo. Si se configura un nivel de cifrado de mayor prioridad en otro lugar, la configuración de directiva Secure ICA que especifique en la directiva o al entregar una aplicación o un escritorio puede anularse.

Por ejemplo, la configuración de cifrado especificada al crear grupos de entrega para proporcionar aplicaciones y escritorios a los usuarios debe estar en el mismo nivel que la configuración de cifrado especificada en todo el entorno.

Asignación de prioridades en las directivas y creación de excepciones

La asignación de prioridades en las directivas le permite definir la prioridad de las directivas cuando contienen configuraciones conflictivas. El proceso empleado para evaluar directivas es el siguiente:
  1. Cuando un usuario inicia sesión, se identifican todas las directivas que coinciden con las asignaciones para la conexión.
  2. Las directivas identificadas se ordenan por prioridad y se comparan varias instancias de cualquier configuración. Cada configuración se aplica según la clasificación de prioridades de la directiva.

Usted asigna la prioridad en las directivas con diferentes números de prioridad. De forma predeterminada, las nuevas directivas tienen la prioridad más baja. Si hay conflictos en la configuración de las directivas, las directivas de mayor prioridad (el número de prioridad 1 es el máximo) anulan las de menor prioridad. Las configuraciones se combinan según su prioridad y su condición (por ejemplo, si la configuración está habilitada o inhabilitada). Una configuración inhabilitada anula otra configuración de menor prioridad que esté habilitada. Las configuraciones de directiva que no estén configuradas se omiten y no anulan ninguna configuración de menor prioridad.

Al crear directivas para grupos de usuarios, dispositivos de usuario o máquinas, es posible que deba crear excepciones en alguna configuración de directiva para determinados miembros del grupo. Para crear excepciones, debe:
  • Crear una directiva exclusiva para los miembros del grupo que necesitan las excepciones y luego dar mayor prioridad a esta directiva que a la directiva de la totalidad del grupo.
  • Usar el modo Denegar para una asignación agregada a la directiva
Una asignación con el modo Denegar aplica una directiva solo a las conexiones que no coinciden con los criterios de asignación. Por ejemplo, una directiva contiene las siguientes asignaciones:
  • La asignación A es una asignación de dirección IP del cliente que especifica el intervalo 208.77.88.* con el modo Permitir
  • La asignación B es una asignación de usuario que especifica una cuenta de usuario determinada con el modo Denegar

La directiva se aplica a todos los usuarios que inician sesión en el sitio con las direcciones IP incluidas en el intervalo especificado en la asignación A. Sin embargo, la directiva no se aplica al usuario que inicia sesión en el sitio con la cuenta especificada en la asignación B, aunque al equipo del usuario tenga una dirección IP que se encuentre en el intervalo especificado en la asignación A.