Product Documentation

Creación de directivas

Jul 07, 2016

Antes de crear una directiva, decida a qué grupo de usuarios o dispositivos debe afectar. Puede crear una directiva según las funciones laborales del usuario, el tipo de conexión, el dispositivo de usuario o la ubicación geográfica. De forma alternativa, puede utilizar los mismos criterios que utiliza para las directivas de grupo de Active Directory de Windows.

Si ya creó una directiva aplicable a un grupo, considere la posibilidad de modificar dicha directiva para agregarle las configuraciones apropiadas, en lugar de crear otra directiva nueva. Evite la creación de una directiva nueva exclusivamente para habilitar una configuración específica o para excluir la aplicación de la directiva a determinados usuarios.

Al crear una nueva directiva, puede basarla en las configuraciones de una plantilla de directiva y personalizarlas según sea necesario, o puede crearla sin usar plantilla y agregar las configuraciones que necesite.

Configuración de directivas

Las configuraciones de directiva pueden estar habilitadas, inhabilitadas o sin configurar. De forma predeterminada, las configuraciones de directiva no están definidas; es decir, que no están agregadas a una directiva. La configuración solamente puede aplicarse cuando se agrega a una directiva.

Algunas configuraciones de directiva pueden tener uno de los siguientes estados:
  • Permitida o Prohibida, permite o impide la acción controlada por la configuración. En algunos casos, se permite o se impide que los usuarios administren la acción de la configuración en la sesión. Por ejemplo, si se define la configuración Animación de menús como Permitida, los usuarios pueden controlar las animaciones de los menús en su entorno de cliente.
  • Habilitada o Inhabilitada, habilita o inhabilita la configuración. Si se inhabilita una configuración, no se habilita en ninguna directiva de menor prioridad.

Asimismo, algunas configuraciones controlan la eficacia de otras configuraciones dependientes. Por ejemplo, la configuración Redirección de unidades del cliente controla si los usuarios pueden acceder a las unidades de sus dispositivos. Para permitir que los usuarios accedan a sus unidades de red, es necesario agregar tanto esta configuración como la configuración Unidades de red del cliente a la directiva. Si la configuración Redirección de unidades del cliente está inhabilitada, los usuarios no pueden acceder a sus unidades de red aunque la configuración Unidades de red del cliente esté habilitada.

En general, los cambios de configuraciones de directiva que afectan a máquinas surten efecto cuando se reinicia el escritorio virtual o cuando un usuario inicia una sesión. Los cambios de configuraciones de directiva que afectan a usuarios surten efecto la próxima vez que el usuario inicia una sesión. Si se utiliza Active Directory, las configuraciones de directiva se actualizan cuando Active Directory vuelve a evaluar las directivas en intervalos regulares de 90 minutos y se aplican cuando se reinicia el escritorio virtual o cuando un usuario inicia sesión.

Para algunas configuraciones de directiva, puede especificar o seleccionar un valor cuando se las agrega a una directiva. Puede limitar la configuración de un determinado parámetro seleccionando Usar el valor predeterminado; esta opción impide configurar el parámetro y permite usar solo el valor predeterminado al aplicar la configuración de directiva, independientemente del valor que se hubiera introducido antes de seleccionar Usar el valor predeterminado.

Recomendaciones:
  • Asigne las directivas a grupos y no a usuarios individuales. Si asigna directivas a un grupo, las asignaciones se actualizan automáticamente cuando se agregan o se quitan usuarios.
  • No habilite configuraciones que puedan entrar en conflicto o que se superpongan en Configuración de host de sesión de Escritorio remoto. En algunos casos, Configuración de host de sesión de Escritorio remoto ofrece funciones similares a las configuraciones de directiva de Citrix. Siempre que sea posible, mantenga la consistencia entre todas las configuraciones (habilitadas o inhabilitadas) para facilitar la solución de problemas.
  • Inhabilite las directivas que no use. Las directivas sin configuración generan una actividad de procesamiento innecesaria.

Asignaciones de directiva

Al crear una directiva, hay que asignarla a ciertos objetos de usuario y máquina; dicha directiva se aplica a las conexiones según criterios o reglas específicos. Por lo general, es posible agregar tantas asignaciones como se desee a una directiva, según una combinación de criterios. Si no se especifica ninguna asignación, la directiva se aplica a todas las conexiones.

En la siguiente tabla se muestran las asignaciones disponibles:
Nombre de asignaciónAplica una directiva según

Control de acceso

Condiciones de control de acceso del cliente.
  • Tipo de conexión: Si se debe aplicar la directiva a las conexiones realizadas con o sin NetScaler Gateway.
  • Nombre de la comunidad de NetScaler Gateway: Nombre del servidor virtual de NetScaler Gateway.
  • Condición de acceso: Nombre de la directiva de análisis de seguridad de punto final o de la directiva de sesión que se va a usar.

Citrix CloudBridge

Indica si la sesión del usuario se inicia a través de Citrix CloudBridge.

Nota: Puede agregar solo una asignación de Citrix CloudBridge a una directiva.

Dirección IP del cliente

Dirección IP del dispositivo de usuario utilizado para conectarse a la sesión.
  • Ejemplos de IPv4: 12.0.0.0, 12.0.0.*, 12.0.0.1-12.0.0.70, 12.0.0.1/24
  • Ejemplos de IPv6: 2001:0db8:3c4d:0015:0:0:abcd:ef12, 2001:0db8:3c4d:0015::/54

Nombre del cliente

Nombre del dispositivo de usuario.

  • Coincidencia exacta: ClientABCName
  • Uso de comodines: Client*Name

Grupo de entrega

Pertenencia a un grupo de entrega.

Tipo de grupo de entrega

Tipo de escritorio o aplicación: escritorio privado, escritorio compartido, aplicación privada o aplicación compartida.

Unidad organizativa (UO)

Unidad organizativa.

Etiqueta

Etiquetas.

Nota: Para que las directivas se apliquen correctamente cuando utilice etiquetas, instale la revisión hotfix disponible en CTX142439.

Usuario o grupo

Nombre de usuario o grupo.

Cuando un usuario inicia sesión, se identifican todas las directivas que coinciden con las asignaciones para la conexión. Las directivas se ordenan por prioridad y se comparan varias instancias de cualquier configuración. Cada configuración se aplica según la clasificación de prioridades de la directiva. Toda configuración de directiva que esté inhabilitada prevalece sobre las configuraciones habilitadas de menor prioridad. Las configuraciones de directiva que no están configuradas se ignoran.

Importante: Si configura las directivas de Active Directory y Citrix mediante la Consola de administración de directivas de grupo, es posible que las asignaciones y las configuraciones no se apliquen de la forma esperada. Para obtener más información, consulte CTX127461.
De forma predeterminada se proporciona una directiva "Sin filtro".
  • Si utiliza Studio para administrar las directivas de Citrix, las configuraciones que agregue a la directiva sin filtro se aplican a todos los servidores, escritorios y conexiones de un sitio.
  • Si utiliza el Editor de directivas de grupo local para administrar las directivas de Citrix, las configuraciones que se agreguen a la directiva sin filtro se aplican a todos los sitios y conexiones que abarquen los objetos de directiva de grupo (GPO) que contienen la directiva. Por ejemplo, la unidad organizativa Ventas contiene un GPO denominado Ventas-EE. UU. que incluye a todos los miembros del equipo de ventas de los Estados Unidos. El GPO Ventas-EE. UU. tiene configurada una directiva sin filtro que incluye varias configuraciones de directiva de usuario. Cuando el administrador de Ventas-EE. UU. inicia sesión en el sitio, la configuración de la directiva sin filtro se aplica automáticamente a la sesión, ya que el usuario es miembro del GPO Ventas-EE. UU.
El modo de una asignación determina si la directiva se aplica exclusivamente a las conexiones que coinciden con todos los criterios de la asignación. Si el modo está establecido en Permitir (Allow) (valor predeterminado), la directiva se aplica solamente a las conexiones que coinciden con los criterios de la asignación. Si el modo está establecido en Denegar (Deny), la directiva se aplica si la conexión no coincide con las asignaciones del filtro. Los siguientes ejemplos ilustran cómo los modos de las asignaciones afectan a las directivas de Citrix cuando hay varias asignaciones.
  • Ejemplo: Asignaciones del mismo tipo en modos distintos: En las directivas con dos asignaciones del mismo tipo, donde una está establecida en Permitir y la otra en Denegar, la asignación establecida en Denegar tiene precedencia, siempre que la conexión satisfaga ambas asignaciones. Por ejemplo:
    La directiva 1 incluye las siguientes asignaciones:
    • La asignación A especifica el grupo Ventas, con el modo Permitir
    • La asignación B especifica la cuenta del jefe de Ventas, con el modo Denegar

    Como el modo de la asignación B es Denegar, no se aplica la directiva cuando el jefe de Ventas inicia sesión en el sitio, aunque este usuario sea miembro del grupo Ventas.

  • Ejemplo: Asignaciones de diferentes tipos con modos iguales: En las directivas con dos o más asignaciones de diferentes tipos, establecidas en Permitir, la conexión debe satisfacer al menos una asignación de cada tipo para que se aplique la directiva. Por ejemplo:
    La directiva 2 incluye las siguientes asignaciones:
    • La asignación C es una asignación de usuario que especifica el grupo Ventas con el modo Permitir
    • La asignación D es una asignación de dirección IP del cliente que especifica 10.8.169.* (la red de la empresa) con el modo Permitir

    Cuando el jefe de Ventas inicia sesión en el sitio desde la oficina, se aplica la directiva, ya que la conexión satisface ambas asignaciones.

    La directiva 3 incluye las siguientes asignaciones:
    • La asignación E es una asignación de usuario que especifica el grupo Ventas con el modo Permitir
    • La asignación F es una asignación de control de acceso que especifica condiciones de conexión de NetScaler Gateway con el modo Permitir

    Cuando el jefe de Ventas inicia sesión en el sitio desde la oficina, no se aplica la directiva, ya que la conexión no satisface la asignación F.

Creación de una nueva directiva basada en una plantilla mediante Studio

  1. Seleccione Directivas en el panel de navegación de Studio.
  2. Seleccione la ficha Plantillas y seleccione la plantilla.
  3. Seleccione Crear directiva con una plantilla en el panel Acciones.
  4. De forma predeterminada, la nueva directiva utiliza todos los valores de configuración predeterminados en la plantilla (el botón Usar configuraciones de plantilla está seleccionado). Si quiere cambiar configuraciones, seleccione Modificar y agregar más configuraciones predeterminadas y, a continuación, agregue o quite configuraciones.
  5. Especifique cómo se aplica la directiva, seleccionando una de las siguientes opciones:
    • Asignar a Objetos de usuario y máquina seleccionados; a continuación, elija los objetos de usuario y máquina a los que desea aplicar la directiva.
    • Asignar a Todos los objetos del sitio, para aplicar la directiva a todos los objetos de usuario y máquina en el sitio.
  6. Introduzca un nombre para la directiva (o acepte el predeterminado). Conviene que el nombre dado a la directiva esté basado en a quién o a qué afecta; por ejemplo, "Departamento de Contabilidad" o "Usuarios remotos". Si lo desea, puede proporcionar una descripción.

    La directiva está habilitada de forma predeterminada; se puede inhabilitar. Si la directiva está habilitada, se aplica de inmediato a los usuarios que inician sesión en el sitio. Si se inhabilita, la directiva no se aplica. Si necesita establecer la prioridad de una directiva o agregar configuraciones en otro momento, puede inhabilitar la directiva hasta que esté listo para aplicarla.

Creación de una nueva directiva mediante Studio

  1. Seleccione Directivas en el panel de navegación de Studio.
  2. Seleccione la ficha Directivas.
  3. Seleccione Crear directiva en el panel Acciones.
  4. Agregue y defina configuraciones de directiva.
  5. Especifique cómo quiere aplicar la directiva, seleccionando una de las siguientes opciones:
    • Asignar a Objetos de usuario y máquina seleccionados; a continuación, elija los objetos de usuario y máquina a los que desea aplicar la directiva.
    • Asignar a Todos los objetos del sitio, para aplicar la directiva a todos los objetos de usuario y máquina en el sitio.
  6. Introduzca un nombre para la directiva (o acepte el predeterminado). Conviene que el nombre dado a la directiva esté basado en a quién o a qué afecta; por ejemplo, "Departamento de Contabilidad" o "Usuarios remotos". Si lo desea, puede proporcionar una descripción.

    La directiva está habilitada de forma predeterminada; se puede inhabilitar. Si la directiva está habilitada, se aplica de inmediato a los usuarios que inician sesión en el sitio. Si se inhabilita, la directiva no se aplica. Si necesita establecer la prioridad de una directiva o agregar configuraciones en otro momento, puede inhabilitar la directiva hasta que esté listo para aplicarla.

Crear y administrar directivas con el Editor de directivas de grupo

En el Editor de directivas de grupo, expanda Configuración del equipo o Configuración de usuario. Expanda el nodo Directivas y seleccione Directivas de Citrix. Elija la acción adecuada.
Tarea Instrucción
Crear una nueva directiva En la ficha Directivas, haga clic en Nueva.
Modificar una directiva existente En la ficha Directivas, seleccione la directiva y, a continuación, haga clic en Modificar.
Cambiar la prioridad de una directiva existente En la ficha Directivas, seleccione la directiva y, a continuación, haga clic en Superior o Inferior.
Ver información de resumen acerca de una directiva En la ficha Directivas, seleccione la directiva y, a continuación, haga clic en la ficha Resumen.
Ver y corregir configuraciones de directiva En la ficha Directivas, seleccione la directiva y, a continuación, haga clic en la ficha Configuraciones.
Ver y corregir filtros de directiva En la ficha Directivas, seleccione la directiva y, a continuación, haga clic en la ficha Filtros.
Habilitar o inhabilitar una directiva En la ficha Directivas, seleccione la directiva y, a continuación, seleccione Acciones > Habilitar o Acciones > Inhabilitar.
Crear una nueva directiva a partir de una plantilla existente En la ficha Plantillas, seleccione la plantilla y, a continuación, haga clic en Nueva directiva.