Comparer, hiérarchiser, modéliser et dépanner les stratégies
Vous pouvez utiliser plusieurs stratégies pour personnaliser votre environnement afin de répondre aux besoins des utilisateurs en fonction de leurs fonctions, de leurs emplacements géographiques ou de leurs types de connexion. Par exemple, pour une sécurité renforcée, imposez des restrictions aux groupes d’utilisateurs qui interagissent régulièrement avec des données sensibles.
Vous pouvez également créer une stratégie qui empêche les utilisateurs d’enregistrer des fichiers sensibles sur leurs lecteurs clients locaux. Cependant, si certains utilisateurs du groupe d’utilisateurs ont besoin d’accéder à leurs lecteurs locaux, vous pouvez créer une autre stratégie uniquement pour ces utilisateurs. Vous classez ou hiérarchisez ensuite les deux stratégies pour contrôler laquelle prend le pas. Lorsque vous utilisez plusieurs stratégies, vous devez déterminer :
- Comment hiérarchiser les stratégies
- Comment créer des exceptions
- Comment afficher la stratégie effective en cas de conflit de stratégies.
En général, les stratégies remplacent les paramètres similaires configurés pour l’ensemble du Site, pour des Delivery Controllers spécifiques ou sur le périphérique utilisateur. L’exception à ce principe est la sécurité. Le paramètre de chiffrement le plus élevé de votre environnement remplace toujours les autres paramètres et stratégies. Le paramètre de chiffrement le plus élevé inclut le système d’exploitation et les paramètres d’ombre les plus restrictifs.
Les stratégies Citrix® interagissent avec les stratégies que vous définissez dans votre système d’exploitation. Dans un environnement Citrix, les paramètres Citrix remplacent les mêmes paramètres configurés dans une stratégie Active Directory ou à l’aide de la configuration de l’hôte de session Bureau à distance. Ce paramètre inclut les paramètres liés aux paramètres de connexion client typiques du protocole RDP (Remote Desktop Protocol). Les paramètres RDP typiques incluent des paramètres tels que le fond d’écran du bureau, l’animation des menus et l’affichage du contenu des fenêtres lors du glisser-déposer.
Certains paramètres de stratégie, tels que Secure ICA®, doivent correspondre aux paramètres du système d’exploitation. Si un niveau de chiffrement de priorité plus élevée est défini ailleurs, les paramètres de la stratégie Secure ICA que vous spécifiez dans la stratégie ou lors de la livraison d’applications et de bureaux peuvent être remplacés.
Par exemple, les paramètres de chiffrement que vous spécifiez lors de la création de groupes de mise à disposition doivent être au même niveau que les paramètres de chiffrement que vous avez spécifiés dans l’ensemble de votre environnement.
Remarque :
Dans le deuxième saut des scénarios à double saut, considérez qu’un VDA de système d’exploitation à session unique se connecte à un VDA de système d’exploitation multi-session. Dans ce cas, les stratégies Citrix agissent sur le VDA de système d’exploitation à session unique comme s’il s’agissait du périphérique utilisateur. Par exemple, considérez que les stratégies sont définies pour mettre en cache des images sur le périphérique utilisateur. Dans cet exemple, les images mises en cache pour le deuxième saut dans un scénario à double saut sont mises en cache sur la machine VDA de système d’exploitation à session unique.
Comparer les stratégies et les modèles
Vous pouvez comparer les paramètres d’une stratégie ou d’un modèle avec les paramètres des autres stratégies ou modèles. Par exemple, vous pourriez avoir besoin de vérifier les valeurs des paramètres pour maintenir la conformité avec les meilleures pratiques. Vous pourriez également vouloir comparer les paramètres d’une stratégie ou d’un modèle avec les paramètres par défaut fournis par Citrix.
- Sélectionnez Stratégies dans le volet de navigation de Studio.
- Cliquez sur l’onglet Comparaison, puis cliquez sur Sélectionner.
- Choisissez les stratégies ou les modèles à comparer. Pour inclure les valeurs par défaut dans la comparaison, cochez la case Comparer aux paramètres par défaut.
- Après avoir cliqué sur Comparer, les paramètres configurés s’affichent en colonnes.
- Pour afficher tous les paramètres, sélectionnez Afficher tous les paramètres. Pour revenir à l’affichage par défaut, sélectionnez Afficher les paramètres courants.
Hiérarchiser les stratégies
La hiérarchisation des stratégies vous permet de définir la précédence des stratégies lorsqu’elles contiennent des paramètres conflictuels. Lorsqu’un utilisateur se connecte, toutes les stratégies correspondant aux affectations de la connexion sont identifiées. Ces stratégies sont triées par ordre de priorité et plusieurs instances de chaque paramètre sont comparées. Chaque paramètre est appliqué en fonction du classement de priorité de la stratégie.
Vous hiérarchisez les stratégies en leur attribuant différents numéros de priorité dans Studio. Par défaut, les nouvelles stratégies reçoivent la priorité la plus basse. Si les paramètres de stratégie sont en conflit, une stratégie avec une priorité plus élevée (un numéro de priorité de 1 est le plus élevé) remplace une stratégie avec une priorité plus basse. Les paramètres sont fusionnés en fonction de la priorité et de la condition du paramètre. Par exemple, si le paramètre est désactivé ou activé. Tout paramètre désactivé remplace un paramètre de rang inférieur qui est activé. Les paramètres de stratégie non configurés sont ignorés et ne remplacent pas les paramètres de rang inférieur.
- Sélectionnez Stratégies dans le volet de navigation de Studio. Assurez-vous que l’onglet Stratégies est sélectionné.
- Sélectionnez une stratégie.
- Sélectionnez Priorité inférieure ou Priorité supérieure dans le volet Actions.
Exceptions
Lorsque vous créez des stratégies pour des groupes d’utilisateurs, de périphériques utilisateur ou de machines, vous pouvez constater que certains membres du groupe nécessitent des exceptions à certains paramètres de stratégie. Vous pouvez créer des exceptions en :
- Créant une stratégie uniquement pour les membres du groupe qui ont besoin des exceptions, puis en classant cette stratégie plus haut que la stratégie pour l’ensemble du groupe
- Utilisant le mode Refuser pour une affectation ajoutée à la stratégie
Une affectation dont le mode est défini sur Refuser applique une stratégie uniquement aux connexions qui ne correspondent pas aux critères d’affectation. Par exemple, une stratégie inclut les affectations suivantes :
- L’affectation A est une affectation d’adresse IP client qui spécifie la plage 208.77.88.*. Le mode est défini sur Autoriser.
- L’affectation B est une affectation d’utilisateur qui spécifie un compte utilisateur particulier. Le mode est défini sur Refuser.
La stratégie est appliquée à tous les utilisateurs qui se connectent au Site avec des adresses IP dans la plage spécifiée dans l’affectation A. Cependant, la stratégie n’est pas appliquée à l’utilisateur se connectant au Site avec le compte utilisateur spécifié dans l’affectation B.
Déterminer quelles stratégies s’appliquent à une connexion
Parfois, une connexion ne répond pas comme prévu car plusieurs stratégies s’appliquent. Si une stratégie de priorité plus élevée s’applique à une connexion, elle peut remplacer les paramètres que vous configurez dans la stratégie d’origine. Vous pouvez calculer l’Ensemble de stratégies résultant et déterminer comment les paramètres de stratégie finaux sont fusionnés pour une connexion.
Vous pouvez calculer l’Ensemble de stratégies résultant des manières suivantes :
- Utilisez l’Assistant de modélisation des stratégies de groupe Citrix pour simuler un scénario de connexion et déterminer comment les stratégies Citrix pourraient être appliquées. Vous pouvez spécifier des conditions pour un scénario de connexion, telles que :
- Contrôleur de domaine
- Utilisateurs
- Valeurs de preuve d’affectation de stratégie Citrix
- Paramètres d’environnement simulés tels qu’une connexion réseau lente Le rapport produit par l’assistant répertorie les stratégies Citrix qui prendraient probablement effet dans ce scénario. Considérez que vous êtes connecté au contrôleur en tant qu’utilisateur de domaine. Dans ce cas, l’assistant calcule l’Ensemble de stratégies résultant en utilisant à la fois les paramètres de stratégie de site et les objets de stratégie de groupe (GPO) Active Directory.
- Utilisez les Résultats de stratégie de groupe pour produire un rapport décrivant les stratégies Citrix en vigueur pour un utilisateur et un contrôleur donnés. L’outil Résultats de stratégie de groupe vous aide à évaluer l’état actuel des GPO dans votre environnement et génère un rapport. Le rapport généré décrit comment ces objets, y compris les stratégies Citrix, sont actuellement appliqués à un utilisateur et un contrôleur particuliers.
Vous pouvez lancer l’Assistant de modélisation des stratégies de groupe Citrix à partir du volet Actions dans Citrix Studio. Vous pouvez lancer l’un ou l’autre outil à partir de la Console de gestion des stratégies de groupe dans Windows.
Les paramètres de stratégie de site créés à l’aide de Studio ne sont pas inclus dans l’Ensemble de stratégies résultant dans les cas suivants :
- Si vous exécutez l’Assistant de modélisation des stratégies de groupe Citrix à partir de la Console de gestion des stratégies de groupe Ou,
- Si vous exécutez l’outil Résultats de stratégie de groupe depuis la console de gestion des stratégies de groupe
Pour vérifier que vous obtenez l’ensemble de stratégies résultant le plus complet, Citrix recommande de lancer l’assistant de modélisation des stratégies de groupe Citrix depuis Studio, sauf si vous créez des stratégies en utilisant uniquement la console de gestion des stratégies de groupe.
Utiliser l’assistant de modélisation des stratégies de groupe Citrix
Ouvrez l’assistant de modélisation des stratégies de groupe Citrix en utilisant l’une des méthodes suivantes :
- Sélectionnez Stratégies dans le volet de navigation de Studio, sélectionnez l’onglet Modélisation, puis sélectionnez Lancer l’assistant de modélisation dans le volet Actions.
- Lancez la console de gestion des stratégies de groupe (gpmc.msc), cliquez avec le bouton droit sur Modélisation des stratégies de groupe Citrix dans le volet d’arborescence, puis sélectionnez Assistant de modélisation des stratégies de groupe Citrix.
Suivez les instructions de l’assistant pour sélectionner les éléments suivants :
- Contrôleur de domaine
- Utilisateurs
- Ordinateurs
- Paramètres d’environnement
- Critères d’affectation Citrix à utiliser dans la simulation.
Après avoir cliqué sur Terminer, l’assistant génère un rapport des résultats de la modélisation. Dans Studio, le rapport apparaît dans le volet central sous l’onglet Modélisation.
Pour afficher le rapport, sélectionnez Afficher le rapport de modélisation.
Remarque :
L’onglet Modélisation n’est pas disponible dans Studio hébergé dans Citrix Cloud.
Dépanner les stratégies
Les utilisateurs, les adresses IP et les autres objets attribués peuvent avoir plusieurs stratégies qui s’appliquent simultanément. Ce scénario peut entraîner des conflits où une stratégie pourrait ne pas se comporter comme prévu. Lorsque vous exécutez l’Assistant de modélisation des stratégies de groupe Citrix ou l’outil Résultats de stratégie de groupe, vous pourriez découvrir qu’aucune stratégie n’est appliquée aux connexions utilisateur. Dans un tel scénario, les paramètres de stratégie ne sont pas appliqués aux utilisateurs qui se connectent à leurs applications et bureaux dans des conditions qui correspondent aux critères d’évaluation de la stratégie. Cette situation se produit lorsque :
- Aucune stratégie n’a d’affectations qui correspondent aux critères d’évaluation de la stratégie.
- Les stratégies qui correspondent à l’affectation n’ont aucun paramètre configuré.
- Les stratégies qui correspondent à l’affectation sont désactivées.
Si vous souhaitez appliquer des paramètres de stratégie aux connexions qui répondent aux critères spécifiés, assurez-vous que :
- Les stratégies que vous souhaitez appliquer à ces connexions sont activées.
- Les stratégies que vous souhaitez appliquer ont les paramètres appropriés configurés.