Conception de stratégie de base

Généralités

Les stratégies fournissent la base pour configurer et affiner les environnements Citrix Virtual Apps and Desktops. Les stratégies permettent aux organisations de contrôler les paramètres en fonction de diverses combinaisons d’utilisateurs, d’appareils ou de types de connexion et incluent des paramètres pour :

  • Connexions
  • Sécurité
  • Bande passante

Lorsque vous prenez des décisions de stratégie, tenez compte des stratégies Microsoft et Citrix pour inclure tous les paramètres d’expérience utilisateur, de sécurité et d’optimisation. Cet article se concentre uniquement sur les stratégies Citrix. Pour obtenir la liste de tous les paramètres de stratégie associés à Citrix, reportez-vous au Référence des paramètres de stratégie Citrix.

Décision : moteur de stratégie préféré

Les organisations peuvent configurer des stratégies Citrix soit via Citrix Studio, soit via une stratégie de groupe Active Directory. Les stratégies Active Directory utilisent les fichiers Citrix ADMX, qui étendent la stratégie de groupe et fournissent des mécanismes de filtrage avancés.

L’utilisation de la stratégie de groupe Active Directory permet aux organisations de gérer les stratégies Windows et Citrix au même emplacement et réduit les outils d’administration nécessaires à la gestion des stratégies. Les stratégies de groupe sont automatiquement répliquées sur les contrôleurs de domaine, protégeant les informations et simplifiant l’application de stratégie.

Utilisez les consoles d’administration Citrix si les administrateurs Citrix n’ont pas accès aux stratégies Active Directory. Sélectionnez la méthode qui convient le mieux aux besoins de l’organisation et utilisez cette méthode de manière cohérente. L’utilisation d’une seule méthode évite la confusion avec plusieurs emplacements de stratégie Citrix.

Il est important de comprendre comment l’agrégation des stratégies, connue sous le nom de priorité des politiques, circule, pour comprendre comment un ensemble de stratégies résultant est créé. Avec les stratégies Active Directory et Citrix, la priorité est la suivante :

Priorité des stratégies Type de stratégie
Traitées en premier (priorité la plus basse) Stratégies de machine locale
Traitées en deuxième Stratégies Citrix créées à l’aide des consoles d’administration Citrix
Traitées en troisième Stratégies AD au niveau du site
Traitées en quatrième Stratégies AD au niveau du domaine
Traitées en cinquième UO de niveau le plus élevé dans le domaine
Traitées en sixième et ensuite UO de niveau suivant dans le domaine
Traitées en dernier (priorité la plus élevée) UO de niveau le plus bas contenant l’objet

Les stratégies de chaque niveau s’agrégent en une stratégie finale appliquée à l’utilisateur ou à l’ordinateur. Dans la plupart des déploiements d’entreprise, les administrateurs Citrix ne disposent pas des autorisations nécessaires pour modifier des stratégies en dehors de leurs unités d’organisation spécifiques, qui sont généralement le niveau de priorité le plus élevé. Lorsque des exceptions sont requises, utilisez les paramètres « héritage de bloc » et « no override » pour gérer les paramètres de stratégie qui s’appliquent à partir du haut de l’arborescence de l’unité d’organisation. Le blocage d’héritage (block inheritance) empêche l’intégration des paramètres des UO de niveau supérieur (priorité inférieure) dans la stratégie. Toutefois, lors de la configuration d’une stratégie d’unité d’organisation de niveau supérieur sans remplacement, le paramètre d’héritage de bloc n’est pas appliqué. C’est pourquoi il faut veiller à la planification des politiques. Utilisez les outils disponibles tels que l’ « Ensemble de stratégies résultant Active Directory » ou l’ « Assistant Modélisation de stratégie de groupe Citrix » pour valider les résultats observés avec les résultats attendus.

Remarque :

certains paramètres de stratégie Citrix, s’ils sont utilisés, doivent être configurés via la stratégie de groupe Active Directory. Par exemple, les Delivery Controller et le port d’enregistrement Delivery Controller sont requis pour l’enregistrement des VDA.

Décision : intégration des stratégies

Lors de la configuration des stratégies, les organisations ont souvent besoin à la fois de stratégies Active Directory et de stratégies Citrix pour créer un environnement entièrement configuré. Avec l’utilisation des deux ensembles de stratégies, l’ensemble de stratégies résultant peut devenir source de confusion. Parfois, en particulier en ce qui concerne les services Bureau à distance Windows (RDS) et les stratégies Citrix, des fonctionnalités similaires peuvent être configurées à deux emplacements différents. Par exemple, il est possible d’activer le mappage de lecteur client dans une stratégie Citrix et de désactiver le mappage de lecteur client dans une stratégie RDS. La possibilité d’utiliser la fonctionnalité souhaitée peut dépendre de la combinaison de la stratégie RDS et Citrix. Il est essentiel de comprendre que les stratégies Citrix s’appuient sur les fonctionnalités disponibles dans les Services Bureau à distance. Si la fonctionnalité requise est explicitement désactivée dans la stratégie RDS, la stratégie Citrix n’est pas en mesure d’affecter une configuration.

Pour éviter cette confusion, Citrix recommande de configurer les stratégies RDS uniquement lorsque cela est nécessaire, et il n’existe aucune stratégie correspondante dans la configuration Citrix Virtual Apps and Desktops. Configurez les stratégies RDS uniquement si la configuration est nécessaire pour une utilisation RDS au sein de l’organisation. La configuration des stratégies au dénominateur commun le plus élevé simplifie le processus de compréhension de l’ensemble de stratégies résultant et de configuration de stratégie de dépannage.

Décision : étendue des stratégies

Une fois les stratégies créées, appliquez les stratégies à des groupes d’utilisateurs, d’ordinateurs ou aux deux, en fonction du résultat requis. Le filtrage des stratégies permet d’appliquer des stratégies aux utilisateurs ou aux groupes d’ordinateurs requis. Avec les stratégies basées sur Active Directory, une décision cruciale est d’appliquer une stratégie aux ordinateurs ou aux utilisateurs du site, du domaine ou des unités organisationnelles (UO). Les stratégies Active Directory sont divisées en configuration utilisateur et configuration ordinateur. Par défaut, les paramètres de la configuration utilisateur s’appliquent aux utilisateurs qui résident dans l’unité d’organisation lors de l’ouverture de session. Les paramètres de la configuration de l’ordinateur sont appliqués à l’ordinateur au démarrage du système et affectent tous les utilisateurs qui ouvrent une session sur le système. L’association de stratégies avec les déploiements Active Directory et Citrix représente un défi dans trois domaines principaux :

  • Stratégies informatiques spécifiques à l’environnement
    Citrix Les serveurs et bureaux virtuels Citrix ont souvent des stratégies informatiques créées et déployées spécifiquement pour l’environnement. L’application de ces stratégies s’effectue facilement en créant des structures d’unité d’organisation distinctes pour les serveurs et les bureaux virtuels. Des stratégies spécifiques peuvent ensuite être créées et appliquées en toute confiance uniquement aux ordinateurs de l’unité d’organisation et ci-dessous et rien d’autre. En fonction des besoins, divisez les postes de travail virtuels et les serveurs au sein de la structure d’unité d’organisation en fonction des rôles serveur, des emplacements géographiques ou des unités opérationnelles.
  • Stratégies utilisateur spécifiques à Citrix
    Lors de la création de stratégies pour Citrix Virtual Apps and Desktops, plusieurs stratégies spécifiques à l’expérience utilisateur et à la sécurité sont appliquées en fonction de la connexion de l’utilisateur. Toutefois, le compte de l’utilisateur peut se trouver n’importe où dans la structure Active Directory, ce qui crée des difficultés à appliquer simplement des stratégies basées sur la configuration utilisateur. Il n’est pas souhaitable d’appliquer les configurations spécifiques Citrix au niveau du domaine car les paramètres s’appliqueraient à tous les systèmes sur lesquels un utilisateur ouvre une session. L’application des paramètres de configuration utilisateur dans l’unité d’organisation où se trouvent les serveurs Citrix ou bureaux virtuels ne fonctionne pas non plus. Les comptes d’utilisateur ne se trouvent pas dans cette unité d’organisation, donc les paramètres ne sont pas appliqués aux utilisateurs. La solution consiste à appliquer une stratégie de bouclage. Une stratégie de bouclage est une stratégie de configuration d’ordinateur qui oblige l’ordinateur à appliquer la stratégie de configuration utilisateur affectée de l’unité d’organisation à tout utilisateur qui ouvre une session sur le serveur ou le bureau virtuel. L’emplacement de l’utilisateur dans Active Directory n’affecte pas les paramètres appliqués dans une stratégie de bouclage. Le traitement de bouclage peut être appliqué en mode fusion ou remplacement. L’utilisation du mode remplacement remplace l’objet de stratégie de groupe (GPO) de l’utilisateur entier par la stratégie du serveur Citrix ou de l’unité d’organisation du bureau virtuel. Le mode de fusion combine l’objet de stratégie de groupe utilisateur avec l’objet de stratégie de groupe à partir du serveur Citrix ou de l’unité d’organisation du bureau. Comme les objets de stratégie de groupe de l’ordinateur sont traités après les objets de stratégie de groupe utilisateur lorsque le mode de fusion est configuré, les paramètres d’unité d’organisation associés Citrix ont priorité. Lors de l’utilisation du mode de fusion, les paramètres d’unité d’organisation associés à Citrix s’appliquent en cas de conflit. Pour plus d’informations, reportez-vous à l’article de support Microsoft Traitement en boucle de la stratégie de groupe.
  • Filtrage des stratégies Active Directory
    Dans les cas plus avancés, il peut être nécessaire d’appliquer un paramètre de stratégie à un petit sous-ensemble d’utilisateurs, tels que les administrateurs Citrix. Dans ce cas, le traitement de bouclage ne s’applique qu’à un sous-ensemble d’utilisateurs, et non à tous les utilisateurs qui ouvrent une session sur le système. Utilisez le filtrage de stratégie Active Directory pour spécifier des utilisateurs ou des groupes d’utilisateurs spécifiques auxquels la stratégie est appliquée. Une stratégie peut être créée pour une fonction spécifique. En outre, un filtre de stratégie peut être défini pour appliquer cette stratégie uniquement à un groupe d’utilisateurs. Le filtrage des stratégies s’effectue à l’aide des propriétés de sécurité de chaque stratégie cible.

Les stratégies Citrix créées à l’aide de Citrix Studio ont des paramètres de filtre spécifiques disponibles, utilisés pour résoudre des situations de filtrage de stratégie qui ne sont pas disponibles lors de l’utilisation de la stratégie de groupe. Appliquez des stratégies Citrix à l’aide de n’importe quelle combinaison des filtres suivants :

Nom du filtre Description du filtre Étendue
Contrôle d’accès Applique une stratégie basée sur les conditions de contrôle d’accès par lesquelles un client se connecte. Par exemple, les utilisateurs qui se connectent via Citrix NetScaler Gateway peuvent se voir appliquer des stratégies spécifiques. Paramètres utilisateur
Adresse IP du client Applique une stratégie basée sur l’adresse IPv4 ou IPv6 de la machine utilisateur utilisée pour se connecter à la session. Des précautions doivent être prises avec ce filtre si des plages d’adresses IPv4 sont utilisées pour éviter des résultats inattendus. Paramètres utilisateur
Nom du client Applique une stratégie basée sur le nom de la machine utilisateur à partir de laquelle la session est connectée. Paramètres utilisateur
Groupe de mise à disposition Applique une stratégie basée sur l’appartenance au groupe de mise à disposition du poste de travail ou du serveur exécutant la session. Paramètres utilisateur et ordinateur
Type de groupe de mise à disposition Applique une stratégie en fonction du type de machine exécutant la session. Par exemple, différentes stratégies peuvent être définies selon qu’une machine est privée ou partagée. Paramètres utilisateur et ordinateur
NetScaler SD-WAN Applique une stratégie basée sur le lancement d’une session via NetScaler SD-WAN. Paramètres utilisateur
Unité d’organisation (UO) Applique une stratégie basée sur l’unité d’organisation (UO) du poste de travail ou du serveur exécutant la session. Paramètres utilisateur et ordinateur
Balise Applique une stratégie basée sur les balises appliquées à la machine exécutant la session. Les balises sont des chaînes qui peuvent être ajoutées à des éléments, tels que des machines, dans les environnements Citrix Virtual Apps and Desktops. Ces balises peuvent être utilisées pour rechercher ou limiter l’accès aux postes de travail. Paramètres utilisateur et ordinateur
Utilisateur ou groupe Applique une stratégie basée sur l’appartenance à l’utilisateur ou au groupe de l’utilisateur se connectant à la session. Paramètres utilisateur

Remarque :

Les stratégies d’un environnement Citrix Virtual Apps and Desktops fournissent une vue fusionnée des paramètres qui s’appliquent au niveau de l’utilisateur et de l’ordinateur. Dans le tableau précédent, la colonne Étendue indique si le filtre spécifié s’applique aux paramètres utilisateur, aux paramètres de l’ordinateur ou aux deux.

Décision : stratégie de référence

Une stratégie de référence contient tous les éléments communs requis pour offrir une expérience haute définition à la plupart des utilisateurs de l’organisation. Une stratégie de base crée la base de l’accès des utilisateurs et des exceptions nécessaires pour répondre aux besoins spécifiques d’accès des groupes d’utilisateurs. Pour créer la structure de stratégie la plus simple possible, configurez les paramètres de stratégie dans la ligne de base pour qu’ils soient suffisamment complets pour tenir compte du plus grand nombre possible de cas d’utilisation. Définissez la priorité de la stratégie de base sur la priorité la plus basse, par exemple 99. Un numéro de priorité de « 1 » est la priorité la plus élevée. Activez tous les paramètres de stratégie Citrix dans la configuration de ligne de base, même si ces paramètres utilisent la valeur par défaut. La configuration de ces paramètres définit le comportement souhaité et évite la confusion si les paramètres par défaut changent. Utilisez des modèles de stratégie Citrix pour configurer des stratégies Citrix afin de gérer efficacement l’expérience utilisateur final dans un environnement. Les modèles de stratégie Citrix constituent un point de départ initial solide pour une stratégie de ligne de base. Les modèles sont constitués de paramètres préconfigurés qui optimisent les performances pour des environnements ou des conditions réseau spécifiques. Les modèles intégrés inclus dans Citrix Virtual Apps and Desktops sont présentés dans le tableau suivant :

Nom du modèle Description
Haute évolutivité de serveur Inclut des paramètres pour offrir une expérience utilisateur optimale tout en hébergeant davantage d’utilisateurs sur un seul serveur.
Montée en charge du serveur élevée - anciens systèmes d’exploitation Égale au modèle « Évolutivité élevée du serveur », appliquez cette stratégie aux VDA exécutant un système d’exploitation hérité tel que Windows 2008R2 ou Windows 7 et versions antérieures.
Optimisé pour NetScaler SD-WAN Inclut des paramètres pour offrir une expérience optimisée aux utilisateurs travaillant à partir de succursales avec NetScaler SD-WAN déployé.
Optimisé pour un réseau étendu Inclut des paramètres permettant d’offrir une expérience optimisée aux utilisateurs disposant de connexions à faible bande passante ou à latence élevée.
Optimisé pour les connexions WAN – anciens systèmes d’exploitation Égale au modèle « Optimisé pour WAN », appliquez cette stratégie aux VDA exécutant un système d’exploitation hérité tel que Windows 2008R2 ou Windows 7 et versions antérieures.
Sécurité et contrôle Inclut des paramètres permettant de désactiver l’accès aux périphériques, le mappage de lecteurs, la redirection de ports et l’accélération Flash sur les machines utilisateur.
Expérience utilisateur très haute définition Comprend des paramètres permettant de fournir un son, des graphiques et des vidéos de haute qualité aux utilisateurs.

Pour plus d’informations sur les modèles de stratégie Citrix, reportez-vous à Citrix Docs - Modèles de stratégie.

Inclure des stratégies Windows dans une configuration de stratégie de ligne de base. Les stratégies Windows reflètent les paramètres qui optimisent l’expérience utilisateur et suppriment des fonctionnalités qui ne sont pas requises ou souhaitées dans un environnement Citrix Virtual Apps and Desktops. Une fonctionnalité courante désactivée dans ces environnements est Windows Update. Dans les environnements virtualisés, principalement où les postes de travail et les serveurs sont diffusés en continu et non persistants, Windows Update crée une surcharge de traitement et de réseau. Les modifications apportées par le processus de mise à jour ne persistent pas après le redémarrage du bureau virtuel ou du serveur d’applications. Les organisations utilisent souvent le service WSUS (Windows Software Update Service) pour contrôler les mises à jour Windows. Dans ce cas, les mises à jour sont appliquées au disque principal et mises à disposition par le service informatique de façon planifiée.

Outre les considérations qui précèdent, la stratégie de base finale d’une organisation comprend des paramètres pour répondre aux besoins de l’organisation. Ces exigences peuvent être liées à la sécurité, aux conditions réseau courantes ou à la gestion des machines utilisateur ou des profils utilisateur.

Décision de conception : Délégation administrative

Empêchez les accès non autorisés en limitant le nombre d’utilisateurs qui peuvent accéder aux stratégies. Laisser la sécurité trop détendue peut entraîner l’exfiltration des détails de configuration du déploiement Citrix Virtual Apps and Desktops. La méthode de restriction d’accès dépend du moteur utilisé pour configurer les stratégies. Lors de l’utilisation de Citrix Studio en tant que moteur de stratégie, affectez des rôles à des groupes pour déléguer l’accès administratif. Pour plus d’informations sur les étendues et les rôles, reportez-vous à la Documentation d’administration déléguée.

  • Utilisez les rôles administratifs intégrés
    Ajoutez des groupes Active Directory au rôle respectif pour déléguer le niveau de contrôle requis.

    • L’ administrateur complet accorde un accès en lecture et en écriture sur tous les objets du site Citrix Virtual Apps and Desktops. Portez une attention particulière lors de l’attribution du rôle « Administrateur complet ». Outre les stratégies, le rôle « Administrateur complet » accorde également un accès en lecture et en écriture à tous les autres objets de l’ensemble du Site.
    • L’ administrateur en lecture seule fournit des autorisations en lecture seule sur les objets dans l’étendue affectée dans un site Citrix Virtual Apps and Desktops. L’affectation d’un groupe aux rôles « Administrateur en lecture seule » accorde un accès en lecture seule à toutes les stratégies, quelle que soit l’étendue affectée.
  • Créer un rôle administratif personnalisé
    Pour un contrôle plus précis de l’accès aux stratégies, créez des rôles personnalisés. Un rôle personnalisé permet aux administrateurs d’affecter des tâches spécifiques à un groupe d’administrateurs. Affectez la définition « Gérer les stratégies » ou « Afficher les stratégies » pour déléguer les autorisations appropriées. Comme les stratégies ne font pas partie d’une étendue spécifique, l’étendue attribuée à l’administrateur n’affecte pas l’accès aux stratégies. Ajoutez des groupes Active Directory en tant qu’administrateurs et affectez le rôle personnalisé pour déléguer l’accès.

Lors de la configuration de stratégies Citrix à l’aide de stratégies de groupe Active Directory, les administrateurs délèguent l’accès à l’aide de la console de gestion des stratégies de groupe. Un objet de stratégie de groupe unique peut contenir plusieurs stratégies Citrix. La granularité des autorisations attribuées dépend de la conception de la structure de l’objet de stratégie de groupe. L’accès en lecture ou en écriture est accordé à un utilisateur ou à un groupe selon l’objet de stratégie de groupe. L’accès accordé au niveau de l’objet de stratégie de groupe accorde des autorisations à toutes les stratégies Citrix configurées dans cet objet de stratégie de groupe.

Recommandations en matière de conception

Sur la base de l’expérience acquise sur le terrain, Citrix a développé des pratiques de pointe liées à la conception de stratégies Citrix. Les principales pratiques regroupent les décisions de conception prises dans les chapitres précédents.

Politique de référence

Laissez la stratégie non filtrée vide et définissez la sur désactivée. Configurez la stratégie non filtrée pour avoir la priorité la plus basse possible. Plus le numéro de priorité (par exemple, une priorité de 99) est élevé, plus la priorité est faible. Créez des stratégies d’ordinateur de base et d’utilisateur nommées selon la convention de dénomination de l’entreprise. Assurez-vous que les stratégies de ligne de base s’appliquent à la plupart des utilisateurs et des ordinateurs qui se connectent à l’environnement Citrix Virtual Apps and Desktops. Configurez tous les paramètres de la stratégie de base, même si ces paramètres utilisent la valeur par défaut.

Superposition de stratégie

Créez des exceptions à la stratégie de base en fonction des besoins des utilisateurs finaux. Affectez les exceptions de stratégie en fonction du filtre approprié. Définissez la priorité des stratégies d’exception pour qu’elle soit supérieure à la stratégie de base. Créez le moins de stratégies possible et consolidez les paramètres lorsque cela est possible. La définition d’un trop grand nombre de politiques peut entraîner une complexité et des résultats inattendus.

Exemple :

dans un déploiement Citrix Virtual Apps and Desktops, les utilisateurs ne sont pas autorisés à accéder aux lecteurs locaux sur leurs terminaux dans la session Citrix. L’appartenance à un groupe Active Directory accorde l’accès aux lecteurs locaux. Pour obtenir ce comportement, définissez le paramètre « Redirection de lecteur client » sur « Interdit » dans la stratégie de base. Créez une stratégie avec une priorité plus élevée et définissez le paramètre « Redirection de lecteur client » sur « Autorisé » dans la nouvelle stratégie. Ajoutez un groupe Active Directory dans les affectations de la nouvelle stratégie. Seuls les utilisateurs qui sont membres du groupe Active Directory ont accès aux lecteurs locaux. Le comportement par défaut est de refuser l’accès aux lecteurs locaux pour tous les autres utilisateurs.

Gestion des stratégies

Ne pas combiner les moteurs de stratégie. Choisissez un moteur de stratégie et configurez toutes les stratégies Citrix à l’aide de ce moteur. Par exemple, lorsque vous utilisez des stratégies de groupe Active Directory, n’utilisez pas Citrix Studio pour créer d’autres stratégies Citrix.

Documente toutes les stratégies, paramètres de stratégie et exceptions. Utilisez un format de documentation interne de l’entreprise ou utilisez le champ de description de la stratégie pour suivre les modifications. Lorsque vous utilisez le champ de description, utilisez un formulaire standardisé. Par exemple, incluez la date, l’auteur et la description des modifications : 2020-04-17 - FvdP: Disabled Client Drive Mapping according to request SR422344.

Utiliser le champ de description de stratégie pour la documentation