Product Documentation

Restreindre l'accès aux machines dans un groupe de mise à disposition

Oct 21, 2016

Vous pouvez restreindre l'accès aux machines d'un groupe de mise à disposition. Toute modification que vous apportez remplace les paramètres précédents, quelle que soit la méthode que vous utilisez.

  • Restreindre l'accès des administrateurs à l'aide d'étendues pour contrôler l'accès des administrateurs aux groupes d'objets tels que des catalogues de machines, des groupes de mise à disposition et des ressources. Vous pouvez créer et allouer une étendue qui permet aux administrateurs d'accéder à toutes les applications, et une autre qui ne leur donne accès qu'à certaines applications.
  • Limitez l'accès des utilisateurs en utilisant :
    • Des expressions de stratégie SmartAccess qui filtrent les connexions utilisateur effectuées via NetScaler Gateway. Votre administrateur de stratégies peut effectuer cette tâche dans le nœud Stratégie dans Studio ou via les paramètres de stratégie comme décrit dans la section Paramètres de stratégie : Tables de référence rapide.
    • Des filtres d'exclusion sur les stratégies d'accès que vous définissez avec le kit de développement logiciel XenDesktop. Des stratégies d'accès sont appliquées aux groupes de mise à disposition pour affiner certains aspects des connexions aux bureaux virtuels. Par exemple, vous pouvez restreindre l'accès de machine à un sous-ensemble d'utilisateurs répertoriés sur la page Paramètres utilisateur du groupe de mise à disposition, et vous pouvez spécifier les machines utilisateur autorisées à se connecter aux machines. Les stratégies d'accès donnent des résultats semblables, mais sont différentes des stratégies XenDesktop.

      L'utilisation de filtres d'exclusion affine davantage les stratégies d'accès. Vous pouvez, par exemple, refuser l'accès à un sous-ensemble d'utilisateurs ou de machines pour des raisons commerciales ou de sécurité. Par défaut, les filtres d'exclusion sont désactivés et peuvent être définis à l'aide du SDK.

Pour restreindre l'accès des administrateurs via des étendues

  1. Dans Studio, dans le nœud Groupes de mise à disposition, sélectionnez le groupe de mise à disposition que vous souhaitez restreindre.
  2. Cliquez sur Modifier le groupe de mise à disposition et sur Étendues.
  3. Sélectionnez une étendue existante.
  4. Ajoutez ou supprimez des objets à inclure dans l'étendue.
  5. Pour sélectionner un sous-ensemble d'objet, cliquez sur la flèche gauche pour afficher des sous-objets et les sélectionner et cliquez sur OK.

Pour restreindre l'accès des utilisateurs via des expressions de stratégie SmartAccess

Utilisez des expressions de stratégie SmartAccess via NetScaler Gateway.
  1. Dans Studio, sous Groupes de mise à disposition, sélectionnez le groupe de mise à disposition que vous souhaitez restreindre.
  2. Cliquez sur Modifier le groupe de mise à disposition puis sur Stratégie d'accès.
  3. Dans la page Stratégie d'accès, sélectionnez Connexions transitant par NetScaler Gateway. Seules les connexions effectuées par l'intermédiaire de NetScaler Gateway sont autorisées.
  4. Pour choisir un sous-ensemble de ces connexions, sélectionnez Connexions remplissant l'un des critères de filtre suivants et :
    1. Définissez le site NetScaler Gateway.
    2. Ajoutez, modifiez ou supprimez les expressions de stratégie SmartAccess qui définissent les scénarios d'accès des utilisateurs autorisés pour le groupe de mise à disposition. Pour de plus amples informations sur les expressions de stratégie Netscaler Gateway et SmartAccess, consultez la section Configuration de SmartAccess sur NetScaler Gateway.

Pour restreindre l'accès des utilisateurs via des filtres d'exclusion

Vous pouvez utiliser des filtres d'exclusion via le SDK.

Dans cet exemple, un laboratoire d'enseignement est présent sur un sous-réseau du réseau d'entreprise, et vous voulez empêcher l'accès à ce laboratoire à un certain groupe de mise à disposition, quelle que soit la personne qui utilise les machines dans le laboratoire. Pour ce faire, entrez la commande SDK suivante :

 Set-BrokerAccessPolicy -Name VPDesktops_Direct -ExcludedClientIPFilterEnabled $True - 
Remarque : vous pouvez également utiliser un astérisque (*) en tant que caractère générique afin de faire correspondre toutes les balises qui commencent par la même expression de stratégie. À titre d'exemple, si vous avez ajouté la balise VPDesktops_Direct à une machine et VPDesktops_Test à une autre machine, la définition de la balise dans le script Set-BrokerAccessPolicy sur VPDesktops_* applique le filtre aux deux machines.

Veuillez consulter la section À propos du kit de développement logiciel (SDK) XenDesktop pour de plus amples informations sur l'utilisation du kit de développement.