Confrontare, assegnare priorità, modellare e risolvere i problemi delle policy
È possibile utilizzare più policy per personalizzare l’ambiente in base alle esigenze degli utenti, in base alle loro funzioni lavorative, posizioni geografiche o tipi di connessione. Ad esempio, per una maggiore sicurezza, è possibile imporre restrizioni ai gruppi di utenti che interagiscono regolarmente con dati sensibili.
È inoltre possibile creare una policy che impedisca agli utenti di salvare file sensibili sulle unità client locali. Tuttavia, se alcuni utenti del gruppo necessitano dell’accesso alle proprie unità locali, è possibile creare un’altra policy solo per tali utenti. È quindi possibile classificare o assegnare priorità alle due policy per controllare quale abbia la precedenza. Quando si utilizzano più policy, è necessario determinare:
- Come assegnare priorità alle policy
- Come creare eccezioni
- Come visualizzare la policy effettiva in caso di conflitto tra policy.
In generale, le policy sovrascrivono impostazioni simili configurate per l’intero sito, per specifici Delivery Controller o sul dispositivo utente. L’eccezione a questo principio è la sicurezza. L’impostazione di crittografia più elevata nell’ambiente sovrascrive sempre le altre impostazioni e policy. L’impostazione di crittografia più elevata include il sistema operativo e le impostazioni di shadowing più restrittive.
Le policy Citrix® interagiscono con le policy impostate nel sistema operativo. In un ambiente Citrix, le impostazioni Citrix sovrascrivono le stesse impostazioni configurate in una policy di Active Directory o utilizzando la configurazione dell’host sessione Desktop remoto. Questa impostazione include quelle relative alle tipiche impostazioni di connessione client del Remote Desktop Protocol (RDP). Le tipiche impostazioni RDP includono impostazioni come lo sfondo del desktop, l’animazione dei menu e la visualizzazione del contenuto della finestra durante il trascinamento.
Alcune impostazioni di policy, come Secure ICA®, devono corrispondere alle impostazioni del sistema operativo. Se un livello di crittografia con priorità più alta è impostato altrove, le impostazioni della policy Secure ICA specificate nella policy o durante la distribuzione di applicazioni e desktop possono essere sovrascritte.
Ad esempio, le impostazioni di crittografia specificate durante la creazione dei Delivery Group devono essere allo stesso livello delle impostazioni di crittografia specificate nell’intero ambiente.
Nota:
Nel secondo hop degli scenari double-hop, considerare che un VDA Single-session OS si connette a un VDA Multi-session OS. In questo caso, le policy Citrix agiscono sul VDA Single-session OS come se fosse il dispositivo utente. Ad esempio, si consideri che le policy siano impostate per memorizzare nella cache le immagini sul dispositivo utente. In questo esempio, le immagini memorizzate nella cache per il secondo hop in uno scenario double-hop vengono memorizzate nella cache sulla macchina VDA Single-session OS.
Confrontare policy e modelli
È possibile confrontare le impostazioni di una policy o di un modello con le impostazioni delle altre policy o modelli. Ad esempio, potrebbe essere necessario verificare i valori delle impostazioni per mantenere la conformità alle best practice. Potrebbe anche essere utile confrontare le impostazioni di una policy o di un modello con le impostazioni predefinite fornite da Citrix.
- Selezionare Policies (Policy) nel riquadro di navigazione di Studio.
- Fare clic sulla scheda Comparison (Confronto) e quindi su Select (Seleziona).
- Scegliere le policy o i modelli da confrontare. Per includere i valori predefiniti nel confronto, selezionare la casella di controllo Compare to default settings (Confronta con le impostazioni predefinite).
- Dopo aver fatto clic su Compare (Confronta), le impostazioni configurate vengono visualizzate in colonne.
- Per visualizzare tutte le impostazioni, selezionare Show All Settings (Mostra tutte le impostazioni). Per tornare alla visualizzazione predefinita, selezionare Show Common Settings (Mostra impostazioni comuni).
Assegnare priorità alle policy
L’assegnazione di priorità alle policy consente di definire la precedenza delle policy quando contengono impostazioni in conflitto. Quando un utente effettua l’accesso, vengono identificate tutte le policy che corrispondono alle assegnazioni per la connessione. Tali policy vengono ordinate in base alla priorità e vengono confrontate più istanze di qualsiasi impostazione. Ogni impostazione viene applicata in base alla classificazione di priorità della policy.
È possibile assegnare priorità alle policy assegnando loro numeri di priorità diversi in Studio. Per impostazione predefinita, alle nuove policy viene assegnata la priorità più bassa. Se le impostazioni delle policy sono in conflitto, una policy con una priorità più alta (un numero di priorità pari a 1 è il più alto) sovrascrive una policy con una priorità più bassa. Le impostazioni vengono unite in base alla priorità e alla condizione dell’impostazione. Ad esempio, se l’impostazione è disabilitata o abilitata. Qualsiasi impostazione disabilitata sovrascrive un’impostazione di rango inferiore abilitata. Le impostazioni di policy non configurate vengono ignorate e non sovrascrivono le impostazioni di quelle di rango inferiore.
- Selezionare Policies (Policy) nel riquadro di navigazione di Studio. Assicurarsi che la scheda Policies (Policy) sia selezionata.
- Selezionare una policy.
- Selezionare Lower Priority (Priorità inferiore) o Higher Priority (Priorità superiore) nel riquadro Actions (Azioni).
Eccezioni
Quando si creano policy per gruppi di utenti, dispositivi utente o macchine, si potrebbe scoprire che alcuni membri del gruppo richiedono eccezioni ad alcune impostazioni di policy. È possibile creare eccezioni in due modi:
- Creando una policy solo per i membri del gruppo che necessitano delle eccezioni e quindi classificando la policy con una priorità più alta rispetto alla policy per l’intero gruppo
- Utilizzando la modalità Deny (Nega) per un’assegnazione aggiunta alla policy
Un’assegnazione con la modalità impostata su Deny (Nega) applica una policy solo alle connessioni che non corrispondono ai criteri di assegnazione. Ad esempio, una policy include le seguenti assegnazioni:
- L’assegnazione A è un’assegnazione di indirizzo IP client che specifica l’intervallo 208.77.88.*. La modalità è impostata su Allow (Consenti)
- L’assegnazione B è un’assegnazione utente che specifica un particolare account utente. La modalità è impostata su Deny (Nega).
La policy viene applicata a tutti gli utenti che accedono al sito con indirizzi IP nell’intervallo specificato nell’assegnazione A. Tuttavia, la policy non viene applicata all’utente che accede al sito con l’account utente specificato nell’assegnazione B.
Determinare quali policy si applicano a una connessione
A volte una connessione non risponde come previsto perché si applicano più policy. Se una policy con priorità più alta si applica a una connessione, può sovrascrivere le impostazioni configurate nella policy originale. È possibile calcolare il set di policy risultante e determinare come le impostazioni finali delle policy vengono unite per una connessione.
È possibile calcolare il set di policy risultante nei seguenti modi:
- Utilizzare la procedura guidata di modellazione delle policy di gruppo Citrix per simulare uno scenario di connessione e discernere come potrebbero essere applicate le policy Citrix. È possibile specificare le condizioni per uno scenario di connessione, ad esempio:
- Domain controller
- Utenti
- Valori di prova dell’assegnazione delle policy Citrix
- Impostazioni dell’ambiente simulato, come una connessione di rete lenta Il report prodotto dalla procedura guidata elenca le policy Citrix che probabilmente avrebbero effetto nello scenario. Si consideri di aver effettuato l’accesso al Controller come utente di dominio. In questo caso, la procedura guidata calcola il set di policy risultante utilizzando sia le impostazioni delle policy del sito che gli oggetti Criteri di gruppo (GPO) di Active Directory.
- Utilizzare i risultati dei Criteri di gruppo per produrre un report che descriva le policy Citrix in vigore per un determinato utente e controller. Lo strumento Risultati Criteri di gruppo aiuta a valutare lo stato corrente dei GPO nell’ambiente e genera un report. Il report generato descrive come questi oggetti, incluse le policy Citrix, vengono attualmente applicati a un particolare utente e controller.
È possibile avviare la procedura guidata di modellazione delle policy di gruppo Citrix dal riquadro Actions (Azioni) in Citrix Studio. È possibile avviare entrambi gli strumenti dalla Console Gestione Criteri di gruppo in Windows.
Le impostazioni delle policy del sito create utilizzando Studio non sono incluse nel set di policy risultante nei seguenti casi:
- Se si esegue la procedura guidata di modellazione delle policy di gruppo Citrix dalla Console Gestione Criteri di gruppo Oppure,
- Se si esegue lo strumento Risultati Criteri di gruppo dalla Console Gestione Criteri di gruppo
Per verificare di ottenere il set di policy risultante più completo, Citrix consiglia di avviare la procedura guidata di modellazione delle policy di gruppo Citrix da Studio, a meno che non si creino policy utilizzando solo la Console Gestione Criteri di gruppo.
Utilizzare la procedura guidata di modellazione delle policy di gruppo Citrix
Aprire la procedura guidata di modellazione delle policy di gruppo Citrix utilizzando uno dei seguenti metodi:
- Selezionare Policies (Policy) nel riquadro di navigazione di Studio, selezionare la scheda Modeling (Modellazione) e quindi selezionare Launch Modeling Wizard (Avvia procedura guidata di modellazione) nel riquadro Actions (Azioni).
- Avviare la Console Gestione Criteri di gruppo (gpmc.msc), fare clic con il pulsante destro del mouse su Citrix Group Policy Modeling (Modellazione policy di gruppo Citrix) nel riquadro ad albero e quindi selezionare Citrix Group Policy Modeling Wizard (Procedura guidata di modellazione policy di gruppo Citrix).
Seguire le istruzioni della procedura guidata per selezionare quanto segue:
- Domain controller
- Utenti
- Computer
- Impostazioni dell’ambiente
- Criteri di assegnazione Citrix da utilizzare nella simulazione.
Dopo aver fatto clic su Finish (Fine), la procedura guidata produce un report dei risultati della modellazione. In Studio, il report viene visualizzato nel riquadro centrale sotto la scheda Modeling (Modellazione).
Per visualizzare il report, selezionare View Modeling Report (Visualizza report di modellazione).
Nota:
La scheda Modeling (Modellazione) non è disponibile in Studio ospitato in Citrix Cloud.
Risolvere i problemi delle policy
Utenti, indirizzi IP e altri oggetti assegnati possono avere più policy che si applicano contemporaneamente. Questo scenario può portare a conflitti in cui una policy potrebbe non comportarsi come previsto. Quando si esegue la procedura guidata di modellazione delle policy di gruppo Citrix o lo strumento Risultati Criteri di gruppo, si potrebbe scoprire che nessuna policy viene applicata alle connessioni utente. In tale scenario, le impostazioni delle policy non vengono applicate agli utenti che si connettono alle loro applicazioni e desktop in condizioni che corrispondono ai criteri di valutazione delle policy. Questa situazione si verifica quando:
- Nessuna policy ha assegnazioni che corrispondono ai criteri di valutazione delle policy.
- Le policy che corrispondono all’assegnazione non hanno impostazioni configurate.
- Le policy che corrispondono all’assegnazione sono disabilitate.
Se si desidera applicare le impostazioni delle policy alle connessioni che soddisfano i criteri specificati, assicurarsi che:
- Le policy che si desidera applicare a tali connessioni siano abilitate.
- Le policy che si desidera applicare abbiano le impostazioni appropriate configurate.