Citrix Virtual Apps and Desktops

ポリシー

ポリシーは構成可能な設定項目をグループ化したもので、特定のユーザー、デバイス、または接続の種類に対して特定のセッション、帯域幅、およびセキュリティ構成が適用されるように制御する目的で使用します。

これらのポリシーは、特定の物理マシン、仮想マシン、またはユーザーに割り当てることができます。ユーザーに適用する場合、ローカルレベルのアカウントを指定したりActive Directoryのセキュリティグループを指定したりできます。この構成では、特定の条件や規則を定義します。ポリシーを特定のオブジェクトに明示的に割り当てない場合、その設定はすべての接続に適用されます。

ローカライズされた画像

ポリシーは、ネットワークのさまざまなレベルに割り当てることができます。組織単位のGPOレベルに割り当てられたポリシーは、そのネットワークで最も優先されます。ドメインGPOレベルのポリシーは、サイトグループポリシーオブジェクトレベルのポリシーよりも優先されます。サイトグループポリシーオブジェクトレベルは、MicrosoftやCitrixのローカルポリシーレベルの競合ポリシーよりも優先されます。

すべてのCitrixローカルポリシーは、Citrix Studioコンソールで作成および管理され、サイトデータベースに格納されます。グループポリシーは、Microsoftグループポリシー管理コンソール(GPMC)を使用して作成および管理され、Active Directoryに格納されます。MicrosoftローカルポリシーはWindows上で作成され、レジストリ内に格納されます。

Studioのモデル作成ウィザードを使用すると、複数のテンプレートやポリシーの設定項目とその構成内容を比較してポリシーの競合や重複を避けることができます。管理者は、GPMCを使用してGPOを設定できます。また、それらの設定を、ネットワークのさまざまなレベルのユーザーのターゲットセットに適用します。

これらのGPOはActive Directoryに保存されます。セキュリティ上の理由から、IT担当者のみがこれらの設定を管理できるよう制限されています。

複数のポリシーの設定内容は、ポリシーの優先度や条件に基づいて統合されます。優先度のより高いポリシーの設定で[無効]または[禁止]が選択されている場合、優先度の低いポリシーで[有効]または[許可]が選択されていても、その設定内容は無視されます。未構成の設定項目は無視され、優先度の低いポリシーでの設定を上書きすることはありません。

ローカルポリシーとActive Directory内のグループポリシーの設定内容が競合する場合、優先されるポリシーは状況により異なります。

すべてのポリシーは、以下の順番で処理されます。

  1. エンドユーザーがドメインの資格情報を使用してマシンにログオンする。
  2. 資格情報がドメインコントローラーに送信される。
  3. Active Directoryによりすべてのポリシー(エンドユーザー、エンドポイント、組織単位、およびドメイン)が適用される。
  4. エンドユーザーがCitrix Workspaceアプリにログオンしてアプリケーションまたはデスクトップにアクセスする。
  5. そのエンドユーザー、およびアプリケーションまたはデスクトップのホストマシンに適用されるCitrixポリシーとMicrosoftポリシーが処理される。
  6. Active Directoryにより各ポリシー設定の優先度が決定され、エンドポイントデバイスのレジストリやリソースをホストしているマシンに適用される。
  7. エンドユーザーがアプリケーションまたはデスクトップからログオフする。そのエンドユーザー、およびアプリケーションまたはデスクトップのホストマシンに適用されるCitrixポリシーが非アクティブになる。
  8. エンドユーザーがユーザーデバイスからログオフし、GPOユーザーポリシーが非アクティブになる。
  9. エンドユーザーがユーザーデバイスをシャットダウンし、GPOマシンポリシーが非アクティブになる。

ユーザー、ユーザーデバイス、およびマシンのグループに割り当てるポリシーを作成する場合、グループの一部のメンバーで要件が異なるために一部の設定項目で例外が必要になることがあります。この例外は、StudioとGPMCにおけるフィルターとして作成され、このフィルターにより、だれにどのポリシーが適用されるのかが決定されます。

注: 1つのGPOにWindowsポリシーとCitrixポリシーを混在させることはできません。

ポリシー

この記事の概要