ポリシーの使用

ユーザーのアクセスやセッション環境を制御するには、Citrixポリシーを構成します。Citrixポリシーを使用して、接続、セキュリティ、および帯域幅の設定を効率的に制御できます。ポリシーは、特定のグループのユーザー、デバイス、または接続の種類を対象に適用できます。1つのポリシーに複数の設定を選択して構成できます。

Citrixポリシーを構成するツール

Citrixポリシーは、以下のツールを使用して構成します。

  • Studio - グループポリシーの管理権限が付与されていないCitrix管理者は、Studioを使ってサイトのポリシーを作成します。Studioを使って作成されたポリシーはそのサイトのデータベースに保存され、仮想デスクトップをブローカーに登録するとき、またはユーザーが仮想デスクトップに接続するときにその仮想デスクトップに適用されます。
  • ローカルグループポリシーエディター(Microsoft管理コンソールのスナップイン) - ネットワーク環境でActive Directoryが使用されており、グループポリシーの管理権限が付与されている場合は、グループポリシーエディターを使用してサイトのポリシーを作成できます。ここでの設定内容は、グループポリシー管理コンソールで指定するグループポリシーオブジェクト(GPO)に反映されます。 重要: VDAのControllerへの登録に関するものやMicrosoft App-Vサーバーに関するものなど、一部のポリシー設定を構成するには、グループポリシーエディターを使用する必要があります。

ポリシーの処理順序と優先順位

グループポリシーの設定は、以下の順で処理されます:

  1. ローカルのGPO
  2. XenApp/XenDesktopサイトのGPO(サイトのデータベースに格納される)
  3. サイトレベルのGPO
  4. ドメインレベルのGPO
  5. 組織単位

ただし、設定内容に競合が発生すると、最後に処理されるポリシーの設定により、先に処理されるポリシーの設定が上書きされることがあります。つまり、ポリシーの設定は以下の順番で優先されます:

  1. 組織単位
  2. ドメインレベルのGPO
  3. サイトレベルのGPO
  4. XenApp/XenDesktopサイトのGPO(サイトのデータベースに格納される)
  5. ローカルのGPO

たとえば、営業部のユーザーがクライアント側のファイルをセッション内で使用できるようにするポリシー(Policy A)をCitrix管理者がStudioで作成し、同じユーザーに対してこの機能を禁止するポリシー(Policy B)をほかの管理者がグループポリシーエディターで作成したとします。この場合、営業部のユーザーが仮想デスクトップにログオンするとPolicy Bが適用され、Policy Aは無視されます。これは、ドメインレベルで処理されるPolicy Bが、XenApp/XenDesktopサイトのGPOレベルで処理されるPolicy Aよりも優先されるためです。

ただし、ユーザーがICAまたはリモートデスクトッププロトコル(RDP)セッションを開始する場合は、Active DirectoryやWindowsのリモートデスクトップセッションホストの構成ツールでの設定よりも、Citrixポリシーでの設定の方が優先されることに注意してください。これは、RDPクライアント接続で一般的に設定されている、デスクトップの壁紙、メニューのアニメーション化、ウィンドウの内容を表示したままドラッグする機能などにも当てはまります。

複数のポリシーを適用する場合は、競合する設定項目が正しく処理されるように優先順位を設定できます。詳しくは、「ポリシーの比較、優先度、モデル作成、およびトラブルシューティング」を参照してください。

Citrixポリシーの設定ワークフロー

ポリシーを設定する手順は次のとおりです:

  1. ポリシーを作成します。
  2. ポリシー設定を構成します。
  3. ポリシーをマシンやユーザーオブジェクトに割り当てます。
  4. ポリシーの優先度を設定します。
  5. Citrixグループポリシーモデル作成ウィザードを実行して、ポリシーの効果を確認します。

Citrixポリシーと設定の使用

ローカルグループポリシーエディターでは、ポリシーと設定項目が[コンピューターの構成]ノードと[ユーザーの構成]ノードに表示されます。これらのそれぞれに[Citrixポリシー ]ノードがあります。このスナップインの使用方法については、Microsoft社のドキュメントを参照してください。

Studioでは、ポリシーやテンプレートの設定項目が機能に基づいて分類されています。たとえば、[Profile Management]カテゴリには、Profile Managementのポリシー設定が含まれています。

  • 「コンピューター設定」(マシンに適用される設定項目)は仮想デスクトップの動作を制御し、仮想デスクトップの起動時に適用されます。これらの設定項目は、仮想デスクトップにアクティブなユーザーセッションがない場合でも適用されます。「ユーザー設定」は、仮想デスクトップにICA接続する場合のユーザーエクスペリエンスを制御します。これらの設定項目は、ユーザーがICAを使って接続または再接続するたびに適用されます。ユーザーがRDPを使って接続したりコンソールに直接ログオンしたりする場合は適用されません。

    ポリシー、設定項目、およびテンプレートを管理するには、Studioのナビゲーションペインで[ポリシー]を選択します。

    • [ポリシー] タブには、すべての既存のポリシーが表示されます。ここでポリシーを選択すると、右側に[概要]タブ(名前、優先度、有効/無効の状態、および説明)、[設定]タブ(構成済みの設定項目の一覧)、および[割り当て先]タブ(ポリシーの適用対象のユーザーおよびマシンオブジェクト)が表示されます。詳しくは、「ポリシーの作成」を参照してください。
    • [テンプレート] タブには、組み込みおよびカスタムのテンプレートが表示されます。ここでテンプレートを選択すると、右側に[説明]タブ(テンプレートの使用目的)、および[設定]タブ(構成済みの設定項目の一覧)が表示されます。詳しくは、「ポリシーテンプレート」を参照してください。
    • [比較] タブでは、複数のポリシーやポリシーテンプレートの設定項目を比較することができます。環境に適した設定項目が構成されているかどうかを確認するときに、この機能を使用できます。詳しくは、「ポリシーの比較、優先度、モデル作成、およびトラブルシューティング」を参照してください。
    • [モデル作成] タブでは、特定の接続シナリオでのCitrixポリシーの効果をシミュレートできます。詳しくは、「ポリシーの比較、優先度、モデル作成、およびトラブルシューティング」を参照してください。

    ポリシーやテンプレートの設定項目を検索するには、以下の手順に従います:

    1. ポリシーまたはテンプレートを選択します。
    2. [操作]ペインの[ポリシーの編集]または[テンプレートの編集]を選択します。
    3. [設定]ページで、設定項目の名前を入力します。

    特定の製品バージョンや設定項目のカテゴリ([帯域幅]など)を選択することで、検索範囲を限定できます。また、[選択項目のみを表示する]チェックボックスをオンにすると、そのポリシーで選択済みの設定項目のみが表示されます。すべての設定項目を検索対象にするには、[すべての設定]を選択します。

  • ポリシーの設定項目を検索するには、以下の手順に従います:

    1. ポリシーを選択します。
    2. [設定]タブを選択し、設定項目の名前を入力します。

特定の製品バージョンや設定項目のカテゴリを選択することで、検索範囲を限定できます。すべての設定項目を検索対象にするには、[すべての設定]を選択します。

いったんポリシーを作成したら、それは使用されるテンプレートとは全く無関係です。新しいポリシーの説明フィールドを使って、使用されるソーステンプレートを監視し続けることができます。

Studioでは、ユーザー、コンピューター、または両方の種類の設定のいずれかを含んでいるかどうかにかかわらず、ポリシーとテンプレートは単一の一覧に表示され、ユーザーとコンピューターの両方のフィルターを使って適用することができます。

グループポリシーエディターでは、コンピューターとユーザーの両方の種類の設定を含むテンプレートから作成された場合でも、コンピューターとユーザーは別々に適用される必要があります。この例では、[コンピューターの構成]で[最高品位ユーザー エクスペリエンス]を使用することを選択しています:

  • 従来のグラフィックモードは、このテンプレートから作成されるポリシーで使用されるコンピューター設定です。
  • 灰色表示のユーザー設定は、このテンプレートから作成されるポリシーでは使用されません。

ローカルグループポリシーの画像