ポリシー
ポリシーは構成可能な設定項目をグループ化したもので、特定のユーザー、デバイス、または接続の種類に対して特定のセッション、帯域幅、およびセキュリティ構成が適用されるように制御する目的で使用します。
これらのポリシーは、特定の物理マシン、仮想マシン、またはユーザーに割り当てることができます。 ユーザーに適用する場合、ローカルレベルのアカウントを指定したりActive Directoryのセキュリティグループを指定したりできます。 ポリシーに追加できる各設定項目では、特定の条件や規則を定義します。ポリシーを特定のオブジェクトに明示的に割り当てない場合、その設定はすべての接続に適用されます。
ポリシーは、ネットワークのさまざまなレベルに割り当てることができます。 組織単位のGPOレベルに割り当てられたポリシーは、そのネットワークで最も優先されます。 ドメインのGPOレベルのポリシーはサイトGPOレベルのポリシーよりも優先され、これらのポリシーはMicrosoftやCitrixのローカルポリシーよりも優先されます。
すべてのCitrixローカルポリシーはCitrix Studio上で作成および管理され、サイトデータベース内に格納されます。これに対し、グループポリシーはMicrosoftグループポリシー管理コンソール(GPMC)上で作成および管理され、Active Directory内に格納されます。 MicrosoftローカルポリシーはWindows上で作成され、レジストリ内に格納されます。
Studioのモデル作成ウィザードを使用すると、複数のテンプレートやポリシーの設定項目とその構成内容を比較してポリシーの競合や重複を避けることができます。 また、GPMCを使用してGPOを設定して、ネットワークのさまざまなレベルのユーザーにそれらを適用できます。
これらのGPOはActive Directory内に保存され、セキュリティ上の理由から、通常IT担当者のみが設定を管理できます。
複数のポリシーの設定内容は、ポリシーの優先度や条件に基づいて統合されます。 優先度のより高いポリシーの設定で[無効]または[禁止]が選択されている場合、優先度の低いポリシーで[有効]または[許可]が選択されていても、その設定内容は無視されます。 未構成の設定項目は無視され、優先度の低いポリシーでの設定を上書きすることはありません。
ローカルポリシーとActive Directoryのグループポリシーの設定内容が競合する場合、優先されるポリシーは状況により異なります。
すべてのポリシーは、以下の順番で処理されます。
- エンドユーザーがドメインの資格情報を使用してマシンにログオンする。
- 資格情報がドメインコントローラーに送信される。
- Active Directoryによりすべてのポリシー(エンドユーザー、エンドポイント、組織単位、およびドメイン)が適用される。
- エンドユーザーがReceiverにログオンしてアプリケーションまたはデスクトップにアクセスする。
- そのエンドユーザー、およびアプリケーションまたはデスクトップのホストマシンに適用されるCitrixポリシーとMicrosoftポリシーが処理される。
- Active Directoryにより各ポリシー設定の優先度が決定され、エンドポイントデバイスのレジストリやリソースをホストしているマシンに適用されます。
- エンドユーザーがアプリケーションまたはデスクトップからログオフする。 そのエンドユーザー、およびアプリケーションまたはデスクトップのホストマシンに適用されるCitrixポリシーが非アクティブになる。
- エンドユーザーがユーザーデバイスからログオフし、GPOユーザーポリシーが非アクティブになる。
- エンドユーザーがユーザーデバイスをシャットダウンし、GPOマシンポリシーが非アクティブになる。
ユーザー、ユーザーデバイス、およびマシンのグループに割り当てるポリシーを作成する場合、そのグループの一部のメンバーで要件が異なるためにいくつかの設定項目で例外を設定しなければならない場合があります。 この例外はStudioおよびGPMCでフィルターとして作成でき、これによりだれにどのポリシーが適用されるのかが決定されます。
注:1つのGPOにWindowsポリシーとCitrixポリシーを混在させることはできません。