Citrix DaaS™

管理高级策略方案

您可以使用策略自定义环境,以根据以下条件满足用户的需求:

  • 工作职能
  • 地理位置
  • 连接类型

例如,为了提高安全性,您可以限制经常处理敏感数据的用户的访问。您还可以创建一项策略,阻止用户将文件保存到本地客户端驱动器,并创建另一项策略以允许特定用户组访问本地驱动器。通过分配这些策略并设置其优先级,您可以控制哪项策略生效。

处理多个策略时,请考虑以下事项:

设置策略优先级

设置策略优先级允许您定义策略包含冲突设置时的优先级。当用户登录系统时,将识别与连接分配匹配的所有策略。识别出的策略及其关联设置将按优先级顺序排序。每项设置都将根据策略的优先级排名应用。

您可以通过在 Studio 中为策略指定不同的优先级数字来设置策略优先级。默认情况下,新策略的优先级最低。如果策略设置之间存在冲突,则优先级较高的策略将覆盖优先级较低的策略。优先级数字为 1 的策略是优先级最高的策略。策略设置将根据以下内容合并:

  • 策略的优先级
  • 策略筛选器中指定的条件

设置策略优先级有助于控制当多个策略适用时哪些设置优先。当用户登录时,Citrix® 会识别所有适用的策略并按优先级对其进行排序。

您可以按数字为策略分配优先级。数字越小表示优先级越高(1 为最高)。如果设置冲突,则应用优先级较高的策略中的设置。默认情况下,新策略的优先级最低。策略设置将根据以下内容合并:

  • 策略的优先级
  • 策略筛选器中指定的条件

要更改策略优先级,请执行以下步骤:

  1. Studio 中,选择左侧窗格中的“策略”。
  2. 在“策略”选项卡上,从操作栏中选择“更改策略优先级”。
  3. 在出现的“更改策略优先级”页面上,使用以下方法:

    • 将策略拖动到所需位置。
    • 要将其向上或向下移动一个位置,请分别单击向上或向下箭头图标。
    • 要将其移动到列表的顶部或底部,请分别单击顶部或底部箭头图标。
    • 要更改优先级数字,请单击“编辑”图标,根据需要输入数字,然后单击“保存”。
  4. 单击“保存”以应用更改。

管理策略分配例外

当您创建策略并使用筛选器将其分配给用户组、用户设备或计算机时,您可能会发现组中的某些成员需要对某些策略设置进行例外处理。

您可以通过以下方式为组中的某些用户或计算机创建例外:

  • 仅为这些组成员创建单独的策略并赋予其更高的优先级
  • 对添加到策略的分配使用 Deny 模式

将分配模式设置为 Deny 意味着该策略适用于不符合分配条件的连接。例如,一个策略包含以下分配:

  • 分配 A:客户端 IP address 分配范围 208.77.88.*,模式 = Allow
  • 分配 B:特定用户帐户,模式 = Deny

此策略适用于从指定 IP 范围连接的用户,除了 分配 B 中定义的用户。

注意:

在“分配策略”步骤中,如果清除“启用”复选框,则该分配将被禁用。如果策略没有启用的分配,则该策略将应用于站点中的所有对象。

评估哪些策略适用于连接

如果连接行为不符合预期,则可能是由于策略冲突。优先级较高的策略可能会覆盖其他策略。

使用以下 Resultant Set of Policy 方法之一评估哪些设置适用于给定连接:

  • Citrix Group Policy Modeling Wizard

    通过指定用户和分配条件来模拟连接方案。

  • Group Policy Results

    生成应用于用户和 Virtual Delivery Agent (VDA) 的 Citrix 策略报告。

使用 Studio 创建的站点策略设置在从 Group Policy Management Console (GPMC) 运行 Citrix Group Policy Modeling wizard 时不包含在 Resultant Set of Policy 中。

为确保获得最全面的 Resultant Set of Policy,我们建议从 Studio 启动 Policy Modeling wizard,除非您仅使用 GPMC 创建策略。有关详细信息,请参阅使用 Policy Modeling wizard 模拟策略

排查策略问题

用户、IP address 和其他分配的对象可以同时应用多个策略。这种情况可能导致冲突,从而使策略行为不符合预期。

运行 Policy Modeling wizard 时,您可能会发现没有策略适用于用户连接。在这种情况下,策略设置不适用于在符合策略评估条件的条件下连接到其 applications and desktops 的用户。出现这种情况的原因是:

  • 没有策略具有与策略评估条件匹配的分配。
  • 匹配分配的策略未配置任何设置。
  • 匹配分配的策略已禁用。

为确保正确应用:

  • 启用策略
  • 为每个策略配置至少一项设置

注意:

在双跳方案中(例如,连接到 multi-session OS VDA 的 single-session OS VDA),Citrix 策略将 single-session OS VDA 视为 user device。考虑将策略设置为在 user device 上缓存图像。在此示例中,为第二跳缓存的图像将应用于 first-hop machine。

使用 Director 查看已应用的策略

非管理员可以使用 Director 查看适用于用户 session 的策略。

管理高级策略方案