Citrix DaaS

对策略进行优先排序、建模、比较和故障排除

您可以根据以下内容使用策略自定义环境以满足用户的需求:

  • 工作职能
  • 地理位置
  • 连接类型

例如,为了提高安全性,对经常与敏感数据交互的用户组设置限制。

还可以创建一个这样的策略:它可以阻止用户在其本地客户端驱动器上保存敏感文件。您可以为用户组中需要访问其本地驱动器的用户创建其他策略。然后,您可以对这两个策略进行排名,以控制哪个策略优先。使用许多策略时,必须确定:

  • 如何确定策略的优先级
  • 如何创建异常
  • 在政策冲突时如何查看有效的策略

设定策略的优先级

通过设定策略的优先级,您可以定义包含冲突设置时策略的优先级。当用户登录系统时,就会识别与连接分配相匹配的所有策略。已识别的策略及其关联设置按优先级顺序排序。根据策略的优先级应用每个设置。

您可以通过在 Web Studio中为策略指定不同的优先级编号来确定策略的优先级。默认情况下,新策略的优先级最低。如果策略设置之间存在冲突,则优先级较高的策略会覆盖优先级较低的策略。优先级编号为 1 的策略是优先级最高的策略。策略设置根据以下内容进行合并:

  • 政策的优先顺序
  • 以及在策略过滤器中指定的条件
  1. Web Studio 导航窗格中选择策略。确保选择“策略”选项卡。
  2. 选择一个策略。
  3. 操作窗格中,选择较低优先级较高优先级

例外

当您创建策略并使用筛选器将其分配给用户组、用户设备或计算机时,您可能会发现组中的某些成员需要对某些策略设置进行例外。可以通过以下方式创建例外情况:

  • 仅为需要例外的特定群组成员创建策略,然后将该策略的排名高于整个群组的策略
  • 对添加到策略的分配使用“拒绝”模式

模式设置为“拒绝”的分配仅将策略应用于与分配标准不匹配的连接。例如,策略包括以下分配:

  • 分配 A 是指定范围 208.77.88.* 的客户端 IP 地址分配。该模式设置为“允许”。
  • 分配 B 是指定特定用户帐户的用户分配。模式设置为“拒绝”。

该策略适用于使用 IP 地址在 分配 A中指定的范围内登录站点的所有用户。但是,该政策不适用于使用 任务 B中指定的用户帐户登录网站的用户。

注意:

在“分配策略”步骤中,如果取消选中“启用”复选框,则会禁用策略的分配。如果禁用了策略的唯一分配,则等同于没有任何分配,因此,该策略适用于站点中的所有对象。

确定应用于连接的策略

由于会应用多个策略,因此有时连接不会按预期响应。如果优先级更高的策略也应用于某个连接,该策略将覆盖您在原策略中配置的设置。您可以计算 策略的结果集 并确定如何合并连接的最终策略设置。

您可以通过以下方式计算 策略的结果集

  • 使用 Citrix 组策略建模向导 模拟连接场景并辨别如何应用 Citrix 策略。可以为连接方案指定条件,例如:
    • 用户
    • Citrix 策略分配证据值
  • 使用 组策略结果 创建报告,描述对给定用户和Virtual Delivery Agent (VDA) 生效的 Citrix 策略。

当您从组策略 管理控制台运行Citrix 组策略建模向导时,使用 Web Studio 创建的站点策略设置不包含在策略结果集中。为了验证您是否获得了最全面的策略结果集,Citrix 建议从Web Studio启动Citrix 组策略建模向导,除非您仅使用组策略管理 控制台创建策略。

使用 Citrix 组策略建模 向导 [技术预览]

执行以下步骤打开 Citrix 组策略建模 向导:

  1. Web Studio 导航窗格中选择策略
  2. 选择“建模”选项卡。
  3. 在“操作”窗格中选择 启动建模向导

请按照向导说明选择以下内容:

  • 用户
  • 计算机
  • 筛选要在模拟中使用的证据

单击“完成”后,向导将生成建模结果报告。

要查看报告,请选择查看建模报告

注意:

技术预览可供客户在其非生产或有限生产环境中进行测试,并让客户有机会分享反馈。Citrix 不接受功能预览版的支持案例,但欢迎提供改进这些功能的反馈。Citrix 可能会根据反馈的严重性、紧迫性和重要性对反馈执行操作。建议不要在生产环境中部署 Beta 版本。

比较策略和模板

您可以将策略或模板中的设置与其他策略或模板的设置进行比较。例如,您可能需要验证设置值以保持符合最佳实践。您可能还需要将策略或模板中的设置与默认设置进行比较。

  1. Web Studio 导航窗格中选择策略
  2. 单击“比较”选项卡,然后单击“选择”
  3. 选择要比较的策略或模板。要在比较中包括默认值,请选中“与 默认设置比较”复选框。
  4. 单击“比较”后,配置的设置将显示在列中。
  5. 要查看所有设置,请选择“显示所有设置”。要返回默认视图,请选择“显示常用设置”

故障排除策略

用户、IP 地址及其他分配对象可以具有多个可同时应用的策略。如果策略未按预期发挥作用,这种情况会导致出现冲突。运行 Citrix 组策略建模 向导时,您可能会发现没有任何策略适用于用户连接。在这种情况下,策略设置不适用于在与策略评估标准相匹配的条件下连接到其应用程序和桌面的用户。这种情况发生在以下情况下:

  • 没有任何策略的分配与策略的评估标准相匹配。
  • 与分配相匹配的策略未配置任何设置。
  • 满足分配条件的策略处于禁用状态。

如果要对满足指定条件的连接应用策略设置,请确保:

  • 要应用到这些连接的策略已启用。
  • 要应用的策略已配置合适的设置。

注意:

在双跳场景的第二跳中,请考虑单会话操作系统 VDA 连接到多会话操作系统 VDA。在这种情况下,Citrix 策略在单会话操作系统 VDA 上起作用,就好像它是用户设备一样。例如,请考虑将策略设置为在用户设备上缓存图像。在此示例中,在双跳场景中为第二跳缓存的图像缓存在单会话操作系统 VDA 计算机上。

Director

非管理员可以使用 Director 查看适用于用户会话的策略。

对策略进行优先排序、建模、比较和故障排除