Citrix DaaS

对策略进行优先排序、建模、比较和故障排除

您可以根据以下内容使用策略自定义环境以满足用户的需求:

  • 工作职能
  • 地理位置
  • 连接类型

例如,为了提高安全性,对经常与敏感数据交互的用户组设置限制。

还可以创建一个这样的策略:它可以阻止用户在其本地客户端驱动器上保存敏感文件。您可以为用户组中需要访问其本地驱动器的用户创建其他策略。然后,您可以对这两个策略进行排名,以控制哪个策略优先。使用许多策略时,必须确定:

  • 如何确定策略的优先级
  • 如何创建异常
  • 在政策冲突时如何查看有效的策略

设定策略的优先级

通过设定策略的优先级,您可以定义包含冲突设置时策略的优先级。当用户登录系统时,就会识别与连接分配相匹配的所有策略。已识别的策略及其关联设置按优先级顺序排序。根据策略的优先级应用每个设置。

您可以通过在 Web Studio中为策略指定不同的优先级编号来确定策略的优先级。默认情况下,新策略的优先级最低。如果策略设置之间存在冲突,则优先级较高的策略会覆盖优先级较低的策略。优先级编号为 1 的策略是最高优先级的策略。策略设置根据以下内容进行合并:

  • 策略的优先级
  • 策略的过滤器中指定的条件

要确定策略的优先级,请执行以下步骤:

  1. 在左侧窗格中选择策略
  2. 在“策略”选项卡上,选择操作栏中的“更改策略优先级”。此时将出现“更改策略优先级”页面。
  3. 在优先级列表中,使用以下方法更改策略的优先级:

    • 将策略拖动到所需位置。
    • 要将其向上或向下移动一个位置,请分别单击向上或向下箭头图标。
    • 要将其移至列表的顶部或底部,请分别单击“顶部”或“底部”箭头图标。
    • 要更改优先级编号,请单击“编辑”图标,根据需要输入数字,然后单击“保存”。
  4. 单击保存

例外

当您创建策略并使用筛选器将其分配给用户组、用户设备或计算机时,您可能会发现组中的某些成员需要对某些策略设置进行例外。可以通过以下方式创建例外情况:

  • 仅为需要例外的特定群组成员创建策略,然后将该策略的排名高于整个群组的策略
  • 对添加到策略的分配使用“拒绝”模式

模式设置为“拒绝”的分配仅将策略应用于与分配标准不匹配的连接。例如,策略包括以下分配:

  • 分配 A 是指定范围 208.77.88.* 的客户端 IP 地址分配。该模式设置为“允许”。
  • 分配 B 是指定特定用户帐户的用户分配。模式设置为“拒绝”。

该策略适用于使用 IP 地址在 分配 A中指定的范围内登录站点的所有用户。但是,该政策不适用于使用 任务 B中指定的用户帐户登录网站的用户。

注意:

在“分配策略”步骤中,如果取消选中“启用”复选框,则会禁用策略的分配。如果禁用了策略的唯一分配,则等同于没有任何分配,因此,该策略适用于站点中的所有对象。

确定应用于连接的策略

由于会应用多个策略,因此有时连接不会按预期响应。如果优先级更高的策略也应用于某个连接,该策略将覆盖您在原策略中配置的设置。您可以计算 策略的结果集 并确定如何合并连接的最终策略设置。

您可以通过以下方式计算 策略的结果集

  • 使用 Citrix 组策略建模向导 模拟连接场景并辨别如何应用 Citrix 策略。可以为连接方案指定条件,例如:
    • 用户
    • Citrix 策略分配证据值
  • 使用 组策略结果 创建报告,描述对给定用户和Virtual Delivery Agent (VDA) 生效的 Citrix 策略。

当您从组策略 管理控制台运行Citrix 组策略建模向导时,使用 Web Studio 创建的站点策略设置不包含在策略结果集中。为了验证您是否获得了最全面的策略结果集,Citrix 建议从Web Studio启动Citrix 组策略建模向导,除非您仅使用组策略管理 控制台创建策略。

使用策略建模向导

策略建模可帮助您使用用于规划和测试目的的过滤器来模拟已启用的策略。只有启用了过滤器的策略才会被建模。永远不会应用禁用的策略,并且始终应用不带过滤器的已启用的策略。

执行以下步骤打开策略建模向导:

  1. 在“完整配置”中,选择“策略”。
  2. 选择“建模”选项卡。
  3. 在操作栏中选择 策略建模
  4. 阅读简介页面,然后单击“下一步”。
  5. 选择用户或计算机。您可以浏览容器或特定用户或计算机。单击下一步
  6. 选择您的过滤证据。您可以选择通过输入其他详细信息(例如交付组标记客户端 IP 地址等)来更精细地进行模拟。单击下一步
  7. 查看您的选择摘要,然后单击“运行”。

单击“运行”后,向导会生成建模结果报告。在查看此报告时,您可以:

  • 选择是否要在下拉菜单中查看“所有设置”、“计算机设置”或“用户设置”。
  • 使用搜索栏查找特定设置。
  • 单击特定设置可查看该设置的详细信息。例如,如果所有用户设置均未应用于特定策略,则详细信息窗格会向您显示未应用这些设置的原因。
  • 单击“导出”,以 JSON 格式或 HTML 格式导出建模结果。

运行策略建模后,您可以使用更多选项。您可以:

  • 查看建模报告:这将从上面打开相同的建模报告,因此您可以再次查看或导出它。
  • 重新运行策略建模:这允许您使用先前选择的相同标准集重新运行策略建模并生成新的建模结果。如果某些政策已更改,并且您想看看这些更改如何影响您当前的模型,这将很有用。
  • 删除建模报告:这将删除当前的建模报告。

比较策略和模板

您可以将策略或模板中的设置与其他策略或模板的设置进行比较。例如,您可能需要验证设置值以保持符合最佳实践。您可能还需要将策略或模板中的设置与默认设置进行比较。

  1. Web Studio 导航窗格中选择策略
  2. 单击“比较”选项卡,然后单击“选择”
  3. 选择要比较的策略或模板。要在比较中包括默认值,请选中“与 默认设置比较”复选框。
  4. 单击“比较”后,配置的设置将显示在列中。
  5. 要查看所有设置,请选择“显示所有设置”。要返回默认视图,请选择“显示常用设置”

故障排除策略

用户、IP 地址及其他分配对象可以具有多个可同时应用的策略。如果策略未按预期发挥作用,这种情况会导致出现冲突。运行 Citrix 组策略建模 向导时,您可能会发现没有任何策略适用于用户连接。在这种情况下,策略设置不适用于在符合策略评估标准的条件下连接到其应用程序和桌面的用户。这种情况发生在以下情况下:

  • 没有任何策略的分配与策略的评估标准相匹配。
  • 与分配相匹配的策略未配置任何设置。
  • 满足分配条件的策略处于禁用状态。

如果要对满足指定条件的连接应用策略设置,请确保:

  • 要应用到这些连接的策略已启用。
  • 要应用的策略已配置合适的设置。

注意:

在双跳场景的第二跳中,请考虑单会话操作系统 VDA 连接到多会话操作系统 VDA。在这种情况下,Citrix 策略在单会话操作系统 VDA 上起作用,就好像它是用户设备一样。例如,请考虑将策略设置为在用户设备上缓存图像。在此示例中,在双跳场景中为第二跳缓存的图像缓存在单会话操作系统 VDA 计算机上。

Director

非管理员可以使用 Director 查看适用于用户会话的策略。

对策略进行优先排序、建模、比较和故障排除