Citrix Virtual Apps and Desktops

对策略进行比较、设定优先级、建模和故障排除

您可以使用多个策略,以根据用户的工作职责、地理位置或连接类型来自定义您的环境,使其满足用户的需求。例如,出于安全考虑,您可能需要对经常使用高度敏感数据的用户组设置限制。您可以创建一个这样的策略:它可以阻止用户在其本地客户端驱动器上保存敏感文件。但是,如果用户组中的某些人员确实需要访问其本地驱动器,则可以仅针对此类用户创建另一个策略。然后,您可以对这两个策略分级或设定两个策略的优先级,以控制哪个策略的优先顺序较高。

使用多个策略时,需要确定如何设定策略的优先级、如何创建例外情况,以及如何在策略冲突时查看有效的策略。

通常情况下,策略会覆盖针对整个站点、特定 Delivery Controller 或在用户设备上配置的相似设置。此原则的唯一例外情况是安全性。环境中的最高加密设置(包含操作系统及限制性最强的重影设置)通常会覆盖其他设置和策略。

Citrix 策略会与您在操作系统中设置的策略进行交互。在 Citrix 环境中,Citrix 设置会覆盖在 Active Directory 策略中配置的相同设置或使用远程桌面会话主机配置的相同设置。这包括与典型的远程桌面协议 (RDP) 客户端连接设置相关的设置(例如桌面墙纸、菜单动画以及拖动时查看窗口内容)。对于某些策略设置(例如安全 ICA),策略中的设置必须与操作系统中的设置相匹配。如果在其他位置设置了优先级更高的加密级别,则会覆盖在策略中或在交付应用程序和桌面时指定的安全 ICA 策略设置。

例如,您在创建交付组时指定的加密设置应该与环境中指定的加密设置具有相同的级别。

注意:在双跃点场景的第二个跃点中,当单会话操作系统 VDA 连接到多会话操作系统 VDA 时,Citrix 策略将像在用户设备上一样在单会话操作系统 VDA 上发挥作用。例如,如果策略设置为在用户设备上缓存图像,则为双跃点场景中的第二个跃点缓存的图像将在单会话操作系统 VDA 计算机上缓存。

比较策略和模板

您可以将某个策略或模板中的设置与其他策略或模板中的设置进行比较。例如,您可能需要验证设置值以确保遵从最佳做法。您可能还希望将策略或模板中的设置与 Citrix 提供的默认设置进行比较。

  1. 在 Studio 导航窗格中选择策略。
  2. 单击“比较”选项卡,然后单击“选择”。
  3. 选择要比较的策略或模板。要同时比较默认值,请选中与默认设置进行比较复选框。
  4. 单击比较后,已配置的设置按列显示。
  5. 要查看所有设置,请选择显示所有设置。要返回到默认视图,请选择显示常规设置。

设定策略的优先级

通过设定策略的优先级,您可以定义包含冲突设置时策略的优先级。用户登录时,系统会确定与连接的分配相匹配的所有策略。这些策略按优先级排序,并对任意设置的多个实例进行比较。根据策略的优先级应用每个设置。

可以在 Studio 中为策略分配不同的优先级编号,以设定其优先级。默认情况下,新策略的优先级最低。如果策略设置相冲突,则优先级较高的策略(优先级编号 1 为最高)会覆盖优先级较低的策略。设置会根据优先级和设置情况(例如设置处于禁用还是启用状态)进行合并。任何已禁用的设置都会覆盖等级较低的已启用设置。未配置的策略设置会被忽略,而且不会覆盖等级较低的设置的设置。

  1. 在 Studio 导航窗格中选择策略。确保选择“策略”选项卡。
  2. 选择一个策略。
  3. 在“操作”窗格中,选择较低优先级或较高优先级。

例外

在为用户组、用户设备或计算机创建策略时,您可能会发现需要针对某些策略设置为组的部分成员创建例外。可以通过以下方式创建例外情况:

  • 仅为需要使用例外情况的组成员创建策略,然后将该策略的优先级设置为高于适用于整个组的策略
  • 为添加到策略的分配使用拒绝模式

如果将分配设置为拒绝模式,则只会对不符合分配条件的连接应用策略。例如,某个策略包含以下分配:

  • 分配 A 为客户端 IP 地址分配,指定范围 208.77.88.*,且模式设置为允许
  • 分配 B 为用户分配,指定特定的用户帐户,且模式设置为拒绝

该策略适用于使用分配 A 中指定范围内的 IP 地址登录到站点的所有用户。但是,该策略不适用于使用分配 B 中指定的用户帐户登录到站点的用户,即使为该用户的计算机分配的 IP 地址在分配 A 中指定的范围内。

确定应用于连接的策略

由于会应用多个策略,因此有时连接不会按预期响应。如果优先级更高的策略也应用于某个连接,该策略将覆盖您在原策略中配置的设置。可以通过计算策略的结果集来确定如何合并连接的最终策略设置。

可以通过以下方式计算策略的结果集:

  • 使用 Citrix 组策略建模向导模拟连接方案并确定可以如何应用 Citrix 策略。您可以为连接场景指定条件,例如域控制器、用户、Citrix 策略分配证据值以及慢速网络连接等模拟环境设置。该向导生成的报告列出了在连接方案中可能有效的 Citrix 策略。如果您以域用户身份登录到控制器,该向导将使用站点策略设置和 Active Directory 组策略对象 (GPO) 计算策略的结果集。
  • 使用组策略结果为给定用户和控制器生成一份报告,用于描述有效的 Citrix 策略。组策略结果工具可帮助您评估环境中 GPO 的当前状态,并可生成一份报告,用于描述当前如何将这些对象(包括 Citrix 策略)应用到特定的用户和控制器。

您可以从 Studio 的操作窗格启动 Citrix 组策略建模向导。可以从 Windows 中的组策略管理控制台启动这两种工具。

如果从组策略管理控制台运行 Citrix 组策略建模向导或组策略结果工具,则策略的结果集内将不包含使用 Studio 创建的站点策略设置。

为确保得到最全面的策略的结果集,Citrix 建议从 Studio 启动 Citrix 组策略建模向导,除非您仅使用组策略管理控制台创建策略。

使用 Citrix 组策略建模向导

使用下列任意一种方法打开 Citrix 组策略建模向导:

  • 在 Studio 导航窗格中选择策略,选择“建模”选项卡,然后在“操作”窗格中选择启动建模向导。
  • 启动组策略管理控制台 (gpmc.msc),在树状窗格中的 Citrix 组策略建模上单击鼠标右键,然后选择 Citrix 组策略建模向导。

按照向导中的说明,选择希望在模拟中使用的域控制器、用户、计算机、环境设置以及 Citrix 分配条件。单击完成后,向导会生成建模结果报告。在 Studio 中,报告显示在中间窗格中的建模选项卡下。

要查看报告,请选择查看建模报告。

故障排除策略

用户、IP 地址及其他分配对象可以具有多个可同时应用的策略。如果策略未按预期发挥作用,这可能会导致出现冲突。运行 Citrix 组策略建模向导或组策略结果工具时,您可能会发现没有任何策略应用到用户连接。如果发生这种情况,在满足策略评估条件的前提下连接到应用程序和桌面的用户将不受任何策略设置的影响。在以下情况下会发生上述问题:

  • 所有策略包含的分配都不满足策略评估条件。
  • 满足分配条件的策略均未配置任何设置。
  • 满足分配条件的策略处于禁用状态。

如果要对满足指定条件的连接应用策略设置,请确保:

  • 要应用到这些连接的策略已启用。
  • 要应用的策略已配置合适的设置。
对策略进行比较、设定优先级、建模和故障排除