Citrix Virtual Apps and Desktops

对策略进行比较、设定优先级和故障排除

注意:

可以使用下面两个管理控制台管理您的 Citrix Virtual Apps and Desktops 部署:Web Studio(基于 Web)和 Citrix Studio(基于 Windows)。本文仅涵盖 Web Studio。有关 Citrix Studio 的信息,请参阅 Citrix Virtual Apps and Desktops 7 2212 或更早版本中的等效文章。

您可以使用多个策略,以根据用户的工作职责、地理位置或连接类型来自定义您的环境,使其满足用户的需求。例如,为获得增强的安全性,您可能需要对经常使用高度敏感数据的用户组设置限制。

还可以创建一个这样的策略:它可以阻止用户在其本地客户端驱动器上保存敏感文件。但是,如果用户组中的某些用户确实需要访问其本地驱动器,则可以仅针对此类用户创建另一个策略。然后,您可以对这两个策略分级或设定两个策略的优先级,以控制哪个策略的优先顺序较高。使用多个策略时,必须确定:

  • 如何确定策略的优先级
  • 如何创建异常
  • 如何在策略冲突时查看有效策略。

通常情况下,策略会覆盖针对整个站点、特定 Delivery Controller 或在用户设备上配置的相似设置。此原则的唯一例外情况是安全性。您的环境中的最高加密设置始终会覆盖其他设置和策略。最高加密设置包括操作系统和最严格的重影设置。

Citrix 策略会与您在操作系统中设置的策略进行交互。在 Citrix 环境中,Citrix 设置会覆盖在 Active Directory 策略中配置的相同设置或使用远程桌面会话主机配置的相同设置。此设置包括与典型的远程桌面协议 (RDP) 客户端连接设置相关的设置。典型的 RDP 设置包括桌面墙纸、菜单动画和拖动时查看窗口内容等。

某些策略设置(例如 Secure ICA)必须与操作系统中的设置匹配。如果在其他位置设置了优先级更高的加密级别,则会覆盖在策略中或在交付应用程序和桌面时指定的安全 ICA 策略设置。

例如,您在创建交付组时指定的加密设置必须与环境中指定的加密设置具有相同的级别。

注意:

在双跃点场景的第二个跃点中,请考虑单会话操作系统 VDA 连接到多会话操作系统 VDA。在这种情况下,Citrix 策略在单会话操作系统 VDA 上运行,就好像它是用户设备一样。例如,请考虑将策略设置为在用户设备上缓存图像。在此示例中,为双跃点场景中的第二个跃点缓存的映像缓存在单会话操作系统 VDA 计算机上。

比较策略和模板

您可以将策略或模板中的设置与其他策略或模板的设置进行比较。例如,您可能需要验证设置值以保持遵从最佳做法。您可能还希望将策略或模板中的设置与 Citrix 提供的默认设置进行比较。

  1. 登录 Web Studio 并在左侧窗格中选择策略
  2. 单击比较选项卡,然后单击选择
  3. 选择要比较的策略或模板。要同时比较默认值,请选中与默认设置进行比较复选框。
  4. 单击比较后,已配置的设置按列显示。
  5. 要查看所有设置,请选择显示所有设置。要返回到默认视图,请选择显示常规设置

设定策略的优先级

通过设定策略的优先级,您可以定义包含冲突设置时策略的优先级。用户登录时,系统会确定与连接的分配相匹配的所有策略。这些策略按优先级排序,并对任意设置的多个实例进行比较。根据策略的优先级应用每个设置。

可以为策略分配不同的优先级编号,以设定其优先级。默认情况下,新策略的优先级最低。如果策略设置相冲突,则优先级较高的策略(优先级编号 1 为最高)会覆盖优先级较低的策略。设置根据优先级以及设置的条件进行合并。例如,该设置是禁用还是启用。任何已禁用的设置都会覆盖等级较低的已启用设置。未配置的策略设置会被忽略,而且不会覆盖等级较低的设置的设置。

  1. 登录 Web Studio,在左侧窗格中选择策略,然后单击策略选项卡。
  2. 选择一个策略。
  3. 在操作栏中选择更改策略优先级
  4. 更改策略优先级上,使用相应的图标调整策略的优先级。
  5. 单击保存保存更改并退出。

例外

在为用户组、用户设备或计算机创建策略时,您可能会发现需要针对某些策略设置为组的部分成员创建例外。可以通过以下方式创建例外情况:

  • 仅为需要使用例外情况的组成员创建策略,然后将该策略的优先级设置为高于适用于整个组的策略
  • 为添加到策略的分配使用拒绝模式

如果将分配设置为拒绝模式,则只会对不符合分配条件的连接应用策略。例如,策略包括以下分配:

  • 分配 A 为客户端 IP 地址分配,指定范围 208.77.88.*。模式设置为“允许”
  • 分配 B 为用户分配,指定特定的用户帐户。模式设置为“拒绝”。

该策略适用于使用分配 A 中指定范围内的 IP 地址登录到站点的所有用户。但是,该策略不适用于使用分配 B 中指定的用户帐户登录到站点的用户。

确定应用于连接的策略

由于应用了多个策略,因此连接可能无法按预期响应。如果优先级更高的策略也应用于某个连接,该策略将覆盖您在原策略中配置的设置。可以计算策略的结果集并确定如何合并连接的最终策略设置。

可以通过以下方式计算策略的结果集:

  • 使用 Citrix 组策略建模向导模拟连接方案并确定可以如何应用 Citrix 策略。可以为连接方案指定条件,例如:
    • 域控制器
    • 用户
    • Citrix 策略分配证据值
    • 模拟的环境设置,例如网络连接速度缓慢 向导生成的报告列出了在该场景中生效的 Citrix 策略。由于您以域用户身份登录到控制器,因此,该向导将使用站点策略设置和 Active Directory 组策略对象 (GPO) 计算结果。
  • 使用组策略结果为给定用户和控制器生成一份报告,用于描述有效的 Citrix 策略。组策略结果工具可帮助您评估环境中的 GPO 的当前状态并生成报告。生成的报告说明了这些对象(包括 Citrix 策略)当前如何应用到特定用户和控制器。

可以在 Web Studio 中启动 Citrix 组策略建模向导。或者,您可以通过 Windows 中的组策略管理控制台启动组策略结果工具。

在以下情况下,使用 Web Studio 创建的站点策略设置不会包含在策略的结果集中:

  • 如果从组策略管理控制台运行 Citrix 组策略建模向导
  • 如果从组策略管理控制台运行组策略结果工具

要验证您是否能够得到最全面的策略结果集,除非您仅使用组策略管理控制台创建策略,否则 Citrix 建议从 Web Studio 启动 Citrix 组策略建模向导。

故障排除策略

用户、IP 地址及其他分配对象可以具有多个可同时应用的策略。如果策略未按预期发挥作用,这种情况会导致出现冲突。运行 Citrix 组策略建模向导或组策略结果工具时,您可能会发现没有任何策略应用到用户连接。在这种情况下,策略设置不会应用到在符合策略评估条件的条件下连接到其应用程序和桌面的用户。在以下情况下会出现这种情况:

  • 所有策略包含的分配都不满足策略评估条件。
  • 满足分配条件的策略均未配置任何设置。
  • 满足分配条件的策略处于禁用状态。

如果要对满足指定条件的连接应用策略设置,请确保:

  • 要应用到这些连接的策略已启用。
  • 要应用的策略已配置合适的设置。
对策略进行比较、设定优先级和故障排除