比较、确定优先级和故障排除策略

注意：

You can manage your Citrix Virtual Apps and Desktops™ deployment using two management consoles: Web Studio (web-based) and Citrix Studio (Windows-based). This article covers only Web Studio. For information about Citrix Studio, see the equivalent article in Citrix Virtual Apps and Desktops 7 2212 or earlier.

您可以使用多个策略根据用户的职能、地理位置或连接类型自定义环境，以满足其需求。例如，为了增强安全性，可以对经常处理敏感数据的用户组施加限制。

您还可以创建策略，阻止用户将敏感文件保存到其本地客户端驱动器。但是，如果用户组中的某些用户确实需要访问其本地驱动器，则可以仅为这些用户创建另一个策略。然后，您对这两个策略进行排名或确定优先级，以控制哪个策略优先。使用多个策略时，您必须确定：

• 如何确定策略的优先级
• 如何创建例外
• 当策略冲突时如何查看有效策略。

通常，策略会覆盖为整个站点、特定 Delivery Controller 或用户设备配置的类似设置。此原则的例外是安全性。环境中最高的加密设置始终会覆盖其他设置和策略。最高的加密设置包括操作系统和限制最严格的影子设置。

Citrix 策略与您在操作系统中设置的策略交互。在 Citrix 环境中，Citrix 设置会覆盖在 Active Directory 策略中或使用远程桌面会话主机配置配置的相同设置。此设置包括与典型远程桌面协议 (RDP) 客户端连接设置相关的设置。典型的 RDP 设置包括桌面墙纸、菜单动画和拖动时查看窗口内容等设置。

某些策略设置（例如 Secure ICA®）必须与操作系统中的设置匹配。如果在其他位置设置了更高优先级的加密级别，则您在策略中或交付应用程序和桌面时指定的 Secure ICA 策略设置可能会被覆盖。

例如，您在创建交付组时所指定的加密设置，必须与您在整个环境中指定的加密设置保持相同的级别。

注意：

在双跳场景的第二跳中，请考虑单会话操作系统 VDA 连接到多会话操作系统 VDA。在这种情况下，Citrix 策略作用于单会话操作系统 VDA，就好像它是用户设备一样。例如，假设策略设置为在用户设备上缓存图像。在此示例中，双跳场景中第二跳缓存的图像将缓存在单会话操作系统 VDA 计算机上。

使用策略建模向导

策略建模可帮助您模拟启用了筛选器的策略，以用于规划和测试目的。仅对启用了筛选器的策略进行建模。禁用的策略永不应用，未启用筛选器的策略始终应用。

执行以下步骤以打开“策略建模”向导：

1. 从左侧导航栏中选择“策略”。
2. 选择“建模”选项卡。
3. 在操作栏中选择“策略建模”。
4. 阅读“简介”页面，然后单击“下一步”。
5. 选择用户或计算机。您可以浏览容器或特定用户或计算机。单击“下一步”。
6. 选择筛选器依据。您可以通过输入其他详细信息（例如“交付组”、“标记”、“客户端 IP 地址”等）来选择性地使模拟更精细。单击“下一步”。
7. 查看所选内容的摘要，然后单击“运行”。

单击“运行”后，向导会生成建模结果报告。查看此报告时，您可以：

• 在下拉菜单中选择是查看“所有设置”、“计算机设置”还是“用户设置”。
• 使用搜索栏来查找特定的设置。
• 单击特定设置以查看该设置的详细信息。例如，如果特定策略的所有用户设置均未应用，则“详细信息”窗格会显示未应用这些设置的原因。
• 单击“导出”以 JSON 格式、HTML 格式或两种格式导出建模结果。

运行策略建模后，将有更多选项可供您使用。您可以：

• 查看建模报告：这会打开上面相同的建模报告，以便您可以再次查看或导出它。
• 重新运行策略建模：这允许您使用之前选择的相同条件集重新运行策略建模并生成新的建模结果。如果某些策略已更改，并且您想了解这些更改如何影响当前模型，这会很有用。
• 删除建模报告：这会删除当前的建模报告。

进行策略和模板的比较

您可以将策略或模板中的设置与其他策略或模板的设置进行比较。例如，您可能需要验证设置值以保持符合最佳实践。您可能还需要将策略或模板中的设置与 Citrix 提供的默认设置进行比较。

1. 登录 Web Studio 并在左侧窗格中选择策略。
2. 单击比较选项卡，然后单击选择。
3. 选择要比较的策略或模板。要在比较中包含默认值，请选中与默认设置比较复选框。
4. 单击比较后，配置的设置将以列的形式显示。
5. 要查看所有设置，请选择显示所有设置。要返回默认视图，请选择显示常用设置。

确定策略优先级

确定策略优先级允许您在策略包含冲突设置时定义策略的优先顺序。当用户登录时，将识别所有与连接分配匹配的策略。这些策略按优先级顺序排序，并比较任何设置的多个实例。每个设置都根据策略的优先级排名应用。

您通过为策略分配不同的优先级编号来确定其优先级。默认情况下，新策略的优先级最低。如果策略设置冲突，优先级较高的策略（优先级编号 1 为最高）将覆盖优先级较低的策略。设置根据优先级和设置的条件进行合并。例如，设置是禁用还是启用。任何禁用的设置都会覆盖已启用的较低级别设置。未配置的策略设置将被忽略，并且不会覆盖较低级别设置的设置。

1. 在左侧窗格中选择策略。确保您选择了策略选项卡。
2. 在策略选项卡上，在操作栏中选择更改策略优先级。更改策略优先级页面随即出现。

3. 在优先级列表中，使用以下方法之一更改策略的优先级：

   • 将策略拖动到所需位置。
   • 要将其向上或向下移动一个位置，请分别单击“向上”或“向下”箭头图标。
   • 要将其移动到列表的顶部或底部，请分别单击“顶部”或“底部”箭头图标。
   • 要更改优先级编号，请单击“编辑”图标，根据需要输入一个数字，然后单击“保存”。
4. 单击“保存”。

例外情况

当您为用户组、用户设备或计算机创建策略时，您可能会发现组中的某些成员需要对某些策略设置进行例外处理。您可以通过以下方式创建例外：

• 仅为需要例外情况的组成员创建策略，然后将此策略的优先级设置高于适用于整个组的策略
• 对添加到策略的分配使用“拒绝”模式

模式设置为“拒绝”的分配，其策略仅应用于不符合该分配条件的连接。例如，某策略包含以下分配：

• 分配 A 是一个客户端 IP 地址分配，指定范围为 208.77.88.*。模式设置为“允许”
• 分配 B 是一个用户分配，指定一个特定的用户帐户。模式设置为“拒绝”。

该策略应用于所有使用分配 A 中指定的 IP 地址范围登录到站点的用户。但是，该策略不应用于使用分配 B 中指定的用户帐户登录到站点的用户。

确定哪些策略将应用于某个连接

由于应用了多个策略，连接可能无法按预期响应。如果优先级更高的策略应用于连接，它可能会覆盖您在原始策略中配置的设置。您可以计算策略的结果集，并确定最终策略设置如何为连接合并。

您可以通过以下方式计算策略的结果集：

• 使用 Citrix 组策略建模向导模拟连接场景并确定 Citrix 策略可能如何应用。您可以指定连接场景的条件，例如：
  • Domain controller
  • 用户
  • Citrix 策略分配证据值
  • 模拟环境设置，例如慢速网络连接 向导生成的报告列出了在该场景中生效的 Citrix 策略。由于您以域用户身份登录到控制器，因此向导会使用站点策略设置和 Active Directory 组策略对象 (GPO) 来计算结果。
• 使用 组策略结果 生成一份报告，描述给定用户和控制器生效的 Citrix 策略。组策略结果工具可帮助您评估环境中 GPO 的当前状态并生成报告。生成的报告描述了这些对象（包括 Citrix 策略）当前如何应用于特定用户和控制器。

您可以在 Web Studio 中启动 Citrix 组策略建模向导。或者，您可以通过 Windows 中的组策略管理控制台启动组策略结果工具。

在以下情况下，使用 Web Studio 创建的站点策略设置不包含在策略的结果集中：

• 如果您从组策略管理控制台运行 Citrix 组策略建模向导
• 如果您从组策略管理控制台运行组策略结果工具

为确保获得最全面的策略结果集，Citrix 建议从 Web Studio 启动 Citrix 组策略建模向导，除非您仅使用组策略管理控制台创建策略。

策略故障排除

用户、IP 地址和其他分配的对象可以同时应用多个策略。这种情况可能导致冲突，即策略可能无法按预期运行。当您运行 Citrix 组策略建模向导或组策略结果工具时，您可能会发现没有策略应用于用户连接。在这种情况下，策略设置不会应用于在符合策略评估条件的条件下连接到其应用程序和桌面的用户。出现此情况的原因是：

• 没有策略具有与策略评估条件匹配的分配。
• 与分配相匹配的策略没有配置任何设置。
• 与分配匹配的策略已禁用。

如果您想将策略设置应用于符合指定条件的连接，请确保：

• 您希望应用于这些连接的策略已启用。
• 您希望应用的策略已配置了相应的设置。