创建策略
注意:
您可以通过两种管理控制台来管理您的 Citrix Virtual Apps and Desktops™ 部署。第一种是 Web Studio,它是一个基于 Web 的管理控制台。第二种是 Citrix Studio,它是一个基于 Windows 的管理控制台。本文仅涵盖 Web Studio。有关 Citrix Studio 的信息,请参阅 Citrix Virtual Apps and Desktops 7 2212 或更早版本中的相应文章。
在创建策略之前,请确定它可能影响的用户或设备组。您可能希望创建基于用户工作职能、连接类型、用户设备或地理位置的策略。您还可以使用与 Windows Active Directory 组策略相同的条件。
如果您已经创建了适用于某个组的策略,请考虑编辑该策略而不是创建另一个策略。编辑策略后,配置相应的设置。避免仅仅为了启用特定设置或将策略排除在某些用户之外而创建策略。
创建策略时,您可以基于策略模板中的设置,并根据需要自定义设置。您也可以不使用模板创建策略,并添加所需的所有设置。
在 Web Studio 中,除非明确选中启用策略复选框,否则新创建的策略将设置为“已禁用”。
在策略创建和配置设置期间,系统提供了一个选项来查看设置类型。您可以查看以下设置类型:
- 所有设置 - 查看适用于所有 VDA 版本的设置
- 仅当前设置 - 查看特定于当前 VDA 版本的设置
- 仅旧版设置 - 查看仅适用于已弃用 VDA 版本的设置
若要在配置设置时查看设置:
- 登录 Web Studio 并在左侧窗格中选择策略。
- 在策略选项卡中,单击创建策略。
- 在选择设置表中,单击设置旁边的下拉列表。
- 从下拉列表中选择以下选项之一:
- 所有设置 - 查看所有 VDA 版本的全部设置
- 仅当前设置 - 仅查看当前 VDA 版本的设置
- 仅旧版设置 - 仅查看已弃用 VDA 版本的设置
- “设置”表列出了根据上一步可用的设置。
策略设置
策略设置可以启用、禁用或不配置。默认情况下,策略设置未配置,这意味着它们不会添加到策略中。设置仅在添加到策略时才应用。
策略设置已得到增强,以提供依赖策略之间的清晰度。此功能可确保在配置子策略设置时,必须首先配置父策略,以便子策略设置能够生效。
要配置策略设置,请执行以下步骤:
- 在“创建策略”页面上,在“选择设置”下,搜索“overall”。 列出了与“总体会话带宽限制”相关的所有策略(父策略和子策略)。
- 当您将鼠标悬停在子策略上时,工具提示会指示您,在配置“总体会话带宽限制”父策略之前,无法配置子策略。
- 配置父策略设置,然后配置子策略设置,然后单击“保存”。
- “设置”和“当前值”列显示在“创建/编辑策略”表中配置的值。该表显示“编辑”选项,供您修改配置的设置。
注意:
- 在父策略配置完成之前,无法选择子策略。
- 如果父策略未选中,则会弹出消息提示关联的子策略也将被取消选中或取消选择。
下表提供了父策略的完整列表,并详细说明了其对应的从属或子策略。
| 父级策略 | 从属的子策略 |
|---|---|
| 整体会话带宽限制
|
音频重定向带宽限制百分比 |
| 剪贴板重定向带宽限制百分比 | |
| COM 端口重定向带宽限制百分比 | |
| 文件重定向带宽限制百分比 | |
| HDX™ MediaStream 多媒体加速带宽限制百分比 | |
| LPT 端口重定向带宽限制百分比 | |
| 打印机重定向带宽限制百分比 | |
| 客户端 USB 设备重定向带宽限制百分比 | |
| TWAIN 设备重定向带宽限制百分比 | |
| 允许双向内容重定向功能
|
允许重定向到客户端的 URL |
| 允许重定向到 VDA 的 URL | |
| CPU 使用率 | CPU 使用率排除的进程优先级 |
| 旧版图形模式 | 渐进式压缩的级别 |
| 启用会话水印
|
水印自定义文本 |
| 会话水印样式 | |
| 水印的透明度 | |
| HDX 自适应传输 | 音频的容错模式 |
某些策略设置可以处于以下状态之一:
- 允许或禁止允许或阻止由设置控制的操作。有时,用户被允许或阻止在会话中管理设置的操作。例如,如果菜单动画设置设为“允许”,用户可以在其客户端环境中控制菜单动画。
- 启用或禁用开启或关闭设置。如果禁用某个设置,则在较低级别的策略中不会启用该设置。
此外,某些设置控制相关设置的有效性。例如,“客户端驱动器重定向”控制用户是否被允许访问其设备上的驱动器。必须将此设置和客户端网络驱动器设置都添加到策略中,才能允许用户访问其网络驱动器。如果客户端驱动器重定向设置被禁用,即使客户端网络驱动器设置已启用,用户也无法访问其网络驱动器。
通常,影响计算机的策略设置更改会在虚拟桌面重新启动或用户登录时生效。影响用户的策略设置更改会在用户下次登录时生效。如果您使用的是 Active Directory,则策略设置会在 Active Directory 每隔 90 分钟重新评估策略时更新。并且策略设置会在虚拟桌面重新启动或用户登录时应用。
对于某些策略设置,在将设置添加到策略时,可以输入或选择一个值。您可以通过选择“使用默认值”来限制设置的配置。此选择会禁用设置的配置,并且在应用策略时只允许使用设置的默认值。无论在选择“使用默认值”之前输入了什么值,此选择都有效。
如果启用了安全默认设置,在 VDA 安装期间,策略设置的优先级会受到以下影响:
- 自定义设置具有最高优先级
- 安全默认设置具有第二优先级
- 默认设置具有最低优先级
要查看策略的安全默认设置:
- 请登录 Web Studio 即可开始使用。
- 在左侧导航栏中,单击 策略。
- 在 策略 选项卡中,单击 创建策略。
- 在 选择设置 表中,当您将鼠标悬停在当前值为 允许 ? 的设置上时,将显示 安全默认值: 禁止。
最佳实践:
- 将策略分配给组而不是单个用户。如果将策略分配给组,则在您从组中添加或删除用户时,分配会自动更新。
- 不要在远程桌面会话主机配置中启用冲突或重叠的设置。有时,远程桌面会话主机配置提供与 Citrix 策略设置类似的功能。在可能的情况下,保持所有设置一致(启用或禁用),以便于故障排除。
- 禁用未使用的策略。未添加任何设置的策略会产生不必要的处理。
策略的分配
创建策略时,您将其分配给特定的用户和计算机对象。该策略根据特定的条件或规则应用于连接。通常,您可以根据条件的组合,向策略添加任意数量的分配。
如果您未指定任何分配,或者指定了分配但将其禁用,则策略将应用于所有连接。
注意:
策略分配也称为策略筛选器。有关更多信息,请参阅以下主题:
下表列出了所有可用的策略分配:
| 分配名称 | 基于以下条件应用策略 |
|---|---|
| 访问控制 | 客户端连接所通过的访问控制条件。连接类型 - 是否将策略应用于通过或不通过 NetScaler® Gateway 建立的连接。NetScaler Gateway 场名称 - NetScaler Gateway 虚拟服务器的名称。访问条件 - 要使用的端点分析策略或会话策略的名称。 |
| 网关加速器 软件定义广域网 | 用户会话是否通过 NetScaler SD-WAN 启动。注意: 您只能向策略添加一个 NetScaler SD-WAN 分配。 |
| 客户端 IP 地址
|
客户端连接的 IP 地址,该地址根据客户端连接会话的方式而异:
以下是 IPv4 地址的一些示例:12.0.0.0、12.0.0.*、12.0.0.1-12.0.0.70、12.0.0.1/24;以下是 IPv6 地址的一些示例:2001:0db8:3c4d:0015:0:0:abcd:ef12、2001:0db8:3c4d:0015::/54 |
| 客户端名称 | 用户设备的名称。精确匹配:ClientABCName。使用通配符:Client*Name。 |
| 交付群组 | 交付组成员身份。 |
| 客户端平台 | 用于连接会话的用户设备的操作系统类型,例如 Windows、Linux、iOS、Android 或 HTML5。所需 VDA 版本:2503 或更高版本。 |
| 交付组类型 | 桌面或应用程序类型:专用桌面、共享桌面、专用应用程序或共享应用程序。注意: 专用桌面和共享桌面筛选器选项仅适用于 Citrix Virtual Apps and Desktops 7.x。有关详细信息,请参阅 CTX219153。 |
| 组织单位 (OU) | 组织单位。 |
| 标记 | 标记。注意: 将此策略应用于所有带标记的计算机。不包括应用程序标记。 |
| 用户或组 | 用户或组名称。 |
当用户登录时,将识别所有与连接分配匹配的策略。这些策略按优先级顺序排序,并比较任何设置的多个实例。每个设置都根据策略的优先级排名应用。任何已禁用的策略设置都优先于已启用的较低级别设置。未配置的策略设置将被忽略。
重要:
使用组策略管理控制台同时配置 Active Directory 和 Citrix 策略时,分配和设置可能无法按预期应用。有关详细信息,请参阅 CTX127461
要将客户端 IP 策略筛选器设置为始终使用客户端的专用 IP 地址,请在会话主机上配置以下注册表设置:
- 项:
HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\Ica\GroupPolicy- 值类型:
DWORD- 值名称:
UseClientDeviceIpForPolicyFilter- 值数据:
1
默认提供名为“Unfiltered”的策略。
- 如果您使用 Web Studio 管理 Citrix 策略,则您添加到 Unfiltered 策略的设置将应用于站点中的所有服务器、桌面和连接。
- 如果您使用本地组策略编辑器管理 Citrix 策略,则您添加到 Unfiltered 策略的设置将应用于所有站点和连接。站点和连接必须在包含该策略的组策略对象 (GPO) 的范围内。例如,销售 OU 包含一个名为 Sales-US 的 GPO,其中包含美国销售团队的所有成员。Sales-US GPO 配置了一个 Unfiltered 策略,其中包含多个用户策略设置。当美国销售经理登录到站点时,Unfiltered 策略中的设置会自动应用于会话。此配置是因为该用户是 Sales-US GPO 的成员。
分配模式决定了策略是否仅应用于与所有分配条件匹配的连接。如果模式设置为“允许”(默认值),则策略仅应用于与分配条件匹配的连接。如果模式设置为“拒绝”,则如果连接不匹配分配条件,则应用策略。以下示例说明了当存在多个分配时,分配模式如何影响 Citrix 策略。
-
示例:具有不同模式的同类型分配 - 在具有两个相同类型分配的策略中,一个设置为“允许”,另一个设置为“拒绝”,则设置为“拒绝”的分配优先,前提是连接满足这两个分配。例如:
策略 1 包含以下分配:
- 分配 A 指定销售组。模式设置为“允许”。
- 分配 B 指定销售经理的帐户。模式设置为“拒绝”。
由于分配 B 的模式设置为“拒绝”,因此当销售经理登录到站点时,策略不适用,即使该用户是销售组的成员。
-
示例:具有相同模式的不同类型分配 - 在具有两个或更多不同类型分配(设置为“允许”)的策略中,连接必须满足每种类型至少一个分配,策略才能应用。例如:
策略 2 包含以下分配:
- 分配 C 是一个用户分配,指定销售组。模式设置为“允许”。
- 分配 D 是一个客户端 IP 地址分配,指定 10.8.169.*(公司网络)。模式设置为“允许”。
当销售经理从办公室登录到站点时,将应用此策略,因为连接满足这两个分配。
策略 3 包括以下分配:
- 分配 E 是一个用户分配,指定销售组。模式设置为“允许”。
- 分配 F 是一个访问控制分配,指定 NetScaler Gateway 连接条件。模式设置为“允许”。
当销售经理从办公室登录到站点时,不应用此策略,因为连接不满足分配 F。
使用 Web Studio 基于模板创建策略
-
登录到 Web Studio 并在左侧窗格中选择策略。
-
选择模板选项卡并选择一个模板。
-
在操作栏中选择从模板创建策略。
-
默认情况下,新策略使用模板中的所有默认设置。在这种情况下,将选择模板默认设置(推荐)。如果要更改设置,请选择修改默认设置并添加更多,然后添加或删除设置。
-
通过选择以下选项之一来指定如何应用策略:
- 选定的用户和计算机对象。要将策略应用于选定的用户和计算机对象,然后单击分配以选择必须应用策略的用户和计算机对象。
- 站点中的所有对象。要将策略应用于站点中的所有用户和计算机对象。
-
输入策略的名称。请考虑根据策略影响的对象(例如“会计部门”或“远程用户”)来命名策略。(可选)添加说明。
策略默认禁用;您可以启用它。启用策略后,它会立即应用于登录用户。禁用策略会阻止其应用。如果您必须优先处理策略或稍后添加设置,请考虑禁用策略,直到您准备好应用它。
使用 Web Studio 创建策略
-
登录 Web Studio 并在左侧窗格中选择“策略”。
-
选择“策略”选项卡。
-
在操作栏中选择“创建策略”。
-
添加和配置策略设置。
-
通过选择以下选项之一指定如何应用策略:
- 分配给选定的用户和计算机对象,然后选择必须应用策略的用户和计算机对象。
- 分配给站点中的所有对象,以将策略应用于站点中的所有用户和计算机对象。
-
输入策略名称或接受默认名称。考虑根据策略影响的对象(例如“会计部门”或“远程用户”)来命名策略。(可选)添加描述。
策略默认启用;您可以禁用它。启用策略后,它会立即应用于登录用户。禁用策略会阻止其应用。如果您必须优先处理策略或稍后添加设置,请考虑禁用策略,直到您准备好应用它。
使用组策略编辑器创建和管理策略
在组策略编辑器中,展开“计算机配置”或“用户配置”。展开“策略”节点,然后选择“Citrix 策略”。选择相应的操作:
| 任务 | 操作说明 |
|---|---|
| 创建策略 | 在“策略”选项卡上,单击“新建”。 |
| 编辑现有策略 | 在“策略”选项卡上,选择策略,然后单击“编辑”。 |
| 对现有策略的优先级进行调整 | 在“策略”选项卡上,选择策略,然后单击“提高”或“降低”。 |
| 对策略的摘要信息进行查看 | 在“策略”选项卡上,选择策略,然后单击“摘要”选项卡。 |
| 查看和修改策略设置 | 在“策略”选项卡上,选择策略,然后单击“设置”选项卡。 |
| 查看和修改策略筛选器 | 在“策略”选项卡上,选择策略,然后单击“筛选器”选项卡。当您向策略添加多个筛选器时,必须满足所有筛选条件才能应用该策略。 |
| 启用或禁用策略 | 在“策略”选项卡上,选择策略,然后选择“操作 > 启用”或“操作 > 禁用”。 |
| 创建基于现有模板的策略 | 在“模板”选项卡上,选择模板,然后单击“新建策略”。 |