Create delivery groups
注意:
Starting with version 2511, Citrix Web Studio (web-based) is the only management console for Citrix Virtual Apps and Desktops™. Citrix Studio (MMC-based) has been removed from the installer. This article applies only to Web Studio. For information about Citrix Studio, see the equivalent article in Citrix Virtual Apps and Desktops 7 2212 or earlier.
交付组是选自一个或多个计算机目录的计算机集合。交付组定义了哪些用户可以访问这些计算机,以及可供他们使用的应用程序和桌面。
创建交付组是设置站点和计算机目录后的下一步。您可以稍后修改初始设置或根据需要创建其他交付组。
某些功能和设置仅在编辑现有交付组时才可配置。有关详细信息,请参阅管理交付组
开始之前
在创建交付组之前:
- 请仔细阅读本文,以便您能够充分理解创建交付组所需的选项和信息。
- 确保已创建到托管计算机的管理程序、云服务或其他资源的连接。
- 确保包含虚拟或物理计算机的计算机目录可用。
要创建交付组:
- 如果您已创建站点和计算机目录但尚未创建交付组,Web Studio 会引导您到正确的起始位置来创建交付组。
向导的页面
如果您已创建站点和计算机目录但尚未创建交付组,Web Studio 会引导您到正确的起始点来创建交付组。
如果您已创建交付组并希望创建另一个,请按照以下步骤操作:
- 选择 交付组。
- 在操作窗格中,选择 创建交付组。
- 要组织交付组,可以在默认的 交付组 文件夹下创建文件夹。有关详细信息,请参阅 创建文件夹。
- 选择要创建组的文件夹,然后单击 创建交付组。组创建向导随即打开。
- 向导从一个 简介 页面开始,您可以选择在将来启动时跳过该页面。然后,它会引导您完成多个页面,如以下表格中所述。完成每个页面后,单击 下一步 继续,直到到达最后一页。
| 多会话操作系统 | 单会话操作系统静态(已分配) | 单会话操作系统共享(池化) | 远程电脑访问 | |
|---|---|---|---|---|
|
页面
|
计算机 | 计算机 | 计算机 | 计算机 |
| 负载均衡 | 交付类型 | 用户 | 用户 | |
| 用户 | 用户 | 应用程序 | 应用程序 | |
| 应用程序 | 应用程序 | 桌面 | 桌面分配规则 | |
| 桌面 | 桌面分配规则 | 应用程序保护 | 应用程序保护 | |
| 应用程序保护 | 应用程序保护 | 范围 | 范围 | |
| 范围 | 范围 | 许可证协议 | 许可证协议 | |
| 许可使用协议 | 许可使用协议 | 策略集 | 策略集 | |
| 策略集 | 策略集 | 本地主机缓存 | 摘要
|
|
| 摘要 | 摘要 | 摘要 |
注意:
- 如果所选的单会话操作系统静态计算机目录中有任何可用的已分配计算机,您将看到“计算机分配”页面(紧随“计算机”页面之后)。
- Local Host Cache setting 页面仅适用于包含电源管理的单会话池化计算机的交付组。
计算机页面
-
要创建仅包含单会话可挂起虚拟机的交付组,请选择“为此交付组启用挂起功能”。
注意:
此功能仅适用于支持挂起功能的单会话计算机。
-
选择一个计算机目录,然后选择要从该目录使用的计算机数量。
重要注意事项
- 选择目录时,列表中仅显示至少有一台未使用计算机的目录。
- 一个目录可以为多个交付组提供计算机。一台计算机只能在一个交付组中使用。当您向交付组添加更多计算机时,Web Studio 默认建议使用相同的目录。
- 一个交付组可以使用来自多个目录的计算机;但是,这些目录必须包含相同的计算机类型(多会话操作系统、单会话操作系统或远程电脑访问)。交付组中的所有计算机必须具有相同的分配类型(池化或静态)。换句话说,您不能在交付组中混合使用计算机类型。
- Citrix 建议在所有计算机上使用最新的 VDA 版本。
- 对于 远程电脑访问,当您创建站点时,会自动创建一个名为 远程电脑访问计算机 的目录和一个名为 远程电脑访问桌面 的交付组。远程电脑访问计算机 目录中的每台计算机都会自动与一个交付组关联。
-
系统将执行以下兼容性检查:
- 最低功能级别必须符合兼容性要求。
- 会话支持类型必须兼容
- 分配类型必须符合单会话的兼容性要求。
- 远程电脑访问仅与远程电脑访问目录兼容
计算机分配页面
如果在“计算机”页面上选择的单会话操作系统静态计算机目录中有任何可用的已分配计算机,则“计算机分配”页面可用。
使用此页面,管理此交付组中计算机的用户分配和桌面显示名称。
- 使用“显示名称”字段管理桌面显示名称。
- 单击“浏览”并选择用户或组。
负载平衡页面
“计算机上的负载平衡会话”页面适用于多会话操作系统计算机。
使用此页面,配置此交付组要使用的负载平衡设置。默认情况下,交付组使用站点范围设置。
- 要为此交付组配置负载平衡设置,请选中“覆盖站点范围”设置复选框。
- 根据需要选择“水平负载平衡”或“垂直负载平衡”选项。有关水平和垂直负载平衡方法的信息,请参阅负载平衡计算机。
如果您选择垂直负载平衡,请确保已正确配置并发登录容忍度和最大会话数策略。
交付类型页面
交付类型页面仅适用于单会话操作系统静态(已分配)计算机。
使用此页面,配置目录中的计算机以向用户交付桌面或应用程序。
-
选择应用程序或桌面。您不能同时启用两者。
注意:
如果您从多会话操作系统或单会话操作系统随机(池化)目录中选择计算机,则交付类型假定为应用程序和桌面。您可以交付应用程序、桌面或两者。
用户页面
用户页面适用于所有计算机类型。但是,该页面的选项因计算机类型而异。
使用此页面,指定用户如何访问交付组中的资源。
用户访问控制的工作原理
在创建或编辑访问设置时,交付组中的用户访问通过指定的用户列表进行控制。
-
满足以下所有条件的用户可以访问交付组中的应用程序:
- 拥有此交付组中资源(应用程序和桌面)的访问权限。默认情况下,访问权限由部署的用户访问列表(Active Directory 中的用户)决定,该列表不是通过 Studio 配置的。请参阅在交付组中添加或删除用户。
- 拥有此组中应用程序的访问权限。默认情况下,应用程序授权策略规则包括所有人。有关详细信息,请参阅 PowerShell SDK
BrokerAppEntitlementPolicyRulecmdlet。 - 有权访问包含此应用程序的应用程序组。
-
满足以下两个条件的用户可以访问交付组中的桌面:
- 拥有访问此交付组中资源(应用程序和桌面)的权限。默认情况下,访问权限由部署的用户访问列表(Active Directory 中的用户)确定,该列表不是通过 Studio 配置的。您可以从默认用户范围中添加或删除用户。请参阅在交付组中添加或删除用户。
- 有权访问此组中的桌面。有关详细信息,请参阅桌面(或桌面分配规则页面)。
配置操作步骤
-
选择其中一个选项以允许或限制使用交付组中的资源。
- 允许任何经过身份验证的用户使用资源: 要访问应用程序和桌面,您按名称指定的用户和组成员必须向 StoreFront™ 或 Citrix Workspace™ 应用程序提供凭据,例如智能卡或用户名和密码。(对于包含单会话操作系统计算机的交付组,您可以通过编辑交付组稍后导入用户数据(用户列表)。)
- 限制资源使用: 此外,您可以通过将用户或用户组添加到允许列表来限制交付组的使用。只有允许列表中的用户才能访问交付组中的应用程序和桌面。您还可以通过单击添加阻止列表将用户和用户组添加到阻止列表,这会阻止用户使用所选交付组中的应用程序和桌面。阻止列表仅在用于阻止允许列表中的用户时才有意义。
- 对于多会话操作系统计算机,如果您希望用户无需向 StoreFront 或 Citrix Workspace 应用程序提供凭据即可访问应用程序和桌面,请选择授予未经身份验证(匿名)用户访问权限;无需凭据。例如,在自助服务终端中,应用程序可能需要凭据,但 Citrix 访问门户和工具不需要。
- 未经身份验证的用户帐户在会话启动时按需创建,并命名为 AnonXYZ,其中 XYZ 是一个唯一的三位数值。
- 未经身份验证的用户会话的默认空闲超时为 10 分钟,并在客户端断开连接时自动注销。不支持重新连接、客户端之间漫游和 Workspace Control。
- 选择要求会话在用户的本地区域中启动(如果已配置),以防止在用户的本地区域有足够资源的情况下会话默认到其他可用区域。
- 如果您希望会话随用户一起漫游,无论设备如何或是否存在当前会话,请选择允许会话在客户端设备之间随用户漫游。请参阅会话漫游。
下表描述了您在用户页面上的选择:
| 启用访问权限 | 添加/分配用户和用户组? | 启用“授予未经身份验证的用户访问权限”复选框? |
|---|---|---|
| 仅经过身份验证的用户 | 是 | 否 |
| 仅未经身份验证的用户 | 否 | 是 |
| 经过身份验证和未经身份验证的用户 | 是 | 是 |
应用程序页面
应用程序页面适用于所有计算机类型。但是,您可以添加的应用程序因计算机类型而异。
使用此页面,您可以将打包的应用程序添加到此组中的桌面。
重要注意事项
- 您可以将打包应用程序添加到交付组。每次用户登录其桌面或远程 PC 时,包含这些应用程序的软件包都会自动装载。
- 默认情况下,您添加的新应用程序将放置在名为“应用程序”的文件夹中。您可以指定其他文件夹。有关详细信息,请参阅应用程序一文。
- 您可以在将应用程序添加到交付组时或之后更改其属性。有关详细信息,请参阅应用程序一文。
- 如果您尝试添加应用程序,并且该文件夹中已存在同名应用程序,系统会提示您重命名要添加的应用程序。如果您拒绝,则会为该应用程序添加一个后缀,使其在该应用程序文件夹中保持唯一。
- 当您将应用程序添加到多个交付组时,如果您没有权限在所有这些交付组中查看该应用程序,则可能会出现可见性问题。在这种情况下,请咨询具有更高权限的管理员,或者扩展您的范围以包括添加了该应用程序的所有交付组。
- 如果您向同一用户发布两个同名应用程序,请更改“应用程序名称(针对用户)”属性。否则,用户将在 Citrix Workspace 应用程序中看到重复的名称。
配置操作步骤
-
选择“添加”菜单以显示应用程序源。
- 从“开始”菜单:应用程序通过分配给交付组的当前注册 VDA 之一进行发现。选择此源时,将启动一个新页面,其中包含发现的应用程序列表;选择要添加的应用程序,然后选择“确定”。
-
手动: 位于交付组中的 VDA 上或网络中其他位置的应用程序。选择此源将打开一个新页面,您可以在其中通过以下方式指定要添加的应用程序:
- 键入可执行文件的路径、工作目录、可选命令行参数以及管理员和用户的显示名称。
- 从交付组中的 VDA 选择一个应用程序。为此,请单击“浏览”,输入用于访问 VDA 的凭据,等待连接到 VDA,然后从 VDA 中选择一个应用程序。所选应用程序的属性会自动填充页面上的字段。
- 现有:以前添加到部署中的应用程序,可能在另一个交付组中。选择此源时,将启动一个新页面,其中包含发现的应用程序列表;选择要添加的应用程序,然后选择“确定”。
-
应用程序包: App-V、MSIX、MSIX app attach 或 FlexApp 应用程序包中的应用程序。选择此源时,将启动“从包中添加应用程序”页面。选择一个应用程序包源,从结果显示中选择要添加的应用程序,然后选择“确定”。
注意:
- 如果未为站点配置应用程序包,则此选项将变灰。
- 要发布 MSIX 或 MSIX app attach 应用程序,交付组的功能级别必须为 2106 或更高版本。对于 FlexApp 应用程序,功能级别必须为 2206 或更高版本。如果未满足功能级别要求,则“应用程序包源”下拉列表中的相应选项将变灰。
- 应用程序组: 部署中存在的应用程序组。
如果应用程序源或应用程序不可用或无效,则它不可见或无法选择。例如,如果部署中未添加任何应用程序,则“现有”源不可用。或者,某个应用程序可能与所选计算机目录中计算机上支持的会话类型不兼容。
桌面(或桌面分配规则)页面
此页面的标题取决于您之前在向导中选择的计算机目录:
- 如果您选择包含多会话或池化单会话计算机的目录,则此页面标题为“桌面”。
-
如果您选择包含单会话静态计算机的目录,并在“交付类型”页面上指定了“桌面”,则此页面标题为“桌面分配规则”。
注意:
如果您选择包含单会话静态计算机的目录,并在“交付类型”页面上指定了“应用程序”,则您将看不到此页面。
-
(可选)要更新交付组的默认桌面图标,请选择“更改”。此图标适用于组中的所有桌面,除非为单个桌面设置了不同的图标。
-
选择“添加”。在对话框中:
- 在“显示名称”和“描述”字段中,键入要在 Citrix Workspace 应用程序中显示的信息。
- 对于多会话或池化单会话操作系统计算机:要向桌面添加标签限制,请选择“将启动限制到具有此标签的计算机”,然后从菜单中选择标签。
-
使用单选按钮,您可以:
- 允许所有有权访问此交付组的用户使用桌面。 交付组中的所有用户都可以启动桌面(对于具有池化计算机的组),或者在启动桌面时被分配一台计算机(对于具有单会话静态计算机的组)。
- 通过将用户和用户组添加到“允许列表”来限制桌面使用。 只有“允许列表”中的用户才能访问桌面。您还可以通过单击“添加阻止列表”将用户和用户组添加到阻止列表,这会阻止用户使用所选交付组中的桌面。阻止列表仅在用于阻止允许列表中的用户时才有意义。
- 如果组包含单会话静态计算机,请指定每个用户的最大桌面数。此值必须大于或等于一。此设置不是强制性的。您可以手动分配计算机,或使用 RemotePC 自动分配计算机。
- (可选)选择“更改”以更新池化桌面的桌面图标或单会话静态桌面的桌面分配规则。指定的图标将覆盖在交付组级别设置的默认图标。
- 启用或禁用桌面(对于多会话计算机)或桌面分配规则(对于单会话静态计算机):禁用桌面会停止桌面交付。禁用桌面分配规则会停止向用户自动分配桌面。
- 完成对话框后,选择“确定”。
站点中桌面的最大实例数(仅限 PowerShell)
要配置站点中桌面的最大实例数(仅限 PowerShell):
-
在 PowerShell 中,使用适当的 BrokerEntitlementPolicyRule cmdlet 和 MaxPerEntitlementInstances 参数。例如,以下 cmdlet 修改
tsvda-desktop规则,将站点中允许的桌面最大并发实例数设置为两个。当有两个桌面实例正在运行时,如果第三个订阅者尝试启动桌面,则会发生错误。Set-BrokerEntitlementPolicyRule -Name tsvda-desktop -MaxPerEntitlementInstances 2 -
如需获取指导,请使用 Get-Help cmdlet 命令行工具。例如,
Get-Help Set-BrokerEntitlementPolicyRule-Parameter MaxPerEntitlementInstances。
应用程序保护页面
应用程序保护页面适用于所有计算机类型。 使用此页面,您可以为 Citrix 发布的应用程序和桌面提供增强的安全性。
以下信息是对 Citrix Virtual Apps and Desktops 文档中 应用程序保护 一文的补充。
- 您必须拥有有效的应用程序保护授权。要购买应用程序保护功能,请联系您的 Citrix 销售代表。
- 应用程序保护需要 XML 信任。要启用 XML 信任,请转到“设置 > 启用 XML 信任”。
保护功能将在以下条件下启用:
-
屏幕截图保护:
- 在 Windows 和 macOS 上,只有受保护内容的窗口为空白。当受保护的窗口未最小化时,应用程序保护处于活动状态。
- 在 Linux 上,整个捕获为空白。无论受保护的窗口是否最小化,应用程序保护都处于活动状态。
-
键盘记录保护:如果受保护的窗口处于焦点中,则启用。要禁用保护,请将焦点更改为另一个窗口。
作用域页面
“作用域”页面适用于所有计算机类型。
使用此页面,以与您的组织相关的方式对对象(例如,连接、目录和交付组)进行分组。
许可证分配页面
“许可证分配”页面适用于所有计算机类型。
使用此页面,指定交付组要使用的许可证。默认情况下,交付组使用站点许可证。有关详细信息,请参阅多类型许可。
策略集页面
“策略集”页面适用于所有计算机类型。
使用此页面,指定此交付组要使用的策略集。
本地主机缓存设置页面
此页面仅适用于包含电源管理的单会话池化计算机的交付组。
默认情况下,处于本地主机缓存 (LHC) 模式时,由于数据泄露风险,电源管理的池化计算机不可用。要更改默认行为并在 LHC 模式下使其可用于新的用户连接,请选择 保持资源可用。
或者,您可以使用 PowerShell 命令更改默认行为。有关详细信息,请参阅应用程序和桌面支持。
重要提示:
启用对电源管理的单会话池化计算机的访问可能会导致先前用户会话中的数据和更改出现在后续会话中。
本地主机缓存中的一次性使用池化桌面
在本地主机缓存 (LHC) 中断期间,池化桌面可以一次性使用。这是通过向具备能力的 VDA 发出卫生 blob 并启动重新启动来实现的。此过程可确保桌面在从中断中恢复后处于干净状态。对于不具备能力或旧版计算机,只有在明确启用重用时才会参与。 此功能通过使可用性更加无缝来改善中断期间的客户体验。
先决条件
- VDA 版本 2407 或更高版本,用于完全强制卫生。旧版 VDA(VDA 版本 2407 之前)只能在启用重用时使用。这些 VDA 不会接收卫生 blob 或强制重新启动。
- 包含单会话计算机的计算机目录。
配置池化桌面的一次性使用
- 使用 VDA 版本 2407 或更高版本创建包含单会话计算机的 MCS 目录。
-
创建相应的交付组。在创建交付组时,通过远程 PowerShell 将交付组的
ReuseMachinesWithoutShutdownInOutage桌面组设置设为false,或者在 Web Studio 的本地主机缓存模式页面上选择使资源不可用。Set-BrokerDesktopGroup -Name "name" -ReuseMachinesWithoutShutdownInOutage $false <!--NeedCopy-->
-
配置完成后,在 LHC 中断模式期间,计算机可供一次性使用。当退出 LHC 中断模式时,被污染的计算机将重新启动并可再次使用。
注意:
一旦用户会话在其最近一次开机后启动,该计算机就被归类为已污染。未污染的计算机是指自上次开机事件以来未启动任何用户会话的计算机。
摘要页面
输入交付组的名称。您还可以(可选)输入描述,该描述将显示在 Citrix Workspace 应用程序和 Studio 中。
查看摘要信息,然后单击完成。
局限性
将桌面分配给客户端 IP 地址仅适用于非常有限的客户端类型和配置。基于客户端 IP 地址执行访问筛选会使用云客户端的公共 IP 地址。
使用合并组启用金丝雀部署(预览版)
使用合并组为您的应用程序和桌面资源实施金丝雀部署模型。此功能允许您发布同一资源的多个版本,同时将其作为单个图标呈现给最终用户。
合并组允许您将特定的用户组定向到同一资源的不同实现版本。您可以指定一定比例的用户(例如 5%)来测试新版本,而其他用户则继续使用稳定版本。如果新版本出现问题,您可以轻松地将用户故障转移到稳定版本,而不会中断他们的体验。此功能支持高可用性和灾难恢复场景,无需重新枚举或更改配置。
用法示例
为了在应用程序的不同版本可用时简化用户体验,请考虑使用合并组功能。例如,如果您有 Microsoft Word 2016 和 Microsoft Word 2019,与其显示两个单独的图标,不如将它们分组为一个图标。通过使用合并组功能,系统可以确定为特定用户启动哪个版本的应用程序(例如,Word 2016 或 Word 2019)。
局限性
当合并组中用户首选的资源暂时不可用(例如,处于维护模式)时,Broker 会在备用资源上启动会话。如果首选资源在用户重新连接之前再次可用,Broker 将在首选资源上创建新会话,而不是重新连接到备用资源上的现有会话。
影响:用户将有两个活动会话,每个资源上一个,但只能访问首选资源上的会话。备用资源上断开连接的会话将变得不可访问。
解决方法:管理员可以从 Studio 注销孤立会话,或重新启动托管该会话的计算机。
用于配置合并组的命令
注意:
有关详细的命令说明,请参阅 SDK 文档。
| 操作 | 命令 | 功能描述 |
|---|---|---|
| 创建合并组 | New-BrokerMergeGroup |
创建一个具有指定名称和描述(可选)的合并组。 |
| 设置合并组 | Set-BrokerMergeGroup |
此命令用于设置合并组的名称、描述、MergeGroupSetUid 和 DefaultResourceUid。其中,DefaultResource 代表合并组的图标资源。在 Citrix Workspace 应用程序中,合并组将自动继承此资源的图标。 |
| 删除合并组 | Remove-BrokerMergeGroup |
删除指定的合并组。如果合并组包含合并资源,则删除失败。要删除此类合并组,您需要 Force 参数 – 它会同时删除合并组及其在合并组中关联的 MergedResources。 |
| 创建合并资源 | New-BrokerMergedResource |
在站点中创建新的合并资源。创建具有 applicationUid 或 EntitlementPolicyRuleUid(共享/随机桌面组)的合并资源。这也只是应用程序资源或授权策略规则之上的一个包装器。删除合并资源不会删除应用程序或授权策略规则。 |
| 设置合并资源 | Set-BrokerMergedResource |
设置 MergedResource 对象的属性。Users 参数会删除与合并资源关联的任何以前的用户,并将新列表(或单个用户)设置为此合并资源的用户列表。如果要向现有用户列表添加更多用户,可以使用 AddUsers 参数。如果要从现有用户列表中删除用户,可以使用 RemoveUsers 参数。 |
| 删除合并资源 | Remove-BrokerMergedResource |
删除指定的合并资源。 |