创建策略

注意：

Starting with version 2511, Citrix Web Studio™ (web-based) is the only management console for Citrix Virtual Apps and Desktops™. Citrix Studio (MMC-based) has been removed from the installer. This article applies only to Web Studio. For information about Citrix Studio, see the equivalent article in Citrix Virtual Apps and Desktops 7 2212 or earlier.

策略定义了两个部分：

• 一组设置，用于定义如何为一组用户、设备或连接类型管理会话、带宽和安全性。
• 要分配策略的用户和计算机。在创建策略之前，请确定它影响哪些用户组或设备。您可能希望根据职能、连接类型、设备平台或地理位置创建策略。

创建策略时，您可以基于策略模板中的设置并根据需要进行自定义。您也可以从头开始，手动添加必要的设置。本节涵盖以下主题：

• 策略的工作原理
• 从头开始创建策略
• 从模板创建策略

提示

如果某个组已存在策略，请考虑编辑它而不是创建新策略。避免仅仅为了启用特定设置或排除特定用户而创建策略。

策略的工作原理

当用户登录时，将识别所有与连接分配匹配的策略。这些策略按优先级排序，并比较任何设置的多个实例。对于每个设置，将应用来自最高优先级策略的值。如果较高优先级的策略禁用某个设置，则该设置将覆盖任何已启用该设置的较低优先级策略。未配置的设置将被忽略。

重要提示：

如果您使用组策略管理控制台同时配置 Active Directory 和 Citrix 策略，分配和设置可能无法按预期应用。有关详细信息，请参阅 CTX127461。

未经过滤的策略

我们提供一个名为 Unfiltered 的默认策略。

• 当您在 Web Studio 中管理 Citrix® 策略时，Unfiltered 策略中的设置将应用于站点中的所有服务器、桌面和连接。

• 要使设置生效，站点和连接必须在包含该策略的 GPO 范围内。

  示例：一个名为 Sales-US 的 GPO 链接到 Sales OU，并包含所有美国销售团队成员。此 GPO 配置了一个包含多个用户设置的 Unfiltered 策略。当销售经理登录时，Unfiltered 策略设置将应用，因为该用户位于 Sales-US GPO 中。

分配模式

分配模式控制策略是否基于连接条件匹配的方式应用。

• Allow（默认）：仅当连接与分配条件匹配时才应用策略。

• Deny：如果连接与条件不匹配，则应用策略。

示例 1：相同的分配类型，不同的模式

策略 1 包括：

• 分配 A：销售组，模式 = 允许

• 分配 B：销售经理帐户，模式 = 拒绝

尽管用户在销售组中，但拒绝分配具有优先权。当销售经理登录时，此策略不适用。

示例 2：不同的分配类型，相同的模式

策略 2 包括：

• 分配 C：销售组（用户），模式 = 允许

• 分配 D：公司 IP 范围（客户端 IP），模式 = 允许

只有当两个分配都满足时，策略才适用。如果销售经理从办公室登录，则两个条件都满足，策略适用。

策略 3 包括：

• 分配 E：销售组（用户），模式 = 允许

• 分配 F：NetScaler Gateway 连接（访问控制），模式 = 允许

如果销售经理从办公室登录（而不是通过 NetScaler），则分配 F 不满足，因此策略不适用。

策略设置：父子层级关系

某些策略设置依赖于父设置。例如，您必须先配置会话总带宽限制，然后其子设置才能可用。

在 Web Studio 中配置策略时，将鼠标悬停在子设置上，以查看必须首先配置哪个父设置。如果父设置被禁用，则相关的子设置会自动禁用。

依赖策略设置(/zh-cn/citrix-virtual-apps-desktops/2511/media/dependent-policy-settings.png)

下表详细列出了父级设置及其对应的子级设置：

策略设置状态

某些策略设置可以具有以下状态之一：

• 允许或禁止：允许或阻止由设置控制的操作。有时，用户被允许或阻止在会话中管理设置的操作。例如，如果菜单动画设置为“允许”，则用户可以在其会话中控制它。
• 启用或禁用：打开或关闭设置。如果某个设置在优先级较高的策略中被禁用，则即使在优先级较低的策略中启用，该设置也不会应用。

安全默认设置

如果在 VDA 安装期间启用了安全默认设置，则策略设置的优先级如下：

1. 自定义设置
2. 安全默认设置
3. 默认设置

要查看安全默认值：

1. 在 Web Studio 中，单击左侧窗格中的策略。
2. 在策略选项卡上，单击创建策略。

3. 在选择设置表中，当您将鼠标悬停在当前值为允许的设置上时，将显示安全默认值: 禁止。

   

策略设置的有效性

某些设置必须一起使用和启用。例如，要允许用户访问其本地设备上的网络驱动器，需要执行以下操作：

• 客户端驱动器重定向必须启用

• 客户端网络驱动器也必须包括在内

如果客户端驱动器重定向被禁用，即使客户端网络驱动器已启用，用户也无法访问网络驱动器。

通常，与计算机相关的设置更改在 VDA 重新启动或用户登录时生效。与用户相关的设置更改在下次登录时应用。

将设置添加到策略时，可以选择“使用默认值”以防止更改。此选项会禁用手动配置，并且仅应用默认值，而无论之前输入的值是什么。

最佳实践

• 将策略分配给组而不是单个用户。如果将策略分配给组，则在您从组中添加或删除用户时，分配会自动更新。
• 禁用未使用的策略。未添加任何设置的策略会产生不必要的处理开销。

从头开始创建策略

要创建策略：

1. 在 Web Studio 中，单击左侧窗格中的策略。
2. 在策略选项卡上，单击创建策略。
3. 在选择设置页面上，选择并配置设置，然后单击下一步。
4. 在将策略分配给页面上，选择此策略所在的策略集，然后选择要分配策略的对象。单击下一步。

5. 在摘要页面上，完成以下设置：

   1. 输入策略的名称和描述。
   2. 要启用策略，请选择启用策略。
6. 单击完成。

步骤 1：选择并配置策略设置

策略设置按功能分组。例如，与配置文件管理相关的设置位于配置文件管理类别下。

设置分为两种类型：

• 计算机设置：应用于计算机，并在虚拟桌面启动时生效（即使没有用户登录）。它们定义虚拟桌面行为。
• 用户设置：在用户连接或重新连接时应用。它们定义用户体验。

要选择和配置设置：

1. 在“选择设置”页面上，要按 VDA 版本查看设置，请从右上角的下拉列表选项中选择以下选项之一：

   • 所有设置：查看所有 VDA 版本的所有设置
   • 仅当前设置：仅查看当前 VDA 版本的设置
   • 仅旧版设置：仅查看已弃用 VDA 版本的设置

2. 要搜索设置，请在搜索框中输入设置的完整或部分名称。

3. 选择一个设置。单击“启用”以将其打开，或单击“编辑”以指定值。

4. 重复步骤 3 以选择和配置策略的更多设置。

   注意：

   策略设置可以为“已启用”、“已禁用”或“未配置”。默认情况下，策略设置未配置，这意味着它们未添加到策略中。设置仅在添加到策略时才应用。

步骤 2：指定策略分配

策略分配定义了策略适用于哪些用户和计算机。有关分配如何影响策略行为的信息，请参阅策略工作原理。

要指定策略分配：

1. 在“将策略分配到”页面上，选择“筛选的用户和计算机”。
2. 通过指定分配（也称为 筛选器）来选择用户或计算机。有关可用分配类型，请参阅下表。

注意：

• 如果您未指定任何分配或将其禁用，则策略将应用于所有连接。
• 策略分配也称为策略筛选器。有关详细信息，请参阅创建、修改或删除策略筛选器和筛选器如何应用？

基于模板创建策略

您可以基于Citrix 提供或自定义的模板创建策略。生成的策略独立于原始模板。

要从模板创建策略：

1. 在 Web Studio 中，选择左侧窗格中的策略。
2. 选择模板选项卡，然后选择要使用的模板。
3. 在操作栏中单击从模板创建策略。此时将显示创建策略页面，其中显示所选模板中预配置的所有设置。
4. 根据需要修改设置并添加更多设置，然后单击下一步。
5. 在将策略分配到页面上，选择此策略所在的策略集，然后选择要分配策略的对象。单击下一步。
6. 在摘要页面上，输入策略的名称和描述。
7. 单击完成。新策略将显示在策略选项卡上指定的策略集中。

下一步操作

• 确定策略优先级
• 模拟和评估策略