Citrix Virtual Apps and Desktops

创建策略

注意:

可以使用下面两个管理控制台管理您的 Citrix Virtual Apps and Desktops 部署:Web Studio(基于 Web)和 Citrix Studio(基于 Windows)。本文仅涵盖 Web Studio。有关 Citrix Studio 的信息,请参阅 Citrix Virtual Apps and Desktops 7 2212 或更早版本中的等效文章。

创建策略前,确定可能会受此策略影响的用户或设备组。您可能希望创建基于用户工作职责、连接类型、用户设备或地理位置的策略。也可以使用用于 Windows Active Directory 组策略的相同条件。

如果您已经创建了应用到某个组的策略,请考虑编辑该策略,而非创建其他策略。编辑策略后,请配置相应的设置。请避免单纯为了启用特定设置或拒绝将该策略应用到特定用户而创建策略。

创建策略时,可以在策略模板中的设置基础上进行创建,并根据需要对设置进行自定义。也可以在不使用模板的情况下进行创建,并添加所需的所有设置。

在 Web Studio 中,除非明确选中了启用策略复选框,否则创建的新策略会设置为“已禁用”。

在策略创建过程中和配置设置时,系统会提供用于查看设置类型的选项。可以查看以下设置类型:

  • 所有设置 - 查看适用于所有 VDA 版本的所有设置
  • 仅限当前设置 - 查看特定于当前 VDA 版本的设置
  • 仅限旧版设置 - 查看仅适用于已弃用的 VDA 版本的设置

要在配置设置时查看设置,请执行以下操作:

  1. 登录 Web Studio 并在左侧窗格中选择策略
  2. 策略选项卡中,单击创建策略
  3. 选择设置表中,单击设置旁边的下拉列表。
  4. 请从下拉列表中选择以下选项之一:
  • 所有设置 - 查看所有 VDA 版本的所有设置
  • 仅限当前设置 - 仅查看当前 VDA 版本的设置
  • 仅限旧版设置 - 仅查看已弃用的 VDA 版本的设置
  1. 设置表列出了根据上一步可用的设置。

策略设置

策略设置的状态可以是已启用、已禁用或未配置。默认情况下,策略设置的状态是未配置,表示未将其添加到策略。仅在将设置添加到策略后才应用这些设置。

某些策略设置可处于以下状态之一:

  • 允许或禁止,允许或阻止由设置控制的操作。有时会允许或阻止用户在会话中管理设置的操作。例如,如果菜单动画设置为“允许”,则用户可以在其客户端环境中控制菜单动画。
  • 启用或禁用,打开或关闭设置。如果禁用了某个设置,则在任何等级较低的策略中都不会启用该设置。

此外,某些设置还可控制相关设置的效果。例如,客户端驱动器重定向设置控制是否允许用户访问其设备上的驱动器。必须同时将此设置和客户端网络驱动器设置添加到策略中,才能允许用户访问其网络驱动器。如果客户端驱动器重定向设置处于禁用状态,用户将无法访问其网络驱动器,即使客户端网络驱动器设置处于启用状态也是如此。

通常,影响计算机的策略设置更改会在虚拟桌面重新启动时或用户登录时生效。影响用户的策略设置更改会在用户下次登录时生效。如果您使用的是 Active Directory,则在 Active Directory 每隔 90 分钟重新评估策略时会更新策略设置。策略设置将在虚拟桌面重新启动或用户登录时应用。

对于某些策略设置,可在将设置添加到策略时输入或选择一个值。可以通过选择使用默认值来限制该设置的配置。此选项将禁用此设置的配置,并在应用策略时仅允许使用该设置的默认值。无论在选择使用默认值之前输入的值为何,均会出现这种选择。

如果启用了安全默认设置,则在 VDA 安装期间,策略设置的优先级将受到以下影响:

  • 自定义设置具有最高优先级
  • 安全默认设置的优先级排第二位
  • 默认设置的优先级最低

要查看策略的安全默认设置,请执行以下操作:

  1. 登录到 Web Studio。
  2. 在左侧导航栏中,单击策略
  3. 策略选项卡中,单击创建策略
  4. 选择设置表中,当您将鼠标悬停在 Allowed?(允许?)作为其当前值的设置上时,将显示 Secure default value: Prohibited(安全默认值: 禁止) 。

    安全默认设置

最佳做法:

  • 将策略分配给组,而非单个用户。如果将策略分配给组,则将用户添加到组或从组中删除用户时,分配的策略会自动更新。
  • 请勿启用“远程桌面会话主机配置”中的冲突或重叠设置。有时,“远程桌面会话主机配置”可提供与 Citrix 策略设置相似的功能。如有可能,请将所有设置的状态保持一致(已启用或已禁用),以便进行故障排除。
  • 禁用未使用的策略。未添加任何设置的策略会带来不必要的处理过程。

策略分配

创建策略时,可以将其分配给某些用户和计算机对象。根据特定条件或规则将该策略应用于连接。一般情况下,可以根据条件组合向策略添加任意数量的分配。

如果您未指定任何分配,或者指定了分配但将其禁用,策略将应用到所有连接。

注意:

策略分配也称为策略过滤器。有关其他信息,请参阅以下主题:

下表列出了可用的分配:

分配名称 应用策略的根据
访问控制 连接客户端所依据的访问控制条件连接类型 - 将策略应用于使用 NetScaler Gateway 建立的连接还是不使用 NetScaler Gateway 建立的连接。NetScaler Gateway 场名称 - NetScaler Gateway 虚拟服务器的名称。访问条件 - 要使用的终点分析策略或会话策略的名称。
NetScaler SD-WAN 是否通过 NetScaler SD-WAN 启动用户会话。注意: 您只能向策略中添加一个 NetScaler SD-WAN 分配。
客户端 IP 地址 用于连接到会话的用户设备的 IP 地址:IPv4 示例:12.0.0.0、12.0.0.*、12.0.0.1-12.0.0.70、12.0.0.1/24;IPv6 示例:2001:0db8:3c4d:0015:0:0:abcd:ef12、2001:0db8:3c4d:0015::/54
客户端名称 用户设备的名称精确匹配:ClientABCName。使用通配符:Client*Name。
交付组 交付组成员身份。
交付组类型 桌面或应用程序的类型:专用桌面、共享桌面、专用应用程序或共享应用程序。注意: “专用桌面”和“共享桌面过滤器”选项仅适用于 Citrix Virtual Apps and Desktops 7.x。有关详细信息,请参阅 CTX219153
组织单位(OU) 组织单位。
标记 标记。注意: 将此策略应用到所有带标记的计算机。不包括应用程序标记。
用户或组 用户或组名称。

用户登录时,系统会确定与连接的分配相匹配的所有策略。这些策略按优先级排序,并对任意设置的多个实例进行比较。根据策略的优先级应用每个设置。任何已禁用的策略设置都优先于级别较低的已启用规则。未配置的策略设置会被忽略。

重要:

如果使用组策略管理控制台同时配置 Active Directory 和 Citrix 策略,可能无法按预期应用分配和设置。有关详细信息,请参阅 CTX127461

默认情况下,提供名为“未过滤”的策略。

  • 如果使用 Web Studio 来管理 Citrix 策略,添加到“未过滤”策略的设置将应用到站点中的所有服务器、桌面和连接。
  • 如果使用本地组策略编辑器管理 Citrix 策略,添加到“未过滤”策略的设置将应用到所有站点和连接。站点和连接必须在包含策略的组策略对象 (GPO) 的范围内。例如,Sales OU 包含名为 Sales-US 的 GPO,该 GPO 包含美国销售团队的所有成员。该 Sales-US GPO 是使用包含多项用户策略设置的“未过滤”策略进行配置的。当美国的销售经理登录到站点时,“未过滤”策略中的设置将自动应用到该会话。此配置是因为用户是 Sales-US GPO 的成员。

分配的模式决定策略是否仅应用到符合所有分配条件的连接。如果将模式设置为允许(默认设置),策略将仅应用到符合分配条件的连接。如果将模式设置为拒绝,将在连接不符合分配条件时应用策略。下例说明了存在多个分配时分配模式对 Citrix 策略的影响。

  • 示例:模式不同但类型相同的分配 - 如果策略中包含两个类型相同的分配,其中一个设置为“允许”,一个设置为“拒绝”,假设连接同时满足这两个分配,则设置为“拒绝”的分配优先级较高。例如:

    策略 1 包含以下分配:

    • 分配 A 指定销售组。模式设置为“允许”。
    • 分配 B 指定销售经理的帐户。模式设置为“拒绝”。

    由于分配 B 的模式设置为拒绝,因此即使销售经理属于销售组,在他登录到站点时也不会应用该策略。

  • 示例:模式相同但类型不同的分配 - 在包含两个或更多类型不同但模式设置为“允许”的策略中,连接必须至少满足每种类型的一个分配,才能应用该策略。例如:

    策略 2 包含以下分配:

    • 分配 C 是用于指定销售组的用户分配。模式设置为“允许”。
    • 分配 D 为客户端 IP 地址分配,用于指定 10.8.169.*(企业网络)。模式设置为“允许”。

    销售经理从办公室登录到站点时,会应用该策略,因为连接同时满足这两个分配。

    策略 3 包含以下分配:

    • 分配 E 是用于指定销售组的用户分配。模式设置为“允许”。
    • 分配 F 为访问控制分配,用于指定 NetScaler Gateway 连接条件。模式设置为“允许”。

    销售经理从办公室登录到站点时,不会应用该策略,因为连接不满足分配 F。

使用 Web Studio 基于模板创建策略

  1. 登录 Web Studio 并在左侧窗格中选择策略

  2. 选择模板选项卡,然后选择一个模板。

  3. 在操作栏中选择基于模板创建策略

  4. 默认情况下,新策略使用模板中的所有默认设置。在这种情况下,将选择模板默认设置(推荐)。如果要更改设置,请选中修改默认值并添加更多设置,然后添加或删除设置。

  5. 通过选择以下选项之一指定应用策略的方式:

    • 所选用户和计算机对象。对所选用户和计算机对象应用策略,然后单击分配选择必须应用策略的用户和计算机对象。
    • 站点中的所有对象。将策略应用到站点中的所有用户和计算机对象。
  6. 输入策略的名称。请考虑根据受影响的用户或对象来命名策略;例如“Accounting Department”或“Remote Users”。提供说明(可选)。

    该策略默认处于禁用状态,您可以将其启用。启用策略将使策略立即应用到登录的用户。禁用策略可阻止应用策略。如果您过后必须设定策略的优先级或添加设置,请考虑禁用策略,直至准备好应用此策略。

使用 Web Studio 创建策略

  1. 登录 Web Studio 并在左侧窗格中选择策略

  2. 选择策略选项卡。

  3. 在操作栏中选择创建策略

  4. 添加并配置策略设置。

  5. 通过选择以下其中一个选项指定应用策略的方式:

    • 分配给所选用户和计算机对象,然后选择必须应用策略的用户和计算机对象。
    • 分配给站点中的所有对象以将策略应用到站点中的所有用户和计算机对象。
  6. 输入策略的名称或者接受默认名称。请考虑根据受影响的用户或对象来命名策略;例如“Accounting Department”或“Remote Users”。提供说明(可选)。

    策略在默认情况下启用,您可以将其禁用。启用策略将使策略立即应用到登录的用户。禁用策略可阻止应用策略。如果您过后必须设定策略的优先级或添加设置,请考虑禁用策略,直至准备好应用此策略。

使用组策略编辑器创建和管理策略

在组策略编辑器中,展开“计算机配置”或“用户配置”。展开策略节点,然后选择 Citrix 策略。选择合适的操作:

任务 说明
创建策略 策略选项卡上,单击新建
编辑现有策略 策略选项卡上,选择策略,然后单击编辑
更改现有策略的优先级 策略选项卡上,选择策略,然后单击提高降低
查看策略的摘要信息 策略选项卡上,选择策略,然后单击摘要选项卡。
查看和修改策略设置 策略选项卡上,选择策略,然后单击设置选项卡。
查看和修改策略过滤器 策略选项卡上,选择策略,然后单击过滤器选项卡。向策略中添加多个过滤器时,必须满足所有过滤条件才能应用该策略。
启用或禁用策略 策略选项卡上,选择策略,然后选择操作 > 启用操作 > 禁用
基于现有模板创建策略 模板选项卡上,选择模板,然后单击新建策略
创建策略