基准策略设计

概述

策略为配置和微调 Citrix Virtual Apps and Desktops 环境提供了基础。策略允许组织根据用户、设备或连接类型的各种组合控制设置,并包括以下设置:

  • 连接
  • 安全
  • 带宽

在做出策略决策时,请考虑 Microsoft 和 Citrix 策略以包含所有用户体验、安全性和优化设置。本文仅重点介绍 Citrix 策略。有关所有 Citrix 相关策略设置的列表,请参阅 Citrix 策略设置参考

决策:首选策略引擎

组织可以通过 Citrix Studio 或通过 Active Directory 组策略配置 Citrix 策略。Active Directory 策略使用 Citrix ADMX 文件,该文件可扩展组策略并提供高级筛选机制。

使用 Active Directory 组策略,组织可以在同一位置同时管理 Windows 策略和 Citrix 策略,并最大限度地减少策略管理所需的管理工具。组策略会在域控制器之间自动复制,从而保护信息并简化策略应用。

如果 Citrix 管理员无权访问 Active Directory 策略,请使用 Citrix 管理控制台。选择最适合组织需求的方法,并始终如一地使用该方法。使用单一方法可避免与多个 Citrix 策略位置混淆。

了解策略的聚合(称为策略优先级)是如何流动的,以了解如何创建生成的策略集,这一点非常重要。使用 Active Directory 和 Citrix 策略时,优先级如下所示:

策略优先级 策略类型
第一个处理(最低优先级) 本地计算机策略
第二个处理 使用 Citrix 管理控制台创建的 Citrix 策略
第三个处理 站点级别 AD 策略
第四个处理 域级别 AD 策略
第五个处理 域中最高级别的 OU
第六个和后续处理 域中的后续级别 OU
最后一个处理(最高优先级) 包含对象的最低级 OU

每个级别的策略聚合到应用于用户或计算机的最终策略中。在大多数企业部署中,Citrix 管理员没有权限在其特定 OU 之外更改策略,这通常是优先级的最高级别。如果需要例外,请使用 “块继承” 和 “无覆盖” 设置来管理从 OU 树的较高处应用哪些策略设置。阻止继承会停止将更高级别的 OU(优先级较低)的设置纳入策略。但是,当配置不覆盖的更高级别 OU 策略时,不应用块继承设置。出于这个原因,在政策规划中必须谨慎。使用 “Active Directory 结果策略集” 或 “Citrix 组策略建模向导” 等可用工具来验证观察到的结果和预期结果。

注意:

某些 Citrix 策略设置(如果使用)需要通过 Active Directory 组策略进行配置。例如,要注册 VDA,需要 Delivery Controller 制员和交付控制员注册端口。

决策:策略集成

配置策略时,组织通常需要 Active Directory 策略和 Citrix 策略才能创建完全配置的环境。使用两个策略集时,由此产生的策略集可能会引起难以确定的混淆。有时,特别是关于 Windows 远程桌面服务 (RDS) 和 Citrix 策略,可以在两个不同的位置配置类似的功能。例如,可以在 Citrix 策略中启用客户端驱动器映射,并在 RDS 策略中禁用客户端驱动器映射。使用所需功能的能力可能取决于 RDS 和 Citrix 策略的组合。务必了解 Citrix 策略建立在远程桌面服务中提供的功能之上。如果 RDS 策略中显式禁用了所需功能,则 Citrix 策略将无法影响配置。

为避免这种混淆,Citrix 建议仅在需要的位置配置 RDS 策略,并且 Citrix Virtual Apps and Desktops 配置中没有相应的策略。仅当需要配置以便在组织内使用 RDS 时,才配置 RDS 策略。使用最高公分母配置策略可简化理解由此产生的策略集和策略配置故障排除的过程。

决策:策略作用域

创建策略后,根据所需结果,将策略应用于用户组、计算机或两者兼有。策略筛选允许将策略应用于所需的用户或计算机组。对于基于 Active Directory 的策略,关键的决定是将策略应用于站点、域或组织单位 (OU) 中的计算机还是用户。Active Directory 策略分为计算机配置和用户配置。默认情况下,用户配置中的设置适用于登录时驻留在 OU 中的用户。计算机配置中的设置会在系统启动时应用于计算机,并影响登录到系统的所有用户。与 Active Directory 和 Citrix 部署策略关联的一个挑战围绕三个核心领域:

  • Citrix 环境特定的计算机策略
    Citrix 服务器和虚拟桌面通常具有专为环境创建和部署的计算机策略。通过为服务器和虚拟机创建单独的 OU 结构,可以轻松应用这些策略。然后,可以创建特定策略,并自信地将其应用于 OU 内部和下方的计算机,而不是其他计算机。根据需求,根据服务器角色、地理位置或业务部门在 OU 结构中划分虚拟桌面和服务器。
  • Citrix 特定的用户策略
    在为 Citrix Virtual Apps and Desktops 创建策略时,将根据用户的连接应用特定于用户体验和安全性的多个策略。但是,用户的帐户可能位于 Active Directory 结构中的任何位置,这就造成了简单应用基于用户配置的策略的困难。不希望在域级别应用 Citrix 特定的配置,因为这些设置将应用于任何用户登录的每个系统。在 Citrix 服务器或虚拟桌面所在的 OU 应用用户配置设置也不起作用。用户帐户不在该 OU 中,因此设置不应用于用户。解决方案是应用环回策略。环回策略是一种计算机配置策略,强制计算机将 OU 的分配用户配置策略应用于登录到服务器或虚拟桌面的任何用户。用户在 Active Directory 中的位置不影响环回策略中应用的设置。环回处理可应用于合并或替换模式。使用替换模式将使用 Citrix 服务器或虚拟桌面 OU 中的策略覆盖整个用户组策略对象 (GPO)。合并模式将用户 GPO 与 Citrix 服务器或桌面 OU 的 GPO 结合在一起。配置合并模式时,由于计算机 GPO 是在用户 GPO 之后处理的,因此 Citrix 相关的 OU 设置具有优先级。使用合并模式时,Citrix 相关的 OU 设置将在发生冲突时应用。有关详细信息,请参阅 Microsoft 支持文章 组策略的环回处理
  • Active Directory 策略筛选
    在更高级的情况下,可能需要将策略设置应用于一小部分用户,例如 Citrix 管理员。在这种情况下,环回处理仅适用于一部分用户,而不是所有登录到系统的用户。使用 Active Directory 策略筛选可指定应用策略的特定用户或用户组。可以为特定功能创建策略。此外,可以将策略筛选器设置为仅将该策略应用于一组用户。策略筛选是使用每个目标策略的安全属性完成的。

使用 Citrix Studio 创建的 Citrix 策略具有可用的特定筛选器设置,用于解决使用组策略时不可用的策略筛选情况。使用以下筛选器的任意组合应用 Citrix 策略:

过滤器名称 过滤器说明 作用域
访问控制 根据客户端连接的访问控制条件应用策略。例如,通过 Citrix NetScaler Gateway 连接的用户可以应用特定的策略。 用户设置
客户端 IP 地址 根据用于连接到会话的用户设备的 IPv4 或 IPv6 地址应用策略。如果使用 IPv4 地址范围来避免意外结果,则必须谨慎使用此过滤器。 用户设置
客户端名称 基于从中连接会话的用户设备的名称应用策略。 用户设置
交付组 根据运行会话的桌面或服务器的交付组成员资格应用策略。 用户和计算机设置
交付组类型 基于运行会话的计算机的类型应用策略。例如,可以根据计算机是私有还是共享来设置不同的策略。 用户和计算机设置
NetScaler SD-WAN 根据会话是否通过 NetScaler SD-WAN 启动来应用策略。 用户设置
组织单位(OU) 根据运行会话的桌面或服务器的组织单位 (OU) 应用策略。 用户和计算机设置
标记 根据应用于运行会话的计算机的任何标签应用策略。标签是可以添加到 Citrix Virtual Apps and Desktops 环境中的项目(例如计算机)的字符串。这些标签可用于搜索或限制对桌面的访问。 用户和计算机设置
用户或组 基于连接到会话的用户的用户或组成员身份应用策略。 用户设置

注意:

Citrix Virtual Apps and Desktops 环境中的策略提供了适用于用户和计算机级别的设置的合并视图。在上表中,“ 范围 ” 列标识指定的筛选器是应用于用户设置、计算机设置还是两者。

决策:基准策略

基线策略包含向组织内大多数用户提供高清体验所需的所有常见元素。基线策略为用户访问以及满足用户组的特定访问要求所需的任何例外情况奠定了基础。要创建尽可能简单的策略结构,请将基线中的策略设置配置为足够全面,以容纳尽可能多的使用案例。将基线策略的优先级设置为最低优先级,例如 99。优先级为 “1” 是最高优先级。启用基准配置中的所有 Citrix 策略设置,即使这些设置使用默认值也是如此。配置这些设置定义了所需的行为,并避免了默认设置更改时的混淆。使用 Citrix 策略模板配置 Citrix 策略,以有效管理环境中的最终用户体验。Citrix Policy 模板是基准策略的一个坚实的初始起点。模板由用于在特定环境或网络条件下优化性能的各种预配置设置组成。下表显示了 Citrix Virtual Apps and Desktops 中包含的内置模板:

模板名称 说明
高服务器可扩展性 包括在单台服务器上托管更多用户时提供最佳用户体验的设置。
服务器高度可扩展性 – 旧版操作系统 与 “高服务器可扩展性” 模板相同,将此策略应用于运行旧版操作系统(如 Windows 2008R2 或 Windows 7 及更低版本)的 VDA。
针对 NetScaler SD-WAN 优化 包括为部署了 NetScaler SD-WAN 的分支办公室的用户提供优化体验的设置。
WAN 优化 包括为使用低带宽或高延迟连接的用户提供优化体验的设置。
针对广域网优化 – 旧版操作系统 与 “针对广域网优化” 模板相同,将此策略应用于运行旧版操作系统(如 Windows 2008R2 或 Windows 7 及更低版本)的 VDA。
安全性与控制 包含的设置可在用户设备上禁用对外围设备的访问、驱动器映射、端口重定向以及 Flash 加速。
超高清晰度用户体验 包括用于向用户提供高质量音频、图形和视频的设置。

有关 Citrix 策略模板的详细信息,请参阅 Citrix Docs- 策略模板

在基准策略配置中包括 Windows 策略。Windows 策略反映的设置可优化用户体验并删除 Citrix Virtual Apps and Desktops 环境中不需要或不需要的功能。在这些环境中关闭的一个常见功能是 Windows 更新。在虚拟化环境中,主要是桌面和服务器是流式传输和非持久性的,Windows Update 会产生处理和网络开销。重新启动虚拟桌面或应用程序服务器后,更新过程所做的更改不会持续存在。组织经常使用 Windows 软件更新服务 (WSUS) 来控制 Windows 更新。在这些情况下,更新将应用于主磁盘,并由 IT 部门按计划提供。

除了上述考虑事项之外,组织的最终基线策略还包括满足组织要求的设置。这些要求可能与安全性、常见网络条件或管理用户设备或用户配置文件有关。

设计决策:行政委员会

通过限制可以访问策略的用户数量来防止未经授权的访问。放松安全性可能会导致 Citrix Virtual Apps and Desktops 部署的配置详细信息泄露。限制访问的方法取决于用于配置策略的引擎。使用 Citrix Studio 作为策略引擎时,请将角色分配给组以委派管理访问权限。有关作用域和角色的更多信息,请参阅 委派管理文档

  • 使用内置管理角色
    将 Active Directory 组添加到相应角色以委派所需的控制级别。

    • 完全管理员 授予对 Citrix Virtual Apps and Desktops 站点中所有对象的读写访问权限。分配 “完全管理员” 角色时要特别注意。除了策略之外,“完全管理员” 角色还授予对整个站点中所有其他对象的读写访问权限。
    • 只读管理员为 Citrix Virtual Apps and Desktops 站点中分配的范围内的对象提供只读权限。将组分配给 “只读管理员” 角色将授予对所有策略的只读访问权限,无论分配的范围如何。
  • 创建自定义管理角色
    要更精确地控制对策略的访问,请创建自定义角色。自定义角色使管理员能够将特定任务分配给一组管理员。分配 “管理策略” 或 “查看策略” 定义以委派相应的权限。由于策略不属于特定范围,因此分配给管理员的范围不会影响对策略的访问。将 Active Directory 组添加为管理员并分配自定义角色以委派访问权限。

使用 Active Directory 组策略配置 Citrix 策略时,管理员使用组策略管理控制台委派访问权限。单个 GPO 可以包含多个 Citrix 策略。分配权限的粒度取决于 GPO 结构的设计。以每个 GPO 为基础向用户或组授予读或写访问权限。在 GPO 级别授予的访问权限将授予对在该 GPO 中配置的所有 Citrix 策略的权限。

策略设计建议

根据现场的经验,Citrix 开发了与 Citrix 策略设计相关的领先实践。主要实践将前几章中的设计决策汇总在一起。

基准策略

将未过滤的策略留空并将其设置为禁用。将未筛选的策略配置为尽可能低的优先级。优先级数越高(例如,优先级 99),优先级越低。根据公司的命名约定创建基准计算机和用户策略。确保基准策略适用于连接到 Citrix Virtual Apps and Desktops 环境的大多数用户和计算机。配置基准策略中的所有设置,即使这些设置使用默认值也是如此。

策略分层

根据最终用户的要求创建基准策略的例外情况。根据适当的筛选器分配策略例外情况。将例外策略的优先级设置为高于基准策略。创建尽可能少的策略并尽可能整合设置。定义太多的策略可能导致复杂性和意想不到的结果。

示例:

在 Citrix Virtual Apps and Desktops 部署中,不允许用户访问 Citrix 会话内端点设备上的本地驱动器。Active Directory 组成员资格允许访问本地驱动器。要实现此行为,请在基准策略中将 “客户端驱动器重定向” 设置设置为 “禁止”。创建具有较高优先级的策略,并在新策略中将 “客户端驱动器重定向” 设置设置为 “允许”。在新策略的分配中添加 Active Directory 组。只有作为 Active Directory 组成员的用户才能访问本地驱动器。默认行为是拒绝所有其他用户访问本地驱动器。

策略管理

不要混搭策略引擎。选择一个策略引擎并使用该引擎配置所有 Citrix 策略。例如,使用 Active Directory 组策略时,请勿使用 Citrix Studio 创建其他 Citrix 策略。

记录所有策略、策略设置和例外情况。使用公司内部文档格式或使用策略的描述字段跟踪更改。使用描述字段时,请使用标准化表单。例如,包括更改的日期、作者和描述: 2020-04-17 - FvdP: Disabled Client Drive Mapping according to request SR422344

使用策略描述字段获取文档

基准策略设计