组策略设置

重要:

WEM 目前仅支持添加和编辑与 HKEY_LOCAL_MACHINEHKEY_CURRENT_USER 注册表配置单元关联的组策略设置。

在以前的版本中,您只能将组策略首选项 (GPP) 迁移到 Workspace Environment Management (WEM) 中。有关详细信息,请参阅 功能区 中的 迁移向导的说明。您现在还可以将组策略设置(基于注册表的设置)导入到 WEM 中。

导入设置后,在决定要分配哪个 GPO 之前,您可以拥有与每个 GPO 关联的设置的逐项视图。您可以将 GPO 分配给不同的 AD 组,就像分配其他操作一样。如果您直接将 GPO 分配给单个用户,则设置不会生效。组可以包含用户和计算机。如果相关计算机属于组,则计算机级别设置将生效。如果当前用户属于组,则用户级别设置将生效。

提示:

要使计算机级设置立即生效,请重新启动 Citrix WEM Agent Host Service。要使用户级别的设置立即生效,用户必须注销然后重新登录。

组策略设置

注意:

要使 WEM 代理能够正确处理组策略设置,请验证是否在其上启用了 Citrix WEM 用户登录服务。

启用组策略设置处理。控制是否启用 WEM 处理组策略设置。默认情况下,此选项处于禁用状态。禁用时:

  • 您无法配置组策略设置。
  • 即使组策略设置已分配给用户或用户组,WEM 也不会处理这些设置。

组策略对象列表

显示现有 GPO 的列表。使用查找按名称或描述筛选列表。

  • 刷新。刷新 GPO 列表。
  • 导入。打开 导入组策略设置 向导,该向导允许您将组策略设置导入 WEM。
  • 编辑。用于编辑现有 GPO。
  • 删除。删除您选择的 GPO。

导入组策略设置

导入组策略设置之前,请在域 Controller 上备份组策略设置:

  1. 打开组策略管理控制台。

  2. 组策略管理 窗口中,右键单击要备份的 GPO,然后选择 备份

  3. 备份组策略对象窗口中,指定要保存备份的位置。或者,您可以为备份提供描述。

  4. 单击备份以启动备份,然后单击确定

  5. 导航到备份文件夹,然后将其压缩为 zip 文件。

    注意:

    WEM 还支持导入包含多个 GPO 备份文件夹的 zip 文件。

要导入组策略设置,请完成以下步骤:

  1. 使用 WEM 服务管理选项卡上菜单中的上载,将 GPO 的 zip 文件上传到 Citrix Cloud 中的默认文件夹。

  2. 导航到管理控制台 > 操作 > 组策略设置选项卡,选择启用组策略设置处理,然后单击导入以打开导入向导。

  3. 在导入向导的要导入的文件页面上,单击浏览,然后从列表中选择适用的文件。您也可以键入文件的名称,然后单击“查 找”找到 它。

    • 覆盖您之前导入的 GPO。控制是否覆盖现有 GPO。
  4. 单击 开始导入 以启动导入过程。

  5. 导入完成后,单击完成。导入的 GPO 将显示在 组策略设置 选项卡上。

从注册表文件导入组策略设置

您可以将使用 Windows 注册表编辑器导出的注册表值转换为 GPO 以进行管理和分配。如果您熟悉注册表项提供的 “导入注册 表文件” 选项,则此功能:

在开始之前,请注意以下事项:

  • 从 zip 文件导入设置时,该文件可以包含一个或多个注册表文件。确保解压缩文件的大小不超过 30 M。
  • 每个 .reg 文件都将转换为一个 GPO。您可以将每个转换后的 GPO 视为一组注册表设置。
  • 每个转换后的 GPO 的名称都是根据相应的 .reg 文件的名称生成的。示例:如果 .reg 文件的名称为 test1.reg,则转换后的 GPO 的名称为 test1
  • 转换后的 GPO 的描述为空。它们的状态默认为已启用(复选标记图标)。

要导入组策略设置,请完成以下步骤:

  1. 在管理控制台中,转至“操作”>“组策略设置”,选择“启用组策略设置处理”,单击“导入”旁边的向下箭头,然后选择“导入注册表文件”。

  2. 在出现的向导中,浏览到注册表文件的 zip 备份。

    • 覆盖现有的 GPO。控制在发生冲突时是否覆盖现有 GPO。
  3. 单击“开始导入”。

  4. 导入完成后,单击完成。从注册表文件转换的 GPO 将显示在“组策略设置”中。

编辑组策略设置

从列表中双击某个 GPO 以获得其设置的逐项视图,并根据需要编辑设置。

要克隆 GPO,请右键单击 GPO,然后从菜单中选择 复制 。单击复制后,将自动创建克隆。克隆继承原始文件的名称,并带有后缀“-Copy”。您可以使用“编辑”来更改名称。

单击编辑后,将显示编辑组策略对象窗口。

名称。GPO 列表中显示的 GPO 名称。

说明。用于指定有关 GPO 的其他信息,该信息显示在 GPO 列表中。

注册表操作。显示 GPO 包含的注册表操作。

警告:

错误地编辑、添加和删除基于注册表的设置可能会阻止设置在用户环境中生效。

  • 添加。允许您添加注册表项。
  • 编辑。允许您编辑注册表项。
  • 删除。允许您删除注册表项。

要添加注册表项,请单击右侧的 添加 。以下设置可用:

  • 命令。允许您指定注册表项的部署顺序。

  • 操作。用于指定注册表项的操作类型。
    • 设置值。允许您为注册表项设置值。
    • 删除值。允许您删除注册表项的值。
    • 创建密钥。允许您根键和子路径的组合创建密钥。
    • 删除密钥。允许您删除注册表项下的键。
    • 删除所有值。允许您删除注册表项下的所有值。
  • 根密钥。支持的值: HKEY_LOCAL_MACHINEHKEY_CURRENT_USER

  • 子路径。没有根项的注册表项的完整路径。例如,如果 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows 是注册表项的完整路径,则 Software\Microsoft\Windows 是子路径。

  • 。允许您为注册表值指定名称。下图中突出显示的项目作为一个整体是注册表值。

    注册表编辑器中的注册表值

  • 类型。允许您为值指定数据类型。
    • REG_SZ。此类型是用于表示人类可读文本值的标准字符串。
    • REG_EXPAND_SZ。此类型是一个可扩展的数据字符串,其中包含应用程序调用时要替换的变量。例如,对于以下值,字符串“%SystemRoot%”将被操作系统中文件夹的实际位置替换。
    • REG_BINARY。任何形式的二进制数据。
    • REG_DWORD。32 位数字。此类型通常用于布尔值。例如,“0”表示已禁用,“1”表示已启用。
    • REG_DWORD_LITTLE_ENDIAN。小端格式的 32 位数字。
    • REG_QWORD。一个 64 位的数字。
    • REG_QWORD_LITTLE_ENDIAN。小端格式的 64 位数字。
    • REG_MULTI_SZ。此类型是一个多字符串,用于表示包含列表或多个值的值。每个条目都用空字符分隔。
  • 数据。允许您键入与注册表值对应的数据。对于不同的数据类型,您可能需要以不同的格式键入不同的数据。

您的更改可能需要一些时间才能生效。请牢记以下几点:

  • HKEY_LOCAL_MACHINE 注册表配置单元关联的更改将在 Citrix WEM Agent Host Service 启动或指定的 SQL 设置刷新延迟超时时生效。
  • HKEY_CURRENT_USER 注册表配置单元关联的更改在用户登录时生效。

上下文化组策略设置

您可以使用筛选器对其分配进行上下文化,从而使组策略设置有条件。筛选器包括一条规则和多个条件。仅当用户环境在运行时满足规则中的所有条件时,WEM Agent 才会应用分配的组策略设置。否则,在强制执行筛选器时,代理会跳过这些设置。

使组策略设置有条件的常规工作流程如下:

  1. 在管理控制台中,导航到“筛选器”>“条件”并定义条件。请参阅 条件

    重要:

    有关可用筛选条件的完整列表,请参阅 筛选条件。组策略设置包括用户和计算机设置。某些筛选条件仅适用于用户设置。如果将这些筛选条件应用于计算机设置,WEM Agent 将忽略筛选条件并应用计算机设置。有关不适用于计算机设置的筛选条件的完整列表,请参阅 不适用于计算机设置的筛选条件

  2. 导航到“筛选器”>“规则”并定义筛选器规则。您可以将在步骤 1 中定义的条件包括在该规则中。请参阅 规则

  3. 导航到 操作 > 组策略设置 ,然后配置组策略设置。

  4. 导航到 管理控制台 > 分配 > 操作分配 ,然后完成以下操作:

    1. 双击要向其分配设置的用户或用户组。

    2. 选择应用程序,然后单击向右箭头 (>) 以分配它们。

    3. 在“分配筛 选器”窗口中,选择您在步骤 2 中定义的规则,然后单 击“确定”。设置从“可用”窗格移至“已分配”窗格。

    4. 已分配窗格中,配置设置的优先级。键入一个整数以指定优先级。价值越大,优先级就越高。优先级较高的设置将在稍后处理,以确保它们在发生冲突或依赖关系时生效。

过滤条件不适用于计算机设置

筛选器名称 适用于计算机设置
ClientName 匹配
客户端 IP 地址匹配
注册表值匹配 如果您以 HKCU 开头配置注册表值,则 注册表值匹 配筛选器如果应用于计算机设置,则不起作用。
用户国家/地区匹配
用户 UI 语言匹配
用户 SBC 资源类型
Active Directory 路径匹配
Active Directory 属性匹配
无 ClientName 匹配
没有客户端 IP 地址匹配
无注册表值匹配
无用户国家/地区匹配
没有用户 UI 语言匹配
没有 Active Directory 路径匹配
没有 Active Directory 属性匹配
客户端远程 OS 匹配
无客户端远程操作系统匹配
Active Directory 组匹配
没有 Active Directory 组匹配
已发布的资源名称
组策略设置