Assignments
使用分配可使操作对您的用户可用。 这样可以替换用户登录脚本的一部分。
分配目标
通过“分配目标”页可以添加用户和组(目标),以便为他们分配操作和安全规则。 选择一个目标来管理其分配。
注意:
将 SID 转换为目标名称可能需要一些时间。 如果转换不正确或失败,请通过查看 Cloud Connector 的运行状况来验证 Cloud Connector 是否正常运行。 如果问题仍然存在,请联系 Citrix 技术支持。
有两个内置目标:
-
所有人。 包含所有用户(包括匿名用户和访客)的内置组。 成员资格由操作系统控制。
-
管理员。 包含管理员组所有成员的内置组。 初始安装操作系统后,该组的唯一成员是管理员帐户。 当计算机加入域时,域管理员组将添加到管理员组中。 当服务器成为域控制器时,企业管理员组将添加到管理员组中。
可供您选择的选项包括:
-
过滤。 允许您筛选列表。
-
添加分配目标。 允许您添加目标。
-
刷新。 更新目标列表。
-
查看。 让您查看内置目标的详细信息。
-
管理任务。 让您管理 操作 和 安全规则
-
编辑。 用于编辑目标。 您可以更改其说明、优先级和启用状态。 配置优先级时,请考虑以下事项:优先级决定了您分配的操作的处理顺序。 价值越大,优先级就越高。 键入整数。 如果存在冲突,优先级较高的目标将占上风。
-
启用。 允许您启用或禁用对象(目标)。
-
删除。 允许您删除目标。 注意:不会删除内置目标。
提示:
通过使用“状态”列中的切换开关,可以快速启用或禁用目标。
添加分配目标
要添加分配,请执行以下步骤:
-
在“分配目标”页面上,单击“添加分配目标”。
-
选择身份提供商。
-
选择要添加的目标所在的域。
-
选择目标类型。
注意:
对于 Active Directory 和 Azure Active Directory,您可以将搜索范围缩小到用户或安全组。 对于 Active Directory,您也可以选择组织单位。 请记住,只能将 组策略设置 分配给组织单位。
-
在搜索框中,输入要添加的目标的名称。 输入名称时,菜单中将显示匹配项。
注意:
搜索仅返回前 50 个结果。 如有必要,请细化搜索。
-
单击加号图标以添加目标。 已添加的目标将显示一个绿色的复选标记图标。)
提示:
如果要添加来自其他身份提供商的目标,请切换到其他身份类型以继续。
-
完成后,单击“添加”以添加目标并退出向导。
管理目标的分配
要管理目标的分配,请执行以下步骤:
-
在“分配目标”页面上,选择目标。 如果需要,使用搜索框快速找到目标。
-
在操作栏中,选择“管理分配”。 将出现“管理分配”窗口。
-
根据需要管理每个动作的分配或安全规则。 您还可以在 管理安全规则分配 页面下选择 权限提升 规则来分配目标。
-
单击“查看更改”以验证您是否按预期进行了更改。
克隆分配目标
要克隆分配目标,请执行以下步骤:
- 在“分配目标”页面上,选择目标。 如果需要,使用搜索框快速找到目标。
- 在操作栏中,选择“克隆”。 将出现“克隆分配目标”窗口。
- 选择要将目标克隆到的配置集。
- 单击“克隆”。
注意:
- 您无法克隆内置目标。
- 一次最多可以克隆 10 个目标。
- 如果目标中已存在目标,则跳过该目标。
- 克隆目标的描述为空。 它们的分配未被克隆,其优先级设置为默认值 (100),其状态默认为启用(复选标记图标)。
过滤器
注意:
- 此功能可作为预览版使用。
- 过滤器用于分配和脚本化任务。
“过滤器”页面允许您添加筛选器,以控制何时将操作分配给用户。 一个过滤器可以包含多个条件。
有一个内置的过滤器:
- 始终为 true。 如果选中,则始终将相关操作分配给目标用户。 您无法编辑或删除此内置筛选器。
可供您选择的选项包括:
-
添加筛选器。 允许您添加筛选器,以便在分配操作时可以使用该筛选器。
-
管理条件。 允许您添加、删除和编辑条件。
-
刷新。 更新筛选器列表。 使用此选项还会刷新“管理条件”中的条件列表。
-
编辑。 允许您编辑筛选器。 如果您编辑的筛选器绑定到分配给用户的操作,则更改将立即影响这些用户。
-
删除。 允许您删除筛选器。
-
状态。 允许您启用或禁用筛选器。
添加筛选器
要添加过滤器,请执行以下步骤:
-
在“筛选器”页面上,单击“添加筛选器”。
-
在“基本信息”中,配置以下内容,然后单击“下一步”。
- 筛选器名称。 输入筛选器的名称。
- 说明。 输入筛选器的描述,以帮助您从其他筛选器中识别它。 此字段为可选字段。
- 启用此筛选器。 选择“是”以启用筛选器,或选择“否”禁用筛选器。
-
在条件中,通过添加条件来构建过滤器。 单击运算符在全部匹配(AND 运算符)或任意匹配(OR 运算符)之间切换。 您可以使用这两个运算符将两个或多个条件组合成一个复合条件。
- 添加条件。 从列表中选择条件或创建新条件。
- 添加条件组。 使用相同的逻辑运算符(AND 或 OR)添加条件组以对一系列条件进行分组。 您可以在条件组中添加条件组。 您最多可以嵌套三个级别的条件组。
注意:
- 您在此处创建的条件可用于其他筛选条件。
- 使用“摘要”部分可以更深入地了解复合条件的标准。
- 仅在版本为 2210.2.0.1 或更高版本的代理上评估包含 OR 运算符的过滤器。
- 某些类型的条件仅适用于用户设置。 如果将它们应用于计算机设置(例如,脚本任务和 GPO),则代理在评估筛选器时会跳过它们。 有关不适用于计算机设置的筛选条件的完整列表,请参阅 不适用于计算机设置的条件。
-
完成后单击“完成”。
创建条件
您可以在添加筛选条件或管理条件时创建条件。 在出现的“创建条件”向导中,执行以下步骤:
-
输入条件名称。
-
选择“是”以启用该条件,或选择“否”禁用该条件。
-
从列表中选择一种状况类型,然后相应地配置设置。
不同的状况类型可能有不同的设置。 以下状况类型可供选择:
状况类型 | 说明 |
---|---|
始终为 true | 条件始终成立。 |
Active Directory 属性 | True 或 false,具体取决于属性名称是否与指定值匹配。 输入属性值,用分号 (;) 分隔。 注意:如果不管属性值如何,您都希望条件保持为 true,请输入问号 (?)。 |
Active Directory 组 | True 或 false,具体取决于组名是否与指定值匹配。 输入组名,以分号 (;) 分隔。 |
Active Directory 路径 | True 或 false 取决于路径是否与指定值匹配。 输入路径,用分号 (;) 分隔。 注意:您可以使用星号 (*) 作为通配符。 |
Active Directory 站点 | True 或 false,具体取决于站点名称是否与指定值匹配。 输入站点名称,以分号 (;) 分隔。 |
Citrix Provisioning 映像模式 | True 或 false,具体取决于映像模式是 共享 模式还是 私有。 |
Citrix Virtual Apps 场名称 | True 或 false,具体取决于场名称是否与指定值匹配。 |
Citrix Virtual Apps 版本 | True 或 false 取决于版本是否与指定值匹配。 |
Citrix Virtual Apps 区域名称 | True 或 false,具体取决于区域名称是否与指定值匹配。 |
Citrix Virtual Desktops 桌面组名称 | True 或 false,具体取决于桌面组名称是否与指定值匹配。 |
Citrix Virtual Desktops 场名称 | True 或 false,具体取决于场名称是否与指定值匹配。 |
客户端 IP 地址 | 根据 IP 地址是否与指定值匹配,对还是错。 |
客户端名称 | True 或 false,具体取决于客户端名称是否与指定值匹配。 输入客户机名称,用分号 (;) 分隔。 您可以使用星号 (*) 作为通配符。 您也可以使用 动态令牌。 |
客户端 OS | True 或 false,具体取决于客户端操作系统是否与指定值匹配。 |
客户机远程操作系统 | True 或 false,具体取决于客户端远程操作系统是否与指定值匹配。 |
计算机名 | True 或 false,具体取决于计算机名称是否与指定值匹配。 输入计算机名,以分号 (;) 分隔。 您可以使用星号 (*) 作为通配符。 |
连接状态 | True 或 false,具体取决于连接状态是“联 机”还是“脱机”。 |
日期和时间 | True 或 false,具体取决于日期和时间是否与指定值匹配。 输入日期或日期范围,以分号 (;) 分隔。 按以下格式输入日期:mm/dd/yyyy 。 按以下格式输入日期范围(时间可选)、 mm/dd/yyyy HH:mm - mm/dd/yyyy HH:mm 。 |
一周中的某一天 | True 或 false,具体取决于日期是否与指定值匹配。 |
动态值 | True 或 false 取决于动态值是否与指定值匹配。 输入动态表达式解析为的值,以分号 (;) 分隔。 注意:如果不管动态表达式的值如何,都希望条件保持为 true,请输入问号 (?)。 |
环境变量 | True 或 false 取决于环境变量是否与指定值匹配。 输入环境变量的值,用分号 (;) 分隔。 注意:如果不管环境变量的值如何,您都希望条件保持为 true,请输入问号 (?)。 |
文件版本 | True 或 false,具体取决于文件版本是否与指定值匹配。 输入文件版本,以分号 (;) 分隔。 |
文件/文件夹存在或不存在 | True 或 false,具体取决于路径是否与指定值匹配。 输入文件或文件夹的完整路径。 路径不得包含任何引号(“)。 您可以使用 动态令牌。 |
IP 地址 | 根据 IP 地址是否与指定值匹配,对还是错。 输入 IP 地址或 IP 地址范围,用分号 (;) 分隔。 注意:您可以使用星号 (*) 作为通配符。 |
名字是否在列表中 | True 或 false,具体取决于名称是否在指定的列表中。 在“名称”字段中,输入要在列表中查找的名称。 在 XML 列表的文件路径字段中 ,输入 XML 列表的完整文件路径。 |
名称/值是否在列表中 | True 或 false,具体取决于名称或值是否在指定的列表中。 在“名称”字段中,输入要在列表中查找的名称或值。 在 XML 列表的文件路径字段中 ,输入 XML 列表的完整文件路径。 |
网络连接状态 | True 或 false 取决于网络连接状态是“可用”还是“不可用”。 |
操作系统平台类型 | 对还是错,具体取决于操作系统平台类型是 x86 还是 x64。 |
已发布的资源名称 | True 或 false,具体取决于名称是否与指定值匹配。 输入已发布的资源名称,以分号 (;) 分隔。 |
注册表值 | True 或 false,具体取决于注册表值是否与指定值匹配。 在 注册表路径和名称 字段中,输入包含注册表值名称的完整路径。 在“注册表值”字段中,输入以分号 (;) 分隔的注册表值。 注意:如果不管注册表项的值如何,都希望条件保持为 true,请输入问号 (?)。 |
转换程序模式状态 | True 或 false 取决于状态是“禁 用”还是“已启用”。 |
区域格式 | True 或 false,具体取决于格式是否与指定值匹配。 如有必要,使用 添加不在列表中的值 选项输入以分号 (;) 分隔的 ISO 语言代码。 |
用户 SBC 资源类型 | True 或 false 取决于类型是“桌面”还是“已发布应用程序”。 |
用户 UI 语言 | True 或 false 取决于语言是否与指定值匹配。 |
WMI 查询 | True 或 false 取决于指定的查询是否有结果。 Windows 管理工具 (WMI) 查询操作可以在代理计算机上运行查询。 您可以根据查询返回的结果定义此条件。 有关详细信息,请参阅 Microsoft 文档:https://docs.microsoft.com/en-us/windows/win32/wmisdk/querying-with-wql。 |
使用“客户端”和“计算机”相关的条件时,请注意以下两种情况:
- 如果代理安装在单会话或多会话操作系统上:
- “客户端”是指连接到代理主机的客户端设备。
- “计算机”和“客户端远程”是指代理主机。
- 如果代理安装在物理端点上,则条件名称中包含“客户端”的条件将不适用。
更多信息
条件不适用于计算机设置
有两种类型的设置:
- 计算机设置。 这些设置仅适用于计算机,无论谁登录计算机。 示例:组策略设置和脚本任务。
- 用户设置。 这些设置仅适用于用户,无论他们登录到哪台计算机。 示例:用户的语言设置。
以下条件不适用于计算机设置。 如果筛选器包含其中任何一个,则代理在评估筛选器时会跳过它们。
筛选器名称 | 适用于计算机设置 |
---|---|
ClientName 匹配 | 否 |
客户端 IP 地址匹配 | 否 |
注册表值匹配 | 如果您以 HKCU 开头配置注册表值,则 注册表值匹 配筛选器如果应用于计算机设置,则不起作用。 |
用户国家/地区匹配 | 否 |
用户 UI 语言匹配 | 否 |
用户 SBC 资源类型 | 否 |
Active Directory 路径匹配 | 否 |
Active Directory 属性匹配 | 否 |
ClientName 不匹配 | 否 |
没有客户端 IP 地址匹配 | 否 |
无注册表值匹配 | 否 |
无用户国家/地区匹配 | 否 |
没有用户 UI 语言匹配 | 否 |
没有 Active Directory 路径匹配 | 否 |
没有 Active Directory 属性匹配 | 否 |
客户端远程 OS 匹配 | 否 |
无客户端远程操作系统匹配 | 否 |
Active Directory 组匹配 | 否 |
没有 Active Directory 组匹配 | 否 |
已发布的资源名称 | 否 |
分配组
此功能允许您向组添加操作和应用程序安全性,包括 GPO 和 JSON 文件,并选择要部署的分配目标。 过滤器和选项等分配详细信息在单个项目级别上进行管理。 现在,您可以为与特定目标关联的所有分配设置单个过滤器。 当您向组添加新项目时,这些项目的分配将自动生成,允许您查看分配详细信息并进行必要的调整。
创建分配组
要创建分配组,请完成以下步骤。
- 输入分配组的名称和说明。
- 单击“添加”,然后在“配置组内容”页面上选择需要包含在组中的所需操作。
- 从下拉列表中选择分配目标。
- 您可以复制、粘贴所需配置并将其应用于选项卡上的所有分配。
注意:
- 如果组中的某个项目已从下拉列表中分配给指定目标,则所选目标将更新分配。 您可以在分配详细信息页面中进一步配置每个分配目标的分配详细信息。
- 如果已将组分配给组织单位,则该组不能包含除组策略设置以外的项目。
- 要添加虚拟驱动器,必须手动选择驱动器号。
使用安全规则创建任务组
现在,您可以使用安全规则创建任务组。 按照与 相同的步骤为此功能创建一个分配组 。 您还可以在 配置组内容 页面下配置 权限提升 规则。
注意:
默认规则不能包含在分配组中,并且不会显示在 配置组内容 页面中。
使用导出的设置创建分配组
要使用导出的设置创建分配组,请将导出的设置导入 WEM 操作并完成以下步骤:
-
首先,上传包含转换后设置的 ZIP 文件。
-
单击 导入 以保存当前配置集中选定的设置/项目并使用它们创建分配组。
-
将当前分配组分配给选定的分配目标。
-
刷新代理主机设置以立即应用更改。
查看分配组
-
要查看分配组,请将其选中,然后在操作栏中单击“查看”。
- 您可以在“内容”选项卡上查看项目类别以及表格的选定类别中列出的项目。
- 在“分配”选项卡上,您可以列出分配给该组的分配目标。
编辑分配组
-
要编辑分配组,请将其选中,然后在操作栏中单击“编辑”。
-
在内容选项卡中,编辑分配组的名称、说明和内容。
-
在“分配”选项卡中,您可以添加或移除分配目标。 您还可以编辑每个目标的分配详细信息。
删除分配组
要删除分配组,请选择该分配,然后在操作栏中单击“删除”。