Product Documentation

限制对交付组中计算机的访问

Nov 06, 2015

可以限制对交付组中的计算机的访问。无论使用何种方法,所做的任何更改都将取代以前的设置。

  • 使用作用域限制管理员的访问权限,以控制管理员对对象组的访问权限,如计算机目录、交付组和资源。可以创建并分配两个作用域,一个允许管理员访问所有应用程序,另一个仅允许访问某些特定的应用程序。
  • 通过以下方法限制用户的访问权限:
    • SmartAccess 策略表达式,过滤用户通过 NetScaler Gateway 建立的连接。您的策略管理员可以在 Studio 的“策略”节点中执行此项任务,或通过策略设置参考中所述的策略设置执行此任务。
    • 排除过滤器,适用于通过软件开发工具包 (SDK) 设置的访问策略。访问策略适用于交付组,用以对虚拟桌面连接的某些方面进行精细化设置。例如,您可以将计算机访问权限限定于在交付组的最终用户设置页面上所列的某个用户子集,并可以指定允许与计算机连接的用户设备。访问策略的结果与策略相似但不相同。

      使用排除过滤器可以进一步精细化访问策略。例如,出于业务或安全性的原因,您可以拒绝对某个用户或设备子集的访问。默认情况下,排除过滤器处于禁用状态,可以使用 SDK 进行设置。

通过范围限制管理员的访问权限

  1. 在 Studio 的交付组节点中,选择要限制的交付组。
  2. 单击编辑交付组,然后单击范围
  3. 选择现有作用域。
  4. 添加或删除要包含在此作用域中的对象。
  5. 要选择对象的子集,请单击左箭头键以显示子对象并进行选择,然后单击确定

通过 SmartAccess 策略表达式限制用户访问权限

通过 NetScaler Gateway 使用 SmartAccess 策略表达式。
  1. 在 Studio 的交付组节点下,选择要限制的交付组。
  2. 单击编辑交付组,然后单击访问策略
  3. 访问策略页面上,选择通过 NetScaler Gateway 的连接。 只允许通过 NetScaler Gateway 建立连接。
  4. 要选择这些连接的一个子集,请选择符合以下任一过滤器的连接并:
    1. 定义 NetScaler Gateway 站点。
    2. 添加、编辑或删除用于为交付组定义允许的用户访问方案的 SmartAccess 策略表达式。 有关 NetScaler Gateway 和 SmartAccess 策略表达式的详细信息,请参阅在 NetScaler Gateway 上配置 SmartAccess

通过排除过滤器限制用户访问权限

可以通过 SDK 使用排除过滤器。

在本例中,假设企业网络的子网中有一个教学实验室,您希望阻止从该实验室访问某个特定交付组,无论实验室中的计算机使用者为何人。为此,请输入以下 SDK 命令:

Set-BrokerAccessPolicy -Name VPDesktops_Direct -ExcludedClientIPFilterEnabled $True -
注意:还可以使用星号 (*) 作为通配符,来匹配以相同策略表达式开头的所有标记。例如,如果在一个计算机中添加了标记 VPDesktops_Direct,在另一个计算机中添加了标记 VPDesktops_Test,则在 Set-BrokerAccessPolicy 脚本中将标记设置为 VPDesktops_* 将同时适用于这两个计算机的过滤器。

有关使用 SDK 的详细信息,请参阅关于 XenDesktop SDK