Product Documentation

自定义配置了多个策略的环境

Nov 06, 2015

您可以使用多个策略,以根据用户的工作职责、地理位置或连接类型来自定义您的环境,使其满足用户的需求。例如,出于安全考虑,您可能需要对经常使用高度敏感的数据的用户组设置限制。您可以创建一个这样的策略:它可以阻止用户在其本地客户端驱动器上保存敏感文件。但是,如果用户组中的某些人员确实需要访问其本地驱动器,则可以仅针对此类用户创建另一个策略。然后,您可以对这两个策略分级或设定两个策略的优先级,以控制哪个策略的优先顺序较高。

使用多个策略时,需要确定如何设定策略的优先级、如何创建例外情况,以及如何在策略冲突时查看有效的策略。

通常情况下,策略会覆盖针对整个站点、特定控制器或在用户设备上配置的相似设置。此原则的唯一例外情况是安全性。环境中的最高加密设置(包含操作系统及限制性最强的重影设置)通常会覆盖其他设置和策略。

Citrix 策略会与您在操作系统中设置的策略进行交互。在 Citrix 环境中,Citrix 设置会覆盖在 Active Directory 策略中配置的相同设置或使用远程桌面会话主机配置的相同设置。这包括与典型的远程桌面协议 (RDP) 客户端连接设置相关的设置(例如桌面墙纸、菜单动画以及拖动时查看窗口内容)。对于某些策略设置(例如安全 ICA),策略中的设置必须与操作系统中的设置相匹配。如果在其他位置设置了优先级更高的加密级别,则会覆盖在策略中或在交付应用程序和桌面时指定的安全 ICA 策略设置。

例如,在您创建交付组以便为用户提供应用程序和桌面时指定的加密设置应与在整个环境中指定的加密设置处于相同的级别。

设定策略优先级并创建例外

通过设定策略的优先级,您可以定义包含冲突设置时策略的优先级。用于评估策略的过程如下所示:
  1. 用户登录时,系统会确定与连接的分配相匹配的所有策略。
  2. 确定的策略按优先级排序,并对任意设置的多个实例进行比较。根据策略的优先级应用每个设置。

可以为策略分配不同的优先级编号,以设定其优先级。默认情况下,新策略的优先级最低。如果策略设置相冲突,则优先级较高的策略(优先级编号 1 为最高)会覆盖优先级较低的策略。设置会根据优先级和设置情况(例如设置处于禁用还是启用状态)进行合并。任何已禁用的设置都会覆盖等级较低的已启用设置。未配置的策略设置会被忽略,而且不会覆盖等级较低的设置的设置。

在为用户组、用户设备或计算机创建策略时,您可能会发现需要针对某些策略设置为组的部分成员创建例外。可以通过以下方式创建例外情况:
  • 仅为需要使用例外情况的组成员创建策略,然后将该策略的优先级设置为高于适用于整个组的策略
  • 为添加到策略的分配使用拒绝模式
如果将分配设置为拒绝模式,则只会对不符合分配条件的连接应用策略。例如,某个策略包含以下分配:
  • 分配 A 为客户端 IP 地址分配,指定范围 208.77.88.*,且模式设置为允许
  • 分配 B 为用户分配,指定特定的用户帐户,且模式设置为拒绝

该策略适用于使用分配 A 中指定范围内的 IP 地址登录到站点的所有用户。但是,该策略不适用于使用分配 B 中指定的用户帐户登录到站点的用户,即使为该用户的计算机分配的 IP 地址在分配 A 指定的范围内。