Product Documentation

应用策略

Oct 12, 2015

在将策略分配给某些用户和计算机对象时,将根据特定的条件或规则将该策略应用到连接。如果未添加分配,该策略将应用到所有连接。

一般情况下,可以根据条件组合向策略添加任意数量的分配。
注意:您只能向策略中添加一个 Citrix CloudBridge 分配。

下表列出了可用的分配:

分配名称 分配说明

访问控制

基于访问控制条件(客户端借此进行连接)应用策略。

Citrix CloudBridge

基于用户会话是否通过 Citrix CloudBridge 启动来应用策略。

客户端 IP 地址

基于用于连接到会话的用户设备的 IP 地址(IPv4 或 IPv6)应用策略。

IPv4 示例:
  • 12.0.0.0
  • 12.0.0.*
  • 12.0.0.1-12.0.0.70
  • 12.0.0.1/24
IPv6 示例:
  • 2001:0db8:3c4d:0015:0:0:abcd:ef12
  • 2001:0db8:3c4d:0015::/54

客户端名称

基于从中连接会话的用户设备的名称应用策略。

交付组

基于运行会话的桌面的交付组成员身份来应用策略。

桌面类型

基于运行会话的桌面的类型来应用策略。

组织单位

基于运行会话的桌面的组织单位 (OU) 应用策略。

标记

基于应用于运行会话的桌面的任何标记应用策略。

用户或组

基于连接到会话的用户的用户或组成员身份应用策略。

用户登录时,系统会确定与连接的分配相匹配的所有策略。确定的策略按优先级排序,并对任意设置的多个实例进行比较。根据策略的优先级应用每个设置。如果您使用的是 Active Directory,策略设置会在 Active Directory 每隔 90 分钟定期重新评估策略时更新,并在用户登录时应用。

任何已禁用的策略设置都优先于级别较低的已启用规则。未配置的策略设置会被忽略。

重要:如果使用组策略管理控制台同时配置 Active Directory 和 Citrix 策略,可能无法按预期应用分配和设置。有关详细信息,请参阅 http://support.citrix.com/article/CTX127461

未过滤的策略

默认情况下,系统会提供“未过滤”策略。添加到此策略的设置会应用到所有连接。

如果使用 Studio 来管理 Citrix 策略,添加到“未过滤”策略的设置将应用到站点中的所有服务器、桌面和连接。

如果环境中具有 Active Directory,并使用组策略编辑器管理 Citrix 策略,则添加到“未过滤”策略的设置将应用到包含该策略的组策略对象 (GPO) 作用域内的所有站点和连接。例如,Sales 销售团队包含名为 Sales-US 的组策略对象,该组策略对象包含美国销售团队的所有成员。该 Sales-US 组策略对象是使用包含多项用户策略设置的“未过滤”策略进行配置的。美国的销售经理登录到站点时,“未过滤”策略中的设置会自动应用到会话,因为该用户属于 Sales-US 组策略对象的成员。

分配模式

分配的模式决定着策略是否仅应用到符合所有分配条件的连接。如果将模式设置为允许(默认设置),策略将仅应用到符合分配条件的连接。如果将模式设置为拒绝,将在连接不符合分配条件时应用策略。下例说明了存在多个分配时分配模式对 Citrix 策略的影响。

示例:模式不同但类型相同的分配

如果策略中包含两个类型相同的分配,其中一个设置为允许,一个设置为拒绝,假设连接同时满足这两个分配,则设置为拒绝的分配优先级较高。例如:

策略 1 包含以下分配:
  • 分配 A 为用户分配,用于指定销售组,且模式设置为允许
  • 分配 B 为用户分配,用于指定销售经理的帐户,且模式设置为拒绝

由于分配 B 的模式设置为拒绝,因此即使销售经理属于销售组,在他登录到站点时也不会应用该策略。

示例:模式相同但类型不同的分配

在包含两个或多个类型不同但模式设置为允许的策略中,连接必须至少满足每种类型的一个分配,才能应用该策略。例如:

策略 2 包含以下分配:
  • 分配 C 为用户分配,用于指定销售组,且模式设置为允许
  • 分配 D 为客户端 IP 地址分配,用于指定 10.8.169.*(企业网络),且模式设置为允许

销售经理从办公室登录到站点时,会应用该策略,因为连接同时满足这两个分配。

策略 3 包含以下分配:
  • 分配 E 为用户分配,用于指定销售组,且模式设置为允许
  • 分配 F 为访问控制分配,用于指定 NetScaler Gateway 连接条件,且模式设置为允许

销售经理从办公室登录到站点时,不会应用该策略,因为连接不满足分配 F。

应用策略

要将策略仅应用到某些用户和计算机对象,必须向该策略至少添加一个分配。如果您未添加任何分配,策略设置将应用到所有连接,除非这些策略设置被具有更高优先级的策略中的设置覆盖。
  1. 从 Studio,选择左侧窗格中的策略节点。
  2. 单击策略选项卡,然后选择现有策略或创建新策略。
  3. 按照策略向导的指示进入用户和计算机页面。
  4. 选择要应用的分配,然后单击分配
  5. 分配策略对话框中,选择分配模式并配置分配元素:
    分配类型 参数
    访问控制
    • 连接类型。选择将策略应用到使用或不使用 NetScaler Gateway 建立的连接。
    • NetScaler Gateway 场名称。输入 NetScaler Gateway(之前称为 Access Gateway)虚拟服务器的名称。
    • 访问条件。输入要使用的端点分析策略或会话策略的名称。
    Citrix CloudBridge 连接。选择将策略应用到使用或不使用 Citrix CloudBridge 启动的会话。
    客户端 IP 地址 IP 地址。要应用策略的用户设备的 IP 地址。
    客户端名称 客户端名称。要应用策略的用户设备的名称。
    交付组
    • 控制器。负责管理要应用策略的桌面的控制器名称。
    • 交付组。要应用策略的交付组的名称。
    桌面类型
    桌面类型。要应用策略的桌面的类型。选择以下方法之一:
    • 专用桌面
    • 共享桌面
    • 专用应用程序
    • 共享应用程序
    组织单位 (OU) 组织单位。要应用策略的 OU 的名称。
    标记
    • 控制器。负责管理要应用策略的桌面的控制器名称。
    • 标记。在应用策略时搜索的桌面标记。
    用户或组 用户或组名称。要应用策略的用户或组的名称。

该策略将在相关用户下次建立连接时应用。

使用多个策略自定义用户的访问权限

更新日期:2015/04/26

您可以使用多个策略,以根据用户的工作职责、地理位置或连接类型来自定义您的环境,使其满足用户的需求。例如,出于安全考虑,您可能需要对经常使用高度敏感的数据的用户组设置限制。您可以创建一个这样的策略:它可以阻止用户在其本地客户端驱动器上保存敏感文件。但是,如果用户组中的某些人员确实需要访问其本地驱动器,则可以仅针对此类用户创建另一个策略。然后,您可以对这两个策略分级或设定两个策略的优先级,以控制哪个策略的优先顺序较高。

使用多个策略时,需要确定如何设定策略的优先级、如何创建例外情况,以及如何在策略冲突时查看有效的策略。

通常情况下,策略会覆盖针对整个站点、特定控制器或在用户设备上配置的相似设置。此原则的唯一例外情况是安全性。环境中的最高加密设置(包含操作系统及限制性最强的重影设置)通常会覆盖其他设置和策略。

Citrix 策略会与您在操作系统中设置的策略进行交互。在 Citrix 环境中,Citrix 设置会覆盖在 Active Directory 策略中配置的相同设置或使用远程桌面会话主机配置的相同设置。这包括与典型的远程桌面协议 (RDP) 客户端连接设置相关的设置(例如桌面墙纸、菜单动画以及拖动时查看窗口内容)。对于某些策略设置(例如安全 ICA),策略中的设置必须与操作系统中的设置相匹配。如果在其他位置设置了优先级更高的加密级别,则会覆盖在策略中或在交付应用程序和桌面时指定的安全 ICA 策略设置。

例如,在您创建交付组以便为用户提供应用程序和桌面时指定的加密设置应与在整个环境中指定的加密设置处于相同的级别。

设定策略优先级并创建例外

通过设定策略的优先级,您可以定义包含冲突设置时策略的优先级。用于评估策略的过程如下所示:
  1. 用户登录时,系统会确定与连接的分配相匹配的所有策略。
  2. 确定的策略按优先级排序,并对任意设置的多个实例进行比较。根据策略的优先级应用每个设置。

可以为策略分配不同的优先级编号,以设定其优先级。默认情况下,新策略的优先级最低。如果策略设置相冲突,则优先级较高的策略(优先级编号 1 为最高)会覆盖优先级较低的策略。设置会根据优先级和设置情况(例如设置处于禁用还是启用状态)进行合并。任何已禁用的设置都会覆盖等级较低的已启用设置。未配置的策略设置会被忽略,而且不会覆盖等级较低的设置的设置。

在为用户组、用户设备或计算机创建策略时,您可能会发现需要针对某些策略设置为组的部分成员创建例外。可以通过以下方式创建例外情况:
  • 仅为需要使用例外情况的组成员创建策略,然后将该策略的优先级设置为高于适用于整个组的策略
  • 为添加到策略的分配使用拒绝模式
如果将分配设置为拒绝模式,则只会对不符合分配条件的连接应用策略。例如,某个策略包含以下分配:
  • 分配 A 为客户端 IP 地址分配,指定范围 208.77.88.*,且模式设置为允许
  • 分配 B 为用户分配,指定特定的用户帐户,且模式设置为拒绝

该策略适用于使用分配 A 中指定范围内的 IP 地址登录到站点的所有用户。但是,该策略不适用于使用分配 B 中指定的用户帐户登录到站点的用户,即使为该用户的计算机分配的 IP 地址在分配 A 指定的范围内。