Product Documentation

使用 Citrix 策略

Sep 14, 2015

要控制用户访问或会话环境,请配置 Citrix 策略。Citrix 策略是控制连接、安全性和带宽设置最有效的方法。

您可以针对特定用户组、设备或连接类型创建策略。每个策略可以包含多个设置。

可以通过 Windows 中的组策略管理控制台或 XenApp 中的 AppCenter(以前称为“交付服务控制台”)来处理策略。用于执行此操作的控制台或工具取决于您所在的网络环境是否包含 Microsoft Active Directory,以及您是否拥有管理组策略对象 (GPO) 所需的相应权限。

使用组策略管理编辑器

如果所用网络环境中包含 Active Directory,并且您拥有管理组策略所需的相应权限,请使用组策略管理编辑器为环境中的 XenApp 服务器创建策略。您配置的设置将影响通过组策略管理控制台所指定的 GPO。

使用 AppCenter

如果所用环境中包含其他目录服务(例如 Novell Domain Services for Windows),或者您是 Citrix 管理员,但不具有管理组策略所需的权限,请使用 AppCenter 为场创建策略。您配置的设置存储在数据存储中的场 GPO 中。

策略处理与优先级

组策略设置的处理顺序如下:
  1. 本地 GPO
  2. XenApp 场 GPO(存储在场数据存储中)
  3. 站点级 GPO
  4. 域级 GPO
  5. 组织单位
但如果存在冲突,最后处理的策略设置可以重写先前处理的策略设置。这意味着策略设置的优先级顺序如下:
  1. 组织单位
  2. 域级 GPO
  3. 站点级 GPO
  4. XenApp 场 GPO(存储在场数据存储中)
  5. 本地 GPO

例如,Citrix 管理员通过 AppCenter 创建了一个策略(策略 A),用以为公司销售员工启用客户端文件重定向。与此同时,另一个管理员通过组策略管理编辑器也创建了一个策略(策略 B),用以为公司销售员工禁用客户端文件重定向。当销售员工登录该场时,将应用策略 B,而忽略策略 A。这是因为策略 B 是在域级别处理的,而策略 A 是在 XenApp 场 GPO 级别处理的。

但请注意,当用户启动 ICA 或远程桌面协议 (RDP) 会话时,Citrix 会话设置将覆盖在 Active Directory 策略中或使用远程桌面会话主机配置配置的相同设置。这包括与典型的 RDP 客户端连接设置相关的设置(例如桌面墙纸、菜单动画以及拖动时查看窗口内容)。

Active Directory 功能级别

Citrix 策略可以用在至少以 Windows 2000 域功能级别运行的 Active Directory 环境中。为确保在计算策略结果集时在报告中包含 Citrix 策略设置,林中必须至少存在一个运行 Windows Server 2003 的域控制器。

Citrix 策略工作流程

策略的配置过程如下:

  1. 创建策略。
  2. 配置策略设置。
  3. 通过添加过滤器将策略应用于连接。
  4. 设定策略的优先级。
  5. 通过运行 Citrix 组策略建模向导确认有效策略。

导航 Citrix 策略和设置

在 Active Directory 中,策略设置主要分为两大类:计算机配置和用户配置。计算机配置设置与服务器有关,与登录的用户无关。用户配置设置与访问服务器的用户有关,与其登录的服务器无关。

XenApp 策略和设置划分的类别相似:计算机和用户。计算机策略设置与 XenApp 服务器有关,在服务器重新启动时应用。用户策略设置与用户会话有关,在会话期间应用。

访问策略和设置

在 AppCenter 控制台中,可以单击控制台树中的策略节点,然后在中间窗格中选择计算机用户选项卡,来访问策略和设置。在组策略管理编辑器中,可以在树窗格中的计算机配置用户配置下单击 Citrix 策略节点,来访问策略和设置。

“计算机”和“用户”选项卡各显示一个已创建的策略的列表。在此列表下,显示以下选项卡:
  • 摘要显示当前为所选策略配置的设置和过滤器
  • Settings(设置)按类别显示所选策略的可用设置和已配置设置
  • 过滤器显示所选策略的可用过滤器和已配置过滤器

搜索策略和设置

从这些控制台中,可以搜索创建的策略及其设置和过滤器。所有搜索均按照您键入的名称查找项目。可以从以下位置执行搜索:
  • 要搜索策略,请使用 Citrix 策略列表旁边的搜索工具
  • 要搜索设置,请使用设置选项卡上的搜索工具
  • 要搜索过滤器,请使用过滤器选项卡上的搜索工具
可以通过以下方法改进搜索:
  • 设置过滤器选项卡上的 Settings to show(要显示的设置)框中,选择一个产品版本,以仅显示该版本中支持的设置或过滤器。
  • 设置过滤器选项卡上,分别选择活动设置活动过滤器,以仅搜索已添加到所选策略的设置或过滤器。
  • 设置选项卡上,选择一种类别(例如客户端自动重新连接带宽,以仅搜索属于该类别的设置。

要搜索设置或过滤器的完整目录,请选择所有设置所有过滤器

创建 Citrix 策略

创建策略之前,请先确定希望该策略能够影响到的用户组或设备。您可能希望基于用户工作职责、连接类型、客户端设备或地理位置来创建策略。也可以使用用于 Windows Active Directory 组策略的条件。

如果您已创建应用到某个组的策略,请考虑编辑该策略并配置适当的设置,而不是创建另一个策略。请避免单纯为了启用特定设置或拒绝将该策略应用到特定用户而创建新策略。

可以使用以下方法创建策略:
  • 使用“新建策略”向导创建新策略
  • 基于策略模板中包含的设置创建新策略

使用“新建策略”向导创建新策略

通过“新建策略”向导,您能够创建新的空策略,可以向这些空策略添加所需的设置。

  1. 打开用于管理 Citrix 策略的控制台:
    • 在 AppCenter 中,选择左侧窗格中的策略节点,然后选择计算机用户选项卡。
    • 在组策略管理编辑器中,从导航窗格中选择 Citrix 策略节点。
  2. 单击新建策略

    系统将显示“新建策略”向导。

  3. 输入策略名称以及说明(可选)。请考虑根据受影响的用户或对象来命名策略;例如,“Accounting Department”或“Remote Users”。
  4. 选择要配置的策略设置。
  5. 选择要应用到策略的过滤器。
  6. 选择使策略保持启用状态或清除启用此策略复选框以禁用策略。

    启用策略可允许其立即应用到登录场的用户。禁用策略可阻止应用策略。如果您过后需要设定策略的优先级或添加设置,请考虑禁用策略,直至准备好将其应用到用户。

基于模板创建新策略

默认情况下,新策略中包含的所有设置与原始模板相同。但是,您可以选择接受这些设置,也可以根据需要对新策略进行自定义。

  1. 打开用于管理 Citrix 策略的控制台:
    • 在 AppCenter 中,选择左侧窗格中的策略节点,然后选择计算机用户选项卡。
    • 在组策略管理编辑器中,从导航窗格中选择 Citrix 策略节点。
  2. 单击模板选项卡,然后选择创建策略时要基于的模板。
  3. 单击新建策略

    系统将显示“新建策略”向导。

  4. 为新策略输入一个唯一的名称,或者接受 XenApp 自动生成的默认名称。
    注意:如果您输入的名称正由现有策略使用,则不创建任何策略。系统将保留您选择的设置,但您必须重新运行策略向导。如果您使用 Copy-Item PowerShell cmdlet 基于模板创建策略,并指定了与现有策略相同的名称,-Force 选项将允许您将所选设置合并到现有策略中。
  5. 选择是否要对策略进行自定义。如果选择不对策略进行自定义,请继续执行步骤 7。
  6. 如果选择对策略进行自定义,请添加或删除所需的设置。
  7. 为新策略选择并配置一个过滤器。
  8. 选择使策略保持启用状态或清除启用此策略复选框以禁用策略。

    启用策略可允许其立即应用到登录场的用户。禁用策略可阻止应用策略。如果您过后需要设定策略的优先级或添加设置,请考虑禁用策略,直至准备好将其应用到用户。