Product Documentation

应用 Citrix 策略

Sep 14, 2015

将过滤器添加到策略时,该策略的设置将根据特定的条件或规则应用到连接。如果未添加过滤器,策略将应用到所有连接。

可以根据条件的组合向策略添加任意数量的过滤器。某些过滤器的可用性取决于您应用的是计算机策略还是用户策略。下表列出了可用的过滤器:

过滤器名称 过滤器说明 策略范围
访问控制 基于访问控制条件(客户端借此进行连接)应用策略。 仅限用户策略
Branch Repeater 基于用户会话是否通过 Citrix Branch Repeater 启动来应用策略。 仅限用户策略
客户端 IP 地址 基于连接会话所用的用户设备的 IP 地址应用策略。

IPv4 示例:

12.0.0.0

12.0.0.*

12.0.0.1-12.0.0.70

12.0.0.1/24

IPv6 示例:

2001:0db8:3c4d:0015:0:0:abcd:ef12

2001:0db8:3c4d:0015::/54

仅限用户策略
客户端名称 基于从中连接会话的用户设备的名称应用策略。 仅限用户策略
组织单位 基于托管会话的桌面的组织单位 (OU) 应用策略。

计算机策略

用户策略

注意:组织单位过滤器仅适用于 XenApp 场上下文中,并且只能通过 AppCenter 控制台进行配置。如果通过组策略管理编辑器管理 Citrix 策略,则此过滤器将无法使用。
用户或组 基于连接到会话的用户的用户或组成员身份应用策略。 仅限用户策略
工作组 基于托管会话的服务器的工作组成员身份应用策略。

计算机策略

用户策略

用户登录时,XenApp 会识别与连接过滤器相匹配的策略。XenApp 按优先级顺序对识别的策略进行排序,比较任意策略设置的多个实例,然后根据策略的优先级顺序来应用策略设置。用户登录到场后,XenApp 每隔 90 分钟会重新计算一次策略。

任何已禁用的策略设置都优先于级别较低的已启用规则。未配置的策略设置会被忽略。

“未过滤”策略

默认情况下,XenApp 会针对计算机和用户策略设置提供“未过滤”策略。添加到此策略的设置会应用到所有连接。

如果您在环境中使用 Active Directory,并使用组策略管理编辑器管理 Citrix 策略,则添加到“未过滤”策略中的设置将应用到该策略所在组策略对象 (GPO) 作用域内的所有场服务器和连接。例如,Sales 销售团队包含名为 Sales-US 的组策略对象,该组策略对象包含美国销售团队的所有成员。该 Sales-US 组策略对象是使用包含多项用户策略设置的“未过滤”策略进行配置的。美国的销售经理登录到场时,“未过滤”策略中的设置会自动应用到相应会话,因为该用户属于 Sales-US GPO 的成员。

如果使用 AppCenter 控制台管理 Citrix 策略,则添加到“未过滤”策略中的设置将应用到场中的所有服务器和连接。

过滤器模式

过滤器的模式可确定策略是否仅应用到与所有过滤条件相匹配的连接。如果将模式设置为允许(默认设置),策略将仅应用到与过滤条件相匹配的连接。如果将模式设置为拒绝,策略将在连接与过滤器条件不匹配时应用。下例说明了存在多个过滤器时,过滤器模式会对 Citrix 策略产生何种影响。

示例:模式不同但类型相同的过滤器

在包含两个类型相同的过滤器的策略中,一个设置为允许,一个设置为拒绝,设置为拒绝的过滤器优先级较高,假设连接可同时满足这两个过滤器的条件。例如:

策略 1 包含以下过滤器:
  • 过滤器 A 为用户过滤器,用于指定销售组,且模式设置为允许
  • 过滤器 B 为用户过滤器,用于指定销售经理的帐户,且模式设置为拒绝

由于过滤器 B 的模式设置为拒绝,因此,销售经理登录到场时不会应用该策略,即使用户属于销售组的成员也是如此。

示例:模式相同但类型不同的过滤器

在包含两个或多个类型不同但模式设置为允许的过滤器的策略中,连接必须至少满足一种类型的一个过滤器的条件,才能应用该策略。例如:

策略 2 包含以下过滤器:
  • 过滤器 C 为用户过滤器,用于指定销售组,且模式设置为允许
  • 过滤器 D 为客户端 IP 地址过滤器,用于指定 12.0.0.*(公司网络),且模式设置为允许

销售经理从办公室登录到场时,会应用该策略,因为连接同时满足这两个过滤器的条件。

策略 3 包含以下过滤器:
  • 过滤器 E 为用户过滤器,用于指定销售组,且模式设置为允许
  • 过滤器 F 为访问控制过滤器,用于指定 Access Gateway 连接条件,且模式设置为允许

销售经理从办公室登录到场时,不会应用该策略,因为连接不满足过滤器 F 的条件。

向策略添加过滤器

要基于特定条件应用策略,必须至少添加一个过滤器。如果未添加过滤器,策略将应用到所有连接。

可以使用以下方法之一添加过滤器:
  • 如果要创建新策略,可以使用“新建策略”向导
  • 如果要修改现有策略,可以使用“编辑策略”对话框的“过滤器”选项卡
  • 如果要修改现有策略,也可以使用 AppCenter 或组策略管理编辑器(位于策略列表下方)的“过滤器”选项卡
注意:在控制台上使用“过滤器”选项卡修改过滤器时,配置完所选过滤器后,所做的更改将立即应用到该策略。但是,使用“编辑策略”对话框修改过滤器时,单击“编辑策略”对话框中的确定后,所做的更改才能应用到该策略。
  1. 选择要应用的过滤器,然后单击添加
  2. 新建过滤器对话框中,单击添加添加希望 XenApp 在决定是否应该应用策略时要评估的条件。
  3. 选择过滤器的模式。
  4. 保持启用此过滤器元素复选框处于未选中状态。 这允许您在评估策略时将过滤器条件考虑在内。
  5. 单击确定保存过滤器条件。
  6. 单击确定将过滤器添加到策略中。

根据创建的策略类型,策略将在下次重新启动服务器时(如果是“计算机”策略)或下次用户登录到服务器时(如果是“用户策略”)应用。要强制立即更新,请打开命令提示窗口并键入gpupdate /force。