Product Documentation

管理多个策略

Sep 14, 2015
可以根据用户的工作职责、地理位置或连接类型使用多个策略来满足用户的需求。例如,要遵循安全协议,可能需要对经常使用高度敏感数据的用户组设置限制。您可以创建一个这样的策略:它要求对会话应用较高级别的加密,并阻止用户在其本地客户端驱动器上保存敏感文件。但是,如果用户组中的某些人员确实需要访问其本地驱动器,则可以仅针对此类用户创建另一个策略。然后排定两个策略的优先级,以控制出现冲突时优先采用的策略。
注意:通过 AppCenter 管理策略时请注意,频繁进行更改可能会对服务器性能产生不利影响。修改策略时,XenApp 服务器会将其场组策略对象 (GPO) 的副本与数据存储进行同步,从而将所做的更改传播到场中的其他服务器。例如,如果更改了五个策略,则服务器会同步场 GPO 五次。在具有多个策略的大型场中,此频繁同步可能会导致服务器对用户请求的响应延迟。为确保服务器性能不会受到所需策略更改的影响,请安排在非使用高峰期进行所需的更改。

通常情况下,策略会覆盖针对整个服务器场、特定服务器或客户端所设置的类似设置。此原则的唯一例外情况是安全性。环境中的最高加密设置(包含操作系统及限制性最强的重影设置)通常会覆盖其他设置和策略。

Citrix 策略会与您在操作系统中设置的策略进行交互。在 XenApp 环境中,Citrix 设置会覆盖在 Active Directory 策略中配置的相同设置或使用远程桌面会话主机配置的相同设置。这包括与典型的远程桌面协议 (RDP) 客户端连接设置相关的设置(例如桌面墙纸、菜单动画以及拖动时查看窗口内容)。对于某些策略设置(例如安全 ICA),策略中的设置必须与操作系统中的设置相匹配。如果在其他位置设置了优先级更高的加密级别,则会覆盖在安全 ICA 策略中或在发布应用程序时指定的安全 ICA 策略设置。

例如,您在发布应用程序时指定的加密设置应该与环境中指定的加密设置具有相同的级别。

设定策略的优先级和创建例外情况

通过设定策略的优先级,您可以定义包含冲突设置时策略的优先级。XenApp 用于评估策略的过程如下所示:
  1. 用户登录时,会标识与连接过滤器相匹配的所有策略。
  2. XenApp 按优先级顺序对标识的策略进行排序,并比较任意设置的多个实例,以根据策略的优先级来应用该设置。

可以为策略分配不同的优先级编号,以设定其优先级。默认情况下,新策略的优先级最低。如果策略设置相冲突,则优先级较高的策略(优先级编号 1 为最高)会覆盖优先级较低的策略。设置将根据优先级以及设置处于禁用还是启动状态进行合并。任何已禁用的设置都会覆盖等级较低的已启用设置。

在为用户组、客户端设备或服务器创建策略时,您可能会发现组的部分成员需要对某些策略设置创建例外情况。可以通过以下方式创建例外情况:
  • 仅为需要使用例外情况的组成员创建策略,然后将该策略的优先级设置为高于适用于整个组的策略
  • 使用添加到策略的过滤器的拒绝模式
模式设置为拒绝的过滤器指示 XenApp 将策略应用到与过滤器条件不匹配的连接。例如,某个策略包含以下过滤器:
  • 过滤器 A 为客户端 IP 地址过滤器,指定范围 12.0.0.*,且模式设置为允许
  • 过滤器 B 为用户过滤器,指定特定的用户帐户,且模式设置为拒绝

该策略适用于使用过滤器 A 中指定范围内的 IP 地址登录到场的所有用户。但是,该策略不适用于使用过滤器 B 中指定的用户帐户登录到场的用户,即使为该用户的计算机分配的 IP 地址在过滤器 A 指定的范围内。

更改策略的优先级

  1. 从控制台树中,选择查看“Citrix 计算机策略”或“Citrix 用户策略”。
  2. 从中间窗格中,选择要设定优先级的策略。
  3. 根据需要单击提高优先级降低优先级,直至该策略达到首选级别。