确定策略的优先级、建模、比较和故障排除
您可以使用策略来定制您的环境,以满足用户的需求,具体如下:
- 工作职能
- 地理位置
- 连接类型
例如,为了提高安全性,可以对经常与敏感数据交互的用户组进行限制。
您还可以创建策略,禁止用户在本地客户端驱动器上保存敏感文件。对于该用户组中需要访问本地驱动器的用户,可以创建另一个策略。然后对两个策略进行排序,以控制哪个策略优先。当使用多个策略时,您必须确定:
- 如何确定政策的优先顺序
- 如何创建异常
- 当策略冲突时,如何查看有效的策略
优先考虑的政策
对策略进行优先级排序允许您在策略包含冲突设置时定义其优先级。当用户登录到系统时,将识别与连接分配匹配的所有策略。已识别的策略及其相关设置按优先级排序。每个设置都根据策略的优先级排序来应用。
为策略指定不同的优先级编号,从而对策略进行优先级排序网络工作室。缺省情况下,新建策略的优先级最低。如果策略设置之间存在冲突,优先级高的策略将覆盖优先级低的策略。优先级为1的策略优先级最高。策略设置按以下方式合并:
- 政策重点
- 以及在策略的过滤器中指定的条件
- 选择政策在网络工作室导航窗格。确保选择政策选项卡。
- 选择策略。
- 选择低优先级或更高的优先级在行动窗格。
异常
当您创建策略并使用过滤器将其分配给用户组、用户设备或计算机时,您可能会发现组中的某些成员需要某些策略设置的例外情况。您可以通过以下方式创建异常:
- 仅为需要例外的特定组成员创建策略,然后将该策略排在整个组的策略之前
- 使用否认添加到策略的分配模式
模式设置为的赋值否认仅对不符合分配标准的连接应用策略。例如,策略包括以下分配:
- 分配一个是一个客户端IP地址分配指定的范围
208.77.88。*。模式设置为允许。 - 任务B是指定特定用户帐户的用户分配。模式设置为否认。
该策略适用于所有登录到站点的用户,其IP地址在中指定的范围内分配一个。但是,该策略不适用于使用中指定的用户帐户登录到站点的用户任务B。
注意:
在分配政策步骤,如果取消选中“启用”复选框,将禁用该策略的分配。如果该策略的唯一分配被禁用,则等同于没有任何分配,因此,该策略适用于站点中的所有对象。
确定哪些策略应用于连接
有时,由于应用了多个策略,连接没有按预期响应。如果一个更高优先级的策略应用于连接,它可以覆盖您在原始策略中配置的设置。你可以计算产生的一套政策并确定如何为连接合并最终策略设置。
你可以计算产生的一套政策通过以下方式:
- 使用Citrix组策略建模向导来模拟一个连接场景,并了解如何应用Citrix策略。您可以为连接场景指定如下条件:
- 用户
- Citrix策略分配证据值
- 使用组策略结果创建一个报告,描述对给定用户和虚拟交付代理(VDA)有效的Citrix策略。
使用创建的站点策略设置网络工作室不包括在产生的一套政策当你运行Citrix组策略建模来自组策略管理控制台。以验证您获得的最全面产生的一套政策, Citrix建议启动Citrix组策略建模来自网络工作室,除非您仅使用组策略管理控制台。
使用策略建模向导
策略建模可以帮助您模拟具有过滤器的启用策略,以用于计划和测试目的。只有启用了过滤器的策略才会被建模。永远不会应用已禁用的策略,而始终应用未启用过滤器的策略。
执行以下步骤打开政策建模向导:
- 在“完全配置”中选择政策。
- 选择建模选项卡。
- 选择政策建模在操作栏中。
- 读了介绍页面并点击下一个。
- 选择用户或计算机。您可以浏览容器或特定用户或计算机。点击下一个。
- 选择你的过滤证据。您可以选择通过输入额外的细节来获得更细粒度的模拟,例如交付组,标签,客户端IP地址等等。点击下一个。
- 查看您选择的摘要并单击运行。
点击之后运行,向导生成建模结果的报告。在查看此报告时,您可以:
- 如果您想查看,请选择所有设置,电脑设置,或用户设置在下拉菜单中。
- 使用搜索栏查找特定设置。
- 单击特定设置以查看该设置的详细信息。例如,如果没有将所有用户设置应用于特定策略,则细节窗格显示未应用设置的原因。
- 点击出口以JSON格式、HTML格式或两者同时导出建模结果。
在运行策略建模之后,您可以使用更多的选项。您可以:
- 查看建模报告:这将从上面打开相同的建模报告,因此您可以再次查看它或导出它。
- 重新运行策略建模:这允许您使用先前选择的同一组标准重新运行策略建模,并生成新的建模结果。如果某些策略发生了更改,并且您希望看到这些更改如何影响当前模型,则此功能非常有用。
- 删除建模报告:删除当前的建模报告。
比较策略和模板
您可以将策略或模板中的设置与其他策略或模板中的设置进行比较。例如,您可能想要验证设置值以保持与最佳实践的遵从性。您可能还希望将策略或模板中的设置与默认设置进行比较。
- 选择政策在网络工作室导航窗格。
- 单击比较TAB,然后点击选择。
- 选择要比较的策略或模板。若要在比较中包含默认值,请选择与默认设置比较复选框。
- 点击之后比较时,以列形式显示已配置的设置。
- 要查看所有设置,请选择显示所有设置。要返回到默认视图,请选择显示常用设置。
解决政策
用户、IP地址和其他分配对象可以同时应用多个策略。这种情况可能导致冲突,其中策略的行为可能不符合预期。当你运行Citrix组策略建模向导中,您可能会发现没有任何策略应用于用户连接。在这种场景中,策略设置不适用于在符合策略评估标准的条件下连接到其应用程序和桌面的用户。这种情况发生在:
- 没有策略具有匹配策略评估标准的分配。
- 匹配分配的策略没有配置任何设置。
- 与分配匹配的策略将被禁用。
如果您希望将策略设置应用于符合指定条件的连接,请确保:
- 要应用于这些连接的策略已启用。
- 要应用的策略已配置了适当的设置。
注意:
在双跳场景的第二跳中,假设单会话OS VDA连接到多会话OS VDA。在这种情况下,Citrix策略对单会话OS VDA起作用,就像它是用户设备一样。例如,考虑将策略设置为在用户设备上缓存图像。在本例中,为双跳场景中的第二跳缓存的映像缓存在单会话OS VDA机器上。
导演
非管理员可以使用Director查看应用于用户会话的策略。