创建政策
在创建策略之前,确定它可能影响哪一组用户或设备。您可能希望创建基于用户工作功能、连接类型、用户设备或地理位置的策略。
如果已经创建了应用于组的策略,请考虑编辑该策略,而不是创建另一个策略。编辑策略后,配置适当的设置。避免仅为了启用特定设置或将策略排除在某些用户之外而创建策略。
在创建策略时,可以基于策略模板中的设置并根据需要自定义设置。您也可以在不使用模板的情况下创建它,并添加所需的所有设置。
在Citrix Studio中,创建的新策略被设置为禁用,除非使政策复选框被显式选中。
策略设置
策略设置可以启用、禁用或不配置。默认情况下,没有配置策略设置,这意味着没有将它们添加到策略中。只有将设置添加到策略中时才应用这些设置。
某些策略设置可能处于以下状态之一:
- 允许或禁止允许或阻止由设置控制的动作。有时允许或阻止用户在会话中管理设置的操作。例如,如果菜单动画设置设置为允许,则用户可以在其客户端环境中控制菜单动画
- 启用或禁用打开或关闭设置。如果禁用某项设置,则在较低级别策略中不会启用该设置。
此外,一些设置控制依赖设置的有效性。例如,客户端驱动器重定向控制是否允许用户访问其设备上的驱动器。这个设置和客户端网络驱动器设置必须添加到策略中,以允许用户访问其网络驱动器。如果客户端驱动器重定向设置是禁用的,用户不能访问他们的网络驱动器,即使客户端网络驱动器启用设置。
通常,影响计算机的策略设置更改在重启虚拟桌面或用户登录时生效。影响用户的策略设置更改将在用户下次登录时生效。
对于某些策略设置,您可以在向策略添加设置时输入或选择一个值。通过选择“使用默认值”,可以限制该设置的配置。此选择禁用设置的配置,并允许在应用策略时仅使用设置的默认值。此选择与选择“使用默认值”之前输入的值无关。
作为最佳实践:
- 将策略分配给组而不是单个用户。如果将策略分配给组,则在向组中添加或删除用户时将自动更新分配。
- 禁用未使用的策略。没有添加设置的策略会创建不必要的处理。
政策的作业
在创建策略时,将其分配给某些用户和机器对象。该策略根据特定的标准或规则应用于连接。通常,您可以根据标准组合向策略添加任意数量的分配。如果未指定任何分配,则该策略将应用于所有连接。
如果未指定任何分配,或指定了分配但禁用了分配,则该策略应用于所有连接。
注意:
策略分配也称为策略过滤器。有关其他信息,请参见以下主题:
下表列出了可用的作业:
| 任务名称 | 应用策略 |
|---|---|
| 访问控制 | 访问控制条件,客户端通过这些条件进行连接。连接类型—是否对使用或不使用NetScaler网关的连接应用策略。NetScaler网关场名称- NetScaler网关虚拟服务器的名称。准入条件—要使用的端点分析策略或会话策略名称。 |
| Citrix SD-WAN | 用户会话是否通过思杰SD-WAN发起。注意:一个策略中只能添加一个Citrix SD-WAN分配。 |
| 客户端IP地址 | 用于连接会话的用户设备IP地址:IPv4举例:12.0.0.0、12.0.0。*, 12.0.0.1-12.0.0.70, 12.0.0.1/24;IPv6举例:2001:0db8:3c4d:0015:0:0:abcd:ef12, 2001:0db8:3c4d:0015::/54 |
| 客户端名称 | 用户设备的名称。精确匹配:ClientABCName。使用通配符:客户端*名称。 |
| 交付组 | 交付组成员。 |
| 交付组类型 | 桌面或应用类型:私有桌面、共享桌面、私有应用、共享应用。 |
| 组织单位(OU) | 组织单元。 |
| 标签 | 标签。注意:将此策略应用于所有标记的机器。应用程序标签不包括在内。 |
| 用户或组 | 用户名或组名。 |
当用户登录时,将标识与该连接的分配相匹配的所有策略。这些策略按优先级排序,并比较任何设置的多个实例。每个设置都根据策略的优先级排序来应用。任何禁用的策略设置优先于启用的低级别设置。未配置的策略设置将被忽略。
重要的是:
在使用组策略管理控制台配置Active Directory和Citrix策略时,分配和设置可能不会按预期应用。有关更多信息,请参见CTX127461.
默认情况下提供名为“Unfiltered”的策略。
- 如果使用Web Studio管理Citrix策略,则添加到未过滤策略的设置将应用于站点中的所有服务器、桌面和连接。
- 站点和连接必须在包含该策略的gpo (Group Policy Objects)的范围内。例如,销售OU包括一个名为Sales-US的GPO,其中包括美国销售团队的所有成员。Sales-US GPO配置了一个包含多个用户策略设置的未过滤策略。当美国销售经理登录到站点时,Unfiltered策略中的设置将自动应用到会话。此配置是因为用户是Sales-US GPO的成员。
分配的模式决定是否只将策略应用于匹配所有分配标准的连接。如果模式设置为允许(默认值),则该策略仅应用于符合分配标准的连接。如果模式设置为“拒绝”,则如果连接不符合分配标准,则应用该策略。以下示例说明了当存在多个分配时,分配模式如何影响Citrix策略。
示例:具有不同模式的类似类型的赋值—如果策略中有两个相同类型的赋值,一个为Allow,一个为Deny,如果连接同时满足两个赋值,则赋值为Deny优先。例如:
政策1包括以下任务:
- 分配A指定Sales组。模式设置为允许。
- 任务B指定销售经理的帐户。模式设置为拒绝。
因为assign B的模式被设置为Deny,所以当Sales经理登录到Site时,不会应用该策略,即使该用户是Sales组的成员。
示例:具有相似模式的不同类型的赋值—对于具有两个或两个以上不同类型分配的策略,设置为“允许”,则该连接必须满足每种类型的至少一个分配,才能应用该策略。例如:
政策2包括以下任务:
- 分配C是指定Sales组的User分配。模式设置为允许。
- 分配D是指定10.8.169的Client IP地址分配。*(公司网络)。模式设置为允许。
当销售经理从办公室登录到Site时,将应用该策略,因为该连接满足这两个分配。
政策3包括以下任务:
- 分配E是指定Sales组的User分配。模式设置为允许。
- 分配F是指定NetScaler网关连接条件的访问控制分配。模式设置为允许。
当销售经理从办公室登录到Site时,不会应用策略,因为连接不满足任务F的要求。