创建策略
在创建策略之前,请确定策略应影响哪些用户或设备组。您可能希望根据用户作业功能、连接类型、用户设备或地理位置创建策略。或者,您可以使用与Windows Active Directory组策略相同的条件。
如果已经创建了适用于组的策略,请考虑编辑该策略并配置适当的设置,而不是创建另一个策略。避免仅为启用特定设置或将策略排除在某些用户之外而创建策略。
在创建策略时,可以基于策略模板中的设置并根据需要自定义设置,也可以不使用模板创建策略并添加所需的所有设置。
在Citrix Studio中,创建的新策略设置为禁用,除非启用策略复选框被显式选中。
策略设置
可以启用、禁用或不配置策略设置。默认情况下,未配置策略设置,这意味着未将它们添加到策略中。设置仅在添加到策略时应用。
某些策略设置可能处于以下状态之一:
- 允许或禁止允许或阻止由设置控制的操作。有时允许或阻止用户在会话中管理设置的操作。例如,如果“菜单动画”设置设置为“允许”,则用户可以在其客户端环境中控制菜单动画。
- 启用或禁用可打开或关闭设置。如果禁用设置,则在排名较低的策略中不会启用该设置。
此外,某些设置控制从属设置的有效性。例如,客户端驱动器重定向控制是否允许用户访问其设备上的驱动器。要允许用户访问其网络驱动器,请使用此设置和客户端网络驱动器设置必须添加到策略中。如果客户端驱动器重定向设置被禁用,用户无法访问其网络驱动器,即使客户端网络驱动器设置为启用。
通常,影响计算机的策略设置更改会在虚拟机重新启动或用户登录时生效。影响用户的策略设置更改将在用户下次登录时生效。如果您使用的是Active Directory,则在Active Directory每隔90分钟重新评估策略时会更新策略设置,并在虚拟机重新启动或用户登录时应用策略设置。
对于某些策略设置,可以在将设置添加到策略时输入或选择值。您可以通过选择“使用默认值”来限制设置的配置。这将禁用设置的配置,并在应用策略时仅允许使用设置的默认值,而不管在选择“使用默认值”之前输入的值如何。
作为最佳做法:
- 将策略分配给组而不是单个用户。如果将策略分配给组,则在向组中添加或删除用户时,分配会自动更新。
- 不要在远程桌面会话主机配置中启用冲突或重叠设置。在某些情况下,远程桌面会话主机配置提供与Citrix策略设置类似的功能。如果可能,保持所有设置一致(启用或禁用),以便于故障排除。
- 禁用未使用的策略。未添加任何设置的策略会创建不必要的处理。
政策分配
创建策略时,将其分配给某些用户和计算机对象。该策略根据特定标准或规则应用于连接。通常,您可以根据条件组合向策略添加任意数量的工作分配。如果未指定任何分配,则该策略将应用于所有连接。
下表列出了可用的工作分配:
| 分配名称 | 应用基于的策略 |
|---|---|
| 访问控制 | 客户端连接时的访问控制条件。连接类型-是否将策略应用于使用或不使用NetScaler网关进行的连接。NetScaler网关场名称- NetScaler网关虚拟服务器的名称。访问条件-要使用的端点分析策略或会话策略的名称。 |
| NetScaler SD-WAN | 是否通过NetScaler SD-WAN发起用户会话。注意:一个策略只能添加一个NetScaler SD-WAN分配。 |
| 客户端IP地址 | 用于连接到会话的用户设备的IP地址:IPv4示例:12.0.0.0,12.0.0.*,12.0.0.1-12.0.0.70,12.0.0.1/24;IPv6示例:2001:0db8:3c4d:0015:0:0:abcd:ef12,2001:0db8:3c4d:0015::/54 |
| 客户名称 | 用户设备的名称。完全匹配:ClientABCName。使用通配符:Client*Name。 |
| 分娩组 | 交付组成员资格。 |
| 交付组类型 | 桌面或应用程序的类型:专用桌面、共享桌面、专用应用程序或共享应用程序。注意:私有桌面和共享桌面过滤选项仅适用于Citrix虚拟应用程序和台式机7.x。有关更多信息,请参见CTX219153. |
| 组织单位(OU) | 组织单位。 |
| 标签 | 标签。注意:将此策略应用于所有标记的机器。不包括应用程序标记。 |
| 用户或组 | 用户名或组名。 |
当用户登录时,将标识与连接分配匹配的所有策略。这些策略按优先级顺序排序,并比较任何设置的多个实例。根据策略的优先级排序应用每个设置。任何禁用的策略设置优先于已启用的较低级别设置。忽略未配置的策略设置。
重要的是:
当使用组策略管理控制台配置Active Directory和Citrix策略时,分配和设置可能无法按预期应用。有关更多信息,请参见CTX127461
默认情况下,将提供名为“未筛选”的策略。
- 如果使用Studio管理Citrix策略,则添加到未筛选策略的设置将应用于站点中的所有服务器、台式机和连接。
- 如果使用“本地组策略编辑器”管理Citrix策略,则添加到“未过滤”策略中的设置将应用于包含该策略的组策略对象(GPOs)范围内的所有站点和连接。例如,Sales OU包含一个名为Sales-US的GPO,其中包括美国销售团队的所有成员。Sales-US GPO配置了一个未过滤策略,其中包括几个用户策略设置。当美国销售经理登录到站点时,未过滤策略中的设置将自动应用到会话,因为用户是Sales-US GPO的成员。
分配的模式确定策略是否仅应用于符合所有分配条件的连接。如果模式设置为“允许”(默认),则策略仅应用于符合分配条件的连接。如果模式设置为拒绝,则在连接与分配条件不匹配时应用策略。以下示例说明了当存在多个分配时,分配模式如何影响Citrix策略。
示例:具有不同模式的相似类型的赋值-在具有两个相同类型的分配(一个设置为允许,一个设置为拒绝)的策略中,如果连接同时满足两个分配,则设置为拒绝的分配优先。例如:
政策1包括以下任务:
- 分配A指定销售组。模式设置为允许。
- 任务B指定销售经理的帐户。模式设置为拒绝。
由于分配B的模式设置为“拒绝”,因此即使用户是销售组的成员,销售经理登录到该站点时也不会应用该策略。
示例:具有相似模式的不同类型的赋值—当策略有两个或多个不同类型的赋值时,如果设置为“允许”,则该连接必须满足每种类型的至少一次赋值,才能应用该策略。例如:
政策2包括以下任务:
- 分配C是指定销售组的用户分配。模式设置为允许。
- 分配D是客户端IP地址分配,指定10.8.169。*(公司网络)。模式设置为允许。
当销售经理从办公室登录到Site时,将应用策略,因为连接满足两个分配。
政策3包括以下任务:
- 分配E是指定销售组的用户分配。模式设置为允许。
- 分配F是指定NetScaler网关连接条件的访问控制分配。模式设置为允许。
当销售经理从办公室登录到站点时,不会应用策略,因为连接不满足分配F。
使用Studio基于模板创建新策略
在Studio导航窗格中选择策略。
选择“模板”选项卡,然后选择一个模板。
在“操作”窗格中选择“从模板创建策略”。
默认情况下,新策略使用模板中的所有默认设置(选择使用模板默认设置单选按钮)。如果要更改设置,请选择“修改默认值并添加更多设置”单选按钮,然后添加或删除设置。
通过选择以下选项之一,指定如何应用策略:
- 分配给选定的用户和机器对象,然后选择策略将应用到的用户和机器对象。
- 分配给站点中的所有对象,以将策略应用于站点中的所有用户和计算机对象。
输入策略的名称(或接受默认名称);考虑根据谁和它影响什么来命名政策,例如会计部门或远程用户。(可选)添加描述。
该策略默认启用;你可以禁用它。启用该策略允许它立即应用于正在登录的用户。禁用将阻止该策略被应用。如果您必须对策略进行优先级设置或稍后添加设置,请考虑禁用该策略,直到您准备应用它。
使用Studio创建一个新策略
在Studio导航窗格中选择策略。
选择Policies选项卡。
在“操作”窗格中选择“创建策略”。
添加和配置策略设置。
通过选择以下选项之一指定如何应用策略:
- 分配给选定的用户和机器对象,然后选择策略将应用到的用户和机器对象。
- 分配给站点中的所有对象,以将策略应用于站点中的所有用户和计算机对象。
输入策略的名称(或接受默认名称);考虑根据谁和它影响什么来命名政策,例如会计部门或远程用户。(可选)添加描述。
该策略默认启用;你可以禁用它。启用该策略允许它立即应用于正在登录的用户。禁用将阻止该策略被应用。如果您必须对策略进行优先级设置或稍后添加设置,请考虑禁用该策略,直到您准备应用它。
使用组策略编辑器创建和管理策略
从“组策略编辑器”展开计算机配置或用户配置. 扩展政策节点,然后选择Citrix策略. 选择适当的操作:
| 任务 | 指示 |
|---|---|
| 创建新策略 | 在政策选项卡,单击新. |
| 编辑现有策略 | 在政策选项卡,选择策略,然后单击编辑. |
| 更改现有策略的优先级 | 在政策选项卡,选择策略,然后单击其中一个较高的或降低. |
| 查看策略的摘要信息 | 在政策选项卡,选择策略,然后单击总结标签。 |
| 查看和修改策略设置 | 在政策选项卡,选择策略,然后单击设置标签。 |
| 查看和修改策略过滤器 | 在政策选项卡,选择策略,然后单击过滤器标签。向策略添加多个筛选器时,必须满足所有筛选器条件才能应用策略。 |
| 启用或禁用策略 | 在政策选项卡,选择策略,然后选择其中一个操作>启用或行动>禁用. |
| 从现有模板创建新策略 | 在模板选项卡,选择模板,然后单击新政策. |