比较、确定优先级、建模和故障排除策略
您可以使用多个策略来定制您的环境,以满足用户基于作业功能、地理位置或连接类型的需求。例如,为了增强安全性,对经常使用敏感数据的用户组设置限制。您还可以创建一个策略来防止用户将敏感文件保存在本地客户端驱动器上。但是,如果用户组中的某些人确实需要访问他们的本地驱动器,您可以为这些用户创建另一个策略。然后,您可以对这两个策略进行排序或设置优先级,以控制哪个策略优先。
当使用多个策略时,必须确定如何对它们进行优先级划分,如何创建异常,以及在策略冲突时如何查看有效策略。
通常,策略会覆盖为整个Site、特定交付控制器或用户设备上配置的类似设置。这个原则的例外是安全性。环境中最高的加密设置(包括操作系统和最严格的隐藏设置)总是会覆盖其他设置和策略。
Citrix策略与您在操作系统中设置的策略交互。在Citrix环境中,Citrix设置覆盖在Active Directory策略或使用远程桌面会话主机配置中配置的相同设置。这包括与典型的远程桌面协议(RDP)客户端连接设置相关的设置,如桌面壁纸、菜单动画和在拖动时查看窗口内容。一些策略设置(如Secure ICA)必须与操作系统中的设置匹配。如果在其他地方设置了更高优先级的加密级别,则可以覆盖在策略中或在交付应用程序和桌面时指定的Secure ICA策略设置。
例如,您在创建交付组时指定的加密设置必须与您在整个环境中指定的加密设置处于同一级别。
注意:在双跳的第二跳场景中,当单会话OS VDA连接到多会话OS VDA时,Citrix策略对单会话OS VDA起作用,就像它是用户设备一样。例如,如果将策略设置为在用户设备上缓存映像,那么在双跳场景中为第二跳缓存的映像将被缓存到单会话OS VDA机器上。
比较策略和模板
您可以将策略或模板中的设置与其他策略或模板中的设置进行比较。例如,您可能需要验证设置的值,以确保符合最佳实践。您可能还希望将策略或模板中的设置与Citrix提供的默认设置进行比较。
- 在Studio导航窗格中选择Policies。
- 单击比较选项卡,然后单击选择。
- 选择要比较的策略或模板。若要在比较中包含默认值,请选择比较到默认设置复选框。
- 单击“比较”后,已配置的设置以列的形式显示。
- 要查看所有设置,请选择“显示所有设置”。若要返回默认视图,请选择“显示常用设置”。
优先考虑的政策
优先级策略允许您在策略包含冲突设置时定义策略的优先级。当用户登录时,将标识与连接分配匹配的所有策略。这些策略按优先级顺序排序,并对任何设置的多个实例进行比较。每一项设置都根据策略的优先级排序进行应用。
您可以通过在Studio中为策略提供不同的优先级数字来对它们进行优先级排序。缺省情况下,新建策略优先级最低。如果策略设置冲突,优先级较高的策略(优先级数为1的策略最高)将覆盖优先级较低的策略。根据优先级和设置的条件合并设置。例如,设置是禁用还是启用。任何禁用的设置将覆盖启用的较低级别的设置。未配置的策略设置将被忽略,并且不会覆盖较低级别设置的设置。
- 在Studio导航窗格中选择Policies。确保选择了Policies选项卡。
- 选择一个政策。
- 在“操作”窗格中选择“低优先级”或“高优先级”。
异常
当您为用户、用户设备或计算机组创建策略时,您可能会发现组中的某些成员需要某些策略设置的例外。你可以通过以下方法创建异常:
- 仅为需要例外的组成员创建策略,然后将策略排名高于整个组的策略排名
- 对添加到策略的分配使用拒绝模式
模式设置为Deny的分配只对不符合分配条件的连接应用策略。例如,一个策略包含以下赋值:
- 分配A是指定范围为208.77.88.*的客户端IP地址分配。模式设置为允许
- 分配B是指定特定用户帐户的用户分配。模式设置为拒绝。
政策适用于所有用户登录到网站的IP地址范围中指定任务A。然而,这项政策并不适用于用户登录网站的用户帐户中指定任务B,即使用户的计算机分配一个IP地址范围中指定的任务。
确定应用于连接的策略
有时,由于应用了多个策略,连接不能按预期响应。如果一个连接应用了更高优先级的策略,它可以覆盖您在原来的策略中配置的设置。您可以通过计算策略的结果集来确定如何合并连接的最终策略设置。
您可以通过以下方法计算策略的结果集:
- 使用Citrix组策略建模向导来模拟连接场景,并了解如何应用Citrix策略。您可以为连接场景指定条件,如域控制器、用户、Citrix策略分配证据值和模拟环境设置(如慢速网络连接)。向导生成的报告列出了可能在该场景中生效的Citrix策略。如果您以域用户登录到控制器,向导将使用站点策略设置和Active Directory组策略对象(GPOs)计算策略的结果集。
- 使用Group Policy Results生成一个报告,描述针对给定用户和控制器有效的Citrix策略。Group Policy Results工具可以帮助您评估环境中GPOs的当前状态,并生成一个报告,该报告描述了这些对象(包括Citrix策略)目前如何应用于特定用户和控制器。
属性启动Citrix组策略建模向导行动窗格在工作室。您可以从Windows中的组策略管理控制台启动任何一个工具。
如果从组策略管理控制台运行Citrix组策略建模向导或组策略结果工具,则使用Studio创建的站点策略设置不包括在策略的结果集中。
为了确保您获得最全面的策略结果集,Citrix建议从Studio启动Citrix组策略建模向导,除非您仅使用组策略管理控制台创建策略。
使用Citrix组策略建模向导
使用下列方法之一打开Citrix组策略建模向导:
- 在Studio导航窗格中选择Policies,选择Modeling选项卡,然后在Actions窗格中选择Launch Modeling Wizard。
- 启动组策略管理控制台(gpmc.msc),在树窗格中右键单击“Citrix组策略建模”,然后选择“Citrix组策略建模向导”。
按照向导说明选择要在模拟中使用的域控制器、用户、计算机、环境设置和Citrix分配标准。你点击后完成,向导生成建模结果的报告。在Studio中,报告出现在建模选项卡。
要查看报告,请选择视图建模报告.
解决政策
用户、IP地址和其他分配的对象可以有多个策略同时应用。这可能会导致冲突,策略可能无法按照预期的方式运行。当您运行Citrix组策略建模向导或组策略结果工具时,您可能会发现没有策略应用于用户连接。当发生这种情况时,在符合策略评估标准的条件下连接到其应用程序和桌面的用户将不受任何策略设置的影响。这发生在:
- 没有策略具有匹配策略评估标准的赋值。
- 匹配分配的策略没有配置任何设置。
- 匹配分配的策略将被禁用。
如果要将策略设置应用到满足指定条件的连接,请确保:
- 您想要应用于这些连接的策略已经启用。
- 您要应用的策略已经配置了适当的设置。