ポリシ
ポリシーは構成可能な設定項目をグループ化したもので,特定のユーザー,デバイス,または接続の種類に対して特定のセッション,帯域幅,およびセキュリティ構成が適用されるように制御する目的で使用します。
これらのポリシ,は,特定の物理マシン,仮想マシン,またはユ,ザ,に割り当てることができます。ユーザーに適用する場合,ローカルレベルのアカウントを指定したりActive Directoryのセキュリティグループを指定したりできます。この構成では,特定の条件や規則を定義します。ポリシを特定のオブジェクトに明示的に割り当てない場合、その設定はすべての接続に適用されます。
ポリシ,は,ネットワ,クのさまざまなレベルに割り当てることができます。組織単位のgpoレベルに割り当てられたポリシ,は,そのネットワ,クで最も優先されます。ドメインのGPOレベルのポリシーはサイトGPOレベルのポリシーよりも優先され,これらのポリシーは微软やCitrixのローカルポリシーよりも優先されます。
すべてのCitrixローカルポリシーは,Citrix工作室コンソールで作成および管理され,サイトデータベースに格納されます。グループポリシーは,微软グループポリシー管理コンソール(GPMC)を使用して作成および管理され,Active Directoryに格納されます。微软ロ,カルポリシ,はWindows上で作成され,レジストリ内に格納されます。
工作室のモデル作成ウィザードを使用すると,複数のテンプレートやポリシーの設定項目とその構成内容を比較してポリシーの競合や重複を避けることができます。また,GPMCを使用してGPOを設定して,ネットワークのさまざまなレベルのユーザーにそれらを適用できます。
これらのGPOはActive Directory内に保存され,セキュリティ上の理由から,它担当者のみが設定を管理できます。
複数のポリシ,の設定内容は,ポリシ,の優先度や条件に基づいて統合されます。優先度のより高いポリシーの設定で[無効]または[禁止]が選択されている場合,優先度の低いポリシーで[有効]または[許可]が選択されていても,その設定内容は無視されます。未構成の設定項目は無視され,優先度の低いポリシ,での設定を上書きすることはありません。
ローカルポリシーとActive Directory内のグループポリシーの設定内容が競合する場合,優先されるポリシーは状況により異なります。
すべてのポリシ,は,以下の順番で処理されます。
- エンドユザがドメンの資格情報を使用してマシンにログオンする。
- 資格情報がドメンコントロラに送信される。
- Active Directoryによりすべてのポリシー(エンドユーザー,エンドポイント,組織単位,およびドメイン)が適用される。
- エンドユーザーがCitrix工作区アプリにログオンしてアプリケーションまたはデスクトップにアクセスする。
- そのエンドユーザー,およびアプリケーションまたはデスクトップのホストマシンに適用されるCitrixポリシーと微软ポリシーが処理される。
- Active Directoryにより各ポリシー設定の優先度が決定され,エンドポイントデバイスのレジストリやリソースをホストしているマシンに適用される。
- エンドユ,ザ,がアプリケ,ションまたはデスクトップからログオフする。そのエンドユーザー,およびアプリケーションまたはデスクトップのホストマシンに適用されるCitrixポリシーが非アクティブになる。
- エンドユーザーがユーザーデバイスからログオフし,GPOユーザーポリシーが非アクティブになる。
- エンドユザがユザデバスをシャットダウンし,gpoマシンポリシが非アクティブになる。
ユーザー,ユーザーデバイス,およびマシンのグループに割り当てるポリシーを作成する場合,グループの一部のメンバーで要件が異なるために一部の設定項目で例外が必要になることがあります。この例外は工作室およびGPMCでフィルターとして作成でき,これによりだれにどのポリシーが適用されるのかが決定されます。
注:1 .のGPOにWindowsポリシ,とCitrixポリシ,を混在させることはできません。