ベースラインポリシー設計
概要
ポリシーはCitrix虚拟应用程序和桌面環境を構成および微調整するための基礎を提供します。ポリシーを使用すると,組織,ユーザー,デバイス,または接続タイプのさまざまな組み合わせに基づいて設定を制御し,次の設定を含めることができます。
- 接続
- セキュリティ
- 帯域幅
ポリシーを決定する際には,微软ポリシーとCitrixの両方のポリシーを考慮して,ユーザーエクスペリエンス,セキュリティ,最適化の設定をすべて含めます。この記事では,Citrixポリシーのみに焦点を当てています。Citrix関連のすべてのポリシー設定の一覧については,Citrixポリシー設定リファレンスを参照してください。
決定事項:優先ポリシーエンジン
组织は,citrix StudioまたはActive Directoryグループグループを使を构しててポリシーポリシーをを构でき.Active Directoryポリシーポリシーは,グループポリシーををし,高度なフィルタリングメカニズム提供するcitrix admxファイルファイル使用しし。
Active Directoryグループポリシーを使使用しした合书,组织は窗户ポリシーととポリシー両両を同じ场所の,ポリシーポリシーをに必要抑えるますをは,グループ间で自动的にレプリケートれ,情がされ,ポリシーポリシー适が素ます。
Citrix管理者がActive Directory oryポリシーにアクセスできない場合は,Citrix管理コンソールを使用します。組織のニーズに最も適した方法を選択し,その方法を一貫して使用してください。単一の方法を使用すると,複数のCitrixポリシーの場所との混乱を回避できます。
ポリシーの結果セットがどのように作成されるかを理解するには,ポリシーの優先順位であるフローと呼ばれるポリシーの集約方法を理解することが重要です。Active DirectoryおよびCitrixポリシーでは,優先順位は次のようになります:
| ポリシー优先顺位 | ポリシーの种类 |
|---|---|
| 最初に処理される(最低優先順位) | ローカルマシンポリシー |
| 2番目に処理される | Citrix管理コンソールをコンソール使をて作物 |
| 3番目に処理される | サイトレベルの广告ポリシー |
| 4番目に制剂される | ドメインレベルの广告ポリシー |
| 5番目に処理される | ドメイン内の最上位レベルのOU |
| 6番目以降に管理される | ドメインドメイン内の后続后続のou |
| 最后最后管理される(最高优先顺位) | オブジェクトを含む最下位レベルのOU |
各レベルのポリシーは,ユーザーまたはコンピューターに適用される最終的なポリシーに集約されます。ほとんどのエンタープライズ展開では,Citrix管理者には,特定のOU(通常,優先順位の最も高いレベル)以外のポリシーを変更する権限がありません。例外が必要な場合は,“継承のブロック”および”上書きなし”の設定を使用して,OUツリーの上位から適用するポリシー設定を管理します。[継承のブロック]により,上位レベルOU(下位優先順位)からの設定がポリシーに統合されなくなります。ただし,オーバーライドなしで上位レベルのOUポリシーを構成する場合,継承のブロック設定は適用されません。このため,政策計画には注意が必要です。“Active Directoryポリシーの結果セット”や”Citrixグループポリシーモデリングウィザード”などの利用可能なツールを使用して,観察された結果を期待される結果で検証します。
注:
一部のCitrixポリシー設定を使用する場合は,Active Directoryグループポリシーを使用して構成する必要があります。たとえば,VDAの登録には,交付控制器と交付控制器登録ポートが必要です。
決定事項:ポリシー統合
ポリシーを構成する場合,組織では,完全に構成された環境を作成するために,Active DirectoryポリシーとCitrixポリシーの両方が必要になることがよくあります。両方のポリシーセットを使用すると,ポリシーの結果セットの特定が難しくなる可能性があります。場合によっては,特にWindowsリモートデスクトップサービス(RDS)およびCitrixポリシーに関して,2つの異なる場所で同様の機能を構成できます。たとえば,Citrixポリシーではクライアントドライブマッピングを有効にし,RDSポリシーではクライアントドライブマッピングを無効にすることができます。必要な機能を使用できるかどうかは,RDSポリシーとCitrixポリシーの組み合わせによって異なります。Citrixポリシーは,リモートデスクトップサービスで利用可能な機能に基づいて構築されていることを理解することが重要です。RDSポリシーで必須機能が明示的に無効になっている場合,Citrixポリシーは構成に影響を与えません。
この混乱を避けるため,RDSポリシーは必要な場合にのみ構成することをお勧めします。Citrix虚拟应用程序和桌面の構成には対応するポリシーはありません。RDSポリシーを構成するのは,組織内でRDSを使用するために必要な場合のみです。最も高い共通分母にポリシーを設定すると,ポリシーの結果セットを理解し,ポリシー設定のトラブルシューティングを行うプロセスが簡素化されます。
決定事項:ポリシースコープ
ポリシーを作成したら,必要な結果に基づいて,ユーザー,コンピュータ,またはその両方にポリシーを適用します。ポリシーフィルタリングを使用すると,必要なユーザーまたはコンピュータグループにポリシーを適用できます。Active Directoryベースのポリシーでは,サイト,ドメイン,または組織単位(OU)内のコンピューターまたはユーザーにポリシーを適用するかどうかが重要な決定になります。Active Directoryポリシーは,ユーザー構成とコンピューター構成に分類されます。既定では,ユーザー構成内の設定は,ログオン時にOU内に存在するユーザーに適用されます。コンピュータの構成内の設定は,システムの起動時にコンピュータに適用され,システムにログオンするすべてのユーザーに影響します。Active DirectoryおよびCitrixの展開とポリシーの関係について,次の3つのコア領域に関する課題があります:
- Citrix環境に固有のコンピュータポリシー
Citrixサーバーおよび仮想デスクトップには,環境用に特別に作成および展開されるコンピュータポリシーがあります。これらのポリシーは,サーバーと仮想デスクトップ用に個別のOU構造を作成することで容易に適用できます。その後,特定のポリシーを作成し,欧内およびそれ以下のコンピュータにのみ確実に適用できます。要件に基づいて,サーバーの役割,地理的場所,またはビジネスユニットに基づいて,OU構造内の仮想デスクトップとサーバーを分割します。 - Citrix固有のユーザーポリシー
Citrix虚拟应用程序和桌面のポリシーを作成する場合,ユーザーの接続に基づいて,ユーザーエクスペリエンスとセキュリティに固有のいくつかのポリシーが適用されます。ただし,ユーザーのアカウントはActive Directory構造内の任意の場所に配置され,ユーザー構成ベースのポリシーを適用するだけでは難しくなります。この設定は,ユーザーがログオンするすべてのシステムに適用されるため,ドメインレベルでCitrix固有の構成を適用することは望ましくありません。Citrixサーバーまたは仮想デスクトップが配置されている組織単位でのユーザー構成設定の適用も機能しません。ユーザーアカウントはそのOU内に配置されていないため,設定はユーザーに適用されません。解決方法は,ループバックポリシーを適用することです。ループバックポリシーは,コンピューター構成ポリシーで,サーバーまたは仮想デスクトップにログオンするすべてのユーザーに,OUの割り当てられたユーザー構成ポリシーを強制的に適用します。Active Directory内のユーザーの場所は,ループバックポリシーで適用された設定には影響しません。ループバック処理は,マージモードまたは置換モードのいずれかに適用できます。置換モードを使用すると,ユーザーのグループポリシーオブジェクト(GPO)全体がCitrixサーバーまたは仮想デスクトップOUのポリシーで上書きされます。マージモードでは,ユーザーのGPOとCitrixサーバーまたはデスクトップOUからのGPOが結合されます。マージモードが構成されている場合,ユーザーのGPOの後にコンピュータGPOが処理されるため,Citrix関連のOU設定が優先されます。マージモードを使用すると,競合が発生した場合にCitrix関連のOU設定が適用されます。詳細については,微软のサポート記事グループグループポリシーのループループバックバックを参照してください。 - Active Directoryポリシーのフィルタリングより高度なケースでは
,Citrix管管者などのユーザーのユーザーのサブセットサブセットに设定设定适适适必要がありありますますこのこの场バック必要はありあり。システムシステムログオンするすべてユーザーではなく,ユーザーのログオンするすべてのではなく,ユーザーユーザーサブセットに适适さ.active目录ポリシーフィルタリングを使用して,ポリシーを适用する特定のユーザーまたはユーザーグループを指定します。特定の机能に対してポリシーを作成できます。また,ポリシーフィルターを设定して,そのポリシーをユーザーのグループにのみポリシーフィルタリングは,各ターゲットポリシーのプロパティをはし実実ますますれフィルタリングはは実。
思杰工作室を使用して作成された思杰ポリシーには,グループポリシーの使用时に利用できないポリシーフィルターの状况に対处するために,特定のフィルター设定を使用できます。次のフィルタを任意に组み合わせて,思杰ポリシーポリシー适适。
| フィルター名 | フィルターの説明 | スコープ |
|---|---|---|
| アクセス制御 | クライアントが接続するアクセスコントロールに基因てポリシーをしし。たとえば,citrix netscaler网关を介して接続しているに対して特色のポリシーを适できでき。 | ユーザー設定 |
| クライアントIPアドレス | セッションへの接続に使さユーザーデバイスのipv4またはipv6アドレスに基因てポリシーない结果ますますにipv4アドレス范囲结果避けるするにににに,このこのフィルタ避けるため。 | ユーザー設定 |
| クライアント名 | セッションの接続元であるユーザーデバイス名前に基于てポリシーポリシーポリシーポリシーポリシー适适适。 | ユーザー設定 |
| デリバリーグループ | セッションを実行しているデスクトップまたはサーバーのデリバリーグループメンバーシップに基づいてポリシーを適用します。 | ユーザーおよびコンピューター設定 |
| デリバリーグループの種類 | セッションを実行しているマシンの種類に基づいてポリシーを適用します。たとえば,マシンがプライベートか共有かによって,異なるポリシーを設定できます。 | ユーザーおよびコンピューター設定 |
| NetScaler SD-WAN | セッションがNetScaler SD-WANを介して起動されるかどうかに基づいて,ポリシーを適用します。 | ユーザー設定 |
| 組織単位(OU) | セッションを実行しているデスクトップまたはサーバーの組織単位(OU)に基づいてポリシーを適用します。 | ユーザーおよびコンピューター設定 |
| タグ | セッションセッション実行しいるマシンマシンにマシンににににタグにててれれますます,ポリシーポリシー适适ます。タグタグ,citrix虚拟应用程序和桌面环境で,マシンなどのアイテムに追できる字列です。を検索したり,デスクトップへのアクセスを制制ために使使。 | ユーザーおよびコンピューター設定 |
| ユーザーまたはグループ | セッションセッションに接続しているユーザーのユーザーまたはグループメンバーシップ基因ててポリシーを适ますしし。 | ユーザー設定 |
注:
Citrix虚拟应用程序和桌面環境のポリシーは,ユーザーレベルとコンピューターレベルで適用される設定の統合ビューを提供します。前の表の[スコープ]列には,指定したフィルタがユーザー設定,コンピュータ設定,またはその両方に適用されるかどうかが示されます。
決定事項:ベースラインポリシー
ベースラインポリシーには,組織内のほとんどのユーザーに高精細エクスペリエンスを提供するために必要なすべての共通要素が含まれています。ベースラインポリシーは,ユーザーアクセスの基盤と,ユーザーグループの特定のアクセス要件に対応するために必要な例外を作成します。可能な限り単純なポリシー構造を作成するには,できるだけ多くのユースケースに対応できる十分な包括的になるようにベースラインのポリシー設定を構成します。ベースラインポリシーのプライオリティを最低優先度(99など)に設定します。プライオリティ番号“1”が最も高いプライオリティです。これらの設定がデフォルト値を使用している場合でも,ベースライン構成ですべてのCitrixポリシー設定を有効にします。これらの設定を構成すると,必要な動作が定義され,デフォルト設定が変更された場合の混乱を回避できます。Citrixポリシーテンプレートを使用して,環境内のエンドユーザーエクスペリエンスを効果的に管理するようにCitrixポリシーを構成します。Citrixポリシーテンプレートは,ベースラインポリシーの確実な初期開始点です。テンプレートには,特定の環境またはネットワーク条件に対してパフォーマンスを最適化する事前構成済みの設定が含まれています。Citrix虚拟应用程序和桌面に含まれる組み込みテンプレートを次の表に示します。
| テンプレート名 | 说明 |
|---|---|
| 高サーバースケーラビリティ | 単一のサーバーでよりのののユーザーながらするの设定が含まれのの设定のれれいいいいますていますいいいいいいい。 |
| 高サーバースケーラビリティ——レガシ操作系统 | 「高于サーバースケーラビリティ」「」テンプレートテンプレート同様に,Windows 2008R2またはWindows 7以前のレガシーオペレーティングを実してvdaにこのポリシー适て。 |
| NetScaler SD-WANに最適化 | NetScaler SD-WANを展開したブランチオフィスで作業しているユーザーに最適なエクスペリエンスを提供するための設定が含まれています。 |
| Wanのの最适适化 | 低帯域幅または高遅延接続のユーザーに最適なエクスペリエンスを提供するための設定が含まれています。 |
| WANの最適化——レガシ操作系统 | 「万元最适最适化」テンプレートテンプレート同様に,Windows 2008R2または窗7以前のレガシーオペレーティングを実行しいるvdaにこのポリシーをししし。 |
| セキュリティと制御 | 周辺デバイス,ドライブマッピング,ポートのリダイレクト,およびユーザーデバイス上のFlashアクセラレーションへのアクセスを無効にする設定が含まれています。 |
| 最高品质ユーザーエクスペリエンス | 高品质のオーディオ,グラフィックス,およびビデオをユーザー提供するの设定が含まていいいいいますますますます。 |
Citrixポリシーテンポリシーテンプレートの详细について,Citrixドキュメントポリシーテンプレートを参照してください。
ベースラインポリシー構成にWindowsポリシーを含めます。Windowsポリシーは,ユーザーエクスペリエンスを最適化し,Citrix虚拟应用程序和桌面環境で必須または望ましくない機能を削除する設定を反映します。これらの環境でオフになっている一般的な機能の1つは,Windows更新です。主にデスクトップとサーバーがストリーム配信され,永続的でない仮想化環境では,Windows更新によって処理とネットワークのオーバーヘッドが発生します。更新プロセスによって加えられた変更は,仮想デスクトップまたはアプリケーションサーバーの再起動後も保持されません。組織では,Windows更新サービス(威诺娜州立大学)を使用してWindowsの更新プログラムを制御することがよくあります。このような場合,アップデートはマスターディスクに適用され,它部門がスケジュールに従って有効化します。
。ユーザープロファイルの定理に关键词。
设计决定:管理委任
は,ポリシーポリシーの设定にに使エンジンによってによって异なりポリシーポリシーエンジンとしてstudiostudioなりををエンジンとしてstudiostudioをは使使役割を割り当て,グループグループに役割をしスコープスコープアクセスアクセスを委任しについてます使にを委任しについては委任委任されたたた管管ににドキュメントを参照してください。
组み込みの管理役割役割役割使使て
Active Directoryグループをそれぞれの役割に加して,必要な制御レベルを委任ますし。- 完全管理者は,Citrix虚拟应用程序和桌面サイト内のすべてのオブジェクト読み取りおよび书架アクセス许ます」」ます役割をを割り当てるときはは役割して割り当てるときはええしてくださいポリシーええしてて」」」」「」ロールは,サイトサイト体ののすべてのオブジェクト読み取りおよび书籍
- 読み取り専用管理者は思杰虚拟应用和桌面サイトの割り当てられたスコープ内のオブジェクトに対して,読み取り専用のアクセス许可を提供します。グループを「読み取り専用管理者」ロールに割り当てると,割り当てられたスコープに关系なく,すべてすべてポリシーに対する読み取り専アクセスが可され。
カスタム管理者の役割を作成するポリシーへのアクセスをより詳細に制御するには
,カスタムロールを作品成面。カスタムロールカスタムロール使使する,者者はグループのタスク者者のグループにことができ。「「ポリシーのグループグループを表示」または「ポリシーをを」の定义をポリシーを表示をを割り当て割り当ててを割り当て割り当て割り当ててを割り当て割り当て割り当てなアクセス许可を委任します。ポリシーは特定のスコープの一部ではないため,管理者に割り当てられたスコープはポリシーへのアクセスには影响しません。主动目录グループを管理者として追加し,アクセスを委任するカスタムロールを割り当てます。
Active Directoryグループポリシーを使使构しててポリシー者はグループポリシーポリシーコンソールを使してアクセスアクセス委任し1ののににに复のしををににに复のしををにににに复の场ををににてててアクセス场场ををアクセス许可のは,gpo构造の设计によって异なりますます。読み取り読み取り书籍アクセスは,gpoごとにユーザーまたはグループにさますます。gpoレベルで付与されアクセスは,そのgpoで构成されているのCitrixポリシーにアクセス権権付与します。
ポリシー設計の推奨事項
Citrixは,現場の経験に基づいて,Citrixポリシー設計に関連する主要なプラクティスを開発しました。主要なプラクティスは,前の章から取得した設計上の決定をまとめます。
ベースラインポリシー
フィルタリングされていないポリシーは空のままにして,無効に設定します。フィルタリングされていないポリシーを,可能な限り低いプライオリティに設定します。プライオリティ番号が高いほど(たとえば99のプライオリティ),プライオリティは低くなります。会社の命名規則に従って,ベースラインのコンピュータポリシーとユーザーポリシーを作成します。基本ポリシーがCitrix虚拟应用程序和桌面環境に接続するほとんどのユーザーとコンピューターに適用されていることを確認します。これらの設定がデフォルト値を使用している場合でも,ベースラインポリシー内のすべての設定を構成します。
ポリシーレイヤー化
エンドユーザーの要件に基づいて,ベースラインポリシーの例外を作成します。適切なフィルタに基づいて,ポリシーの例外を割り当てます。例外ポリシーの優先順位を,ベースラインポリシーよりも高く設定します。できるだけ少ないポリシーを作成し,可能な場合は設定を統合します。ポリシーを定義しすぎると,複雑さと予期しない結果につながる可能性があります。
例:
Citrix虚拟应用程序和桌面展开では,ユーザーはcitrixセッション内のポイントデバイス上のライブライブアクセスません。活跃目录グループグループメンバーシップにより,ローカルドライブへのが许许され。,ベースラインポリシーで[クライアントドライブリダイレクト]设定を[禁止]に设定します。优先度の高いポリシーを作成し,新しいポリシーで[クライアントドライブリダイレクト]设定を[许可]に设定します。新しいポリシーの割り当てに活动目录グループグループ追加します。活跃目录グループのメンバーであるユーザーがローカルドローカルドライブライブにアクセスできのみへのすべてのユーザーのローカルドへのアクセスがが拒否されれへののアクセスが拒否されれ
ポリシー管理
ポリシーエンジンをミックスアンドマッチさせないでください。1つのポリシーエンジンを選択し,そのエンジンを使用してすべてのCitrixポリシーを構成します。たとえば,Active Directoryグループポリシーを使用する場合は,Citrix工作室を使用して他のCitrixポリシーを作成しないでください。
すべてのポリシー,ポリシー設定,および例外を文書化します。会社内部のドキュメント形式を使用するか,ポリシーの説明フィールドを使用して変更を追跡します。説明フィールドを使用する場合は,標準化されたフォームを使用します。たとえば,変更の日付,作成者,および説明を含めます。2020-04-17 - FVDP:禁用客户端驱动器映射根据请求SR422344。
