基准策略设计
概述
策略为配置和微调Citrix虚拟应用程序和桌面环境提供了基础。策略允许组织根据用户、设备或连接类型的各种组合控制设置,并包括以下设置:
- 连接
- 安全
- 带宽
在做出策略决策时,请考虑微软和Citrix策略以包含所有用户体验,安全性和优化设置。齐思杰(Citrix)。Citrix (Citrix思杰(Citrix。
决策:首选策略引擎
Citrix Studio活动目录Active Directory策略使用Citrix ADMX文件,该文件可扩展组策略并提供高级筛选机制。
使用活动目录组策略,组织可以在同一位置同时管理Windows策略和Citrix策略,并最大限度地减少策略管理所需的管理工具。组策略会在域控制器之间自动复制,从而保护信息并简化策略应用。
如果Citrix管理员无权访问Active Directory策略,请使用Citrix管理控制台。选择最适合组织需求的方法,并始终如一地使用该方法。齐格(Citrix)。
了解策略的聚合(称为策略优先级)是如何流动的,以了解如何创建生成的策略集,这一点非常重要。活动目录(Active Directory)
| 策略优先级 | 策略类型 |
|---|---|
| 第一个处理(最低优先级) | 本地计算机策略 |
| 第二个处理 | 思杰(Citrix |
| 第三个处理 | 我的意思是 |
| 第四个处理 | 【中文】 |
| 第五个处理 | 这是我最喜欢的 |
| 第六个和后续处理 | 这是我最喜欢的 |
| 最后一个处理(最高优先级) | 【中文翻译 |
每个级别的策略聚合到应用于用户或计算机的最终策略中。在大多数企业部署中,Citrix管理员没有权限在其特定欧之外更改策略,这通常是优先级的最高级别。“。“哎呀!”“哎呀!”“”“”“”“”“”“”出于这个原因,在政策规划中必须谨慎。使用“Active Directory结果策略集”或“Citrix组策略建模向导”等可用工具来验证观察到的结果和预期结果。
注意:
某些Citrix策略设置(如果使用)需要通过活动目录组策略进行配置。(1)、(2)、(3)VDA、(3)交付控制器(4)。
决策:策略集成
配置策略时,组织通常需要Active Directory策略和Citrix策略才能创建完全配置的环境。使用两个策略集时,由此产生的策略集可能会引起难以确定的混淆。有时,特别是关于Windows远程桌面服务(RDS)和Citrix策略,可以在两个不同的位置配置类似的功能。Citrix, Citrix, Citrix, Citrix, Citrix, Citrix, Citrix。RDS、Citrix、Citrix、Citrix、Citrix。Citrix, Citrix, Citrix, CitrixRDS、Citrix、RDS、RDS、RDS。
为避免这种混淆,Citrix建议仅在需要的位置配置RDS策略,并且Citrix虚拟应用程序和桌面配置中没有相应的策略。齐齐,齐齐,齐齐,齐齐,齐齐,齐齐,齐齐,齐齐。使用最高公分母配置策略可简化理解由此产生的策略集和策略配置故障排除的过程。
决策:策略作用域
创建策略后,根据所需结果,将策略应用于用户组、计算机或两者兼有。策略筛选允许将策略应用于所需的用户或计算机组。对于基于Active Directory的策略,关键的决定是将策略应用于站点,域或组织单位(OU)中的计算机还是用户。活动目录。这是一个非常复杂的概念,一个非常复杂的概念。计算机配置中的设置会在系统启动时应用于计算机,并影响登录到系统的所有用户。Active Directory、Citrix、Citrix、Citrix、Citrix、Citrix
- 思杰(Citrix
思杰(Citrix)。“”“”“”“”“”“”“”“”,“”,“”,“”,“”,“”“”“”“”“”“”“”“”“” - 思杰
在为Citrix虚拟应用程序和桌面创建策略时,将根据用户的连接应用特定于用户体验和安全性的多个策略。但是,用户的帐户可能位于Active Directory结构中的任何位置,这就造成了简单应用基于用户配置的策略的困难。齐格,齐格,齐格,齐格,齐格,齐格,齐格,齐格,齐格齐格思(Citrix)。http://www.chinac.com/ http://www.chinac.com/, http://www.chinac.com/。解决方案是应用环回策略。环回策略是一种计算机配置策略,强制计算机将你的分配用户配置策略应用于登录到服务器或虚拟桌面的任何用户。活动目录(Active Directory)环回处理可应用于合并或替换模式。使用替换模式将使用Citrix服务器或虚拟桌面或者中的策略覆盖整个用户组策略对象(GPO)。齐格思(Citrix),齐格思,齐格思,齐格思。配置合并模式时,由于计算机GPO是在用户GPO之后处理的,因此Citrix相关的OU设置具有优先级。【中文译文】微软公司组策略的环回处理。 - Active Directory活动目录
齐格思,齐格思,齐格思,齐格思。在这种情况下,环回处理仅适用于一部分用户,而不是所有登录到系统的用户。活动目录(Active Directory)。筛。可以为特定功能创建策略。此外,可以将策略筛选器设置为仅将该策略应用于一组用户。策略筛选是使用每个目标策略的安全属性完成的。
使用Citrix工作室创建的Citrix策略具有可用的特定筛选器设置,用于解决使用组策略时不可用的策略筛选情况。http://www.citrix, http://www.citrix, http://www.citrix。
| 过滤器名称 | 过滤器说明 | 作用域 |
|---|---|---|
| 访问控制 | 根据客户端连接的访问控制条件应用策略。Citrix NetScaler网关 | 用户设置 |
| ■■■■■ | IPv4或IPv6。如果使用IPv4地址范围来避免意外结果,则必须谨慎使用此过滤器。 | 用户设置 |
| 客户端名称 | 基于从中连接会话的用户设备的名称应用策略。 | 用户设置 |
| 交付组 | 根据运行会话的桌面或服务器的交付组成员资格应用策略。 | 用户和计算机设置 |
| 交付组类型 | 基于运行会话的计算机的类型应用策略。例如,可以根据计算机是私有还是共享来设置不同的策略。 | 用户和计算机设置 |
| NetScaler SD-WAN | NetScaler SD-WAN | 用户设置 |
| (ou) | “”“”“”“”“”“”“”。 | 用户和计算机设置 |
| 标记 | 根据应用于运行会话的计算机的任何标签应用策略。标签是可以添加到Citrix虚拟应用程序和桌面环境中的项目(例如计算机)的字符串。这些标签可用于搜索或限制对桌面的访问。 | 用户和计算机设置 |
| 用户或组 | 基于连接到会话的用户的用户或组成员身份应用策略。 | 用户设置 |
注意:
Citrix虚拟应用程序和桌面环境中的策略提供了适用于用户和计算机级别的设置的合并视图。在上表中,“范围” 列标识指定的筛选器是应用于用户设置、计算机设置还是两者。
决策:基准策略
基线策略包含向组织内大多数用户提供高清体验所需的所有常见元素。基线策略为用户访问以及满足用户组的特定访问要求所需的任何例外情况奠定了基础。要创建尽可能简单的策略结构,请将基线中的策略设置配置为足够全面,以容纳尽可能多的使用案例。将基线策略的优先级设置为最低优先级,例如 99。优先级为 “1” 是最高优先级。Citrix, Citrix, Citrix, Citrix。配置这些设置定义了所需的行为,并避免了默认设置更改时的混淆。思杰(Citrix)、思杰(Citrix)。思杰政策。模板由用于在特定环境或网络条件下优化性能的各种预配置设置组成。思杰虚拟应用和桌面
| 模板名称 | 说明 |
|---|---|
| 高服务器可扩展性 | 包括在单台服务器上托管更多用户时提供最佳用户体验的设置。 |
| 服务器高度可扩展性 – 旧版操作系统 | 与“高服务器可扩展性”模板相同,将此策略应用于运行旧版操作系统(如Windows 2008 r2或Windows 7及更低版本)的共识。 |
| NetScaler SD-WAN | NetScaler SD-WAN |
| 万升幅 | 包括为使用低带宽或高延迟连接的用户提供优化体验的设置。 |
| 针对广域网优化 – 旧版操作系统 | ”与“针对广域网优化模板相同,将此策略应用于运行旧版操作系统(如Windows 2008 r2或Windows 7及更低版本)的共识。 |
| 安全性与控制 | 中文:Flash, Flash, Flash。 |
| 超高清晰度用户体验 | 包括用于向用户提供高质量音频、图形和视频的设置。 |
思杰(Citrix)策略模板。
Windows。Windows策略反映的设置可优化用户体验并删除Citrix虚拟应用程序和桌面环境中不需要或不需要的功能。Windows操作系统。在虚拟化环境中,主要是桌面和服务器是流式传输和非持久性的,Windows更新会产生处理和网络开销。重新启动虚拟桌面或应用程序服务器后,更新过程所做的更改不会持续存在。Windows操作系统(WSUS): Windows操作系统。【中文翻译】:http://www.cncn.cn/cn/】
除了上述考虑事项之外,组织的最终基线策略还包括满足组织要求的设置。这些要求可能与安全性、常见网络条件或管理用户设备或用户配置文件有关。
设计决策:行政委员会
通过限制可以访问策略的用户数量来防止未经授权的访问。放松安全性可能会导致Citrix虚拟应用程序和桌面部署的配置详细信息泄露。限制访问的方法取决于用于配置策略的引擎。Citrix Studio, http://www.citrix Studio, http://www.citrix Studio有关作用域和角色的更多信息,请参阅委派管理文档。
使用内置管理角色
【中文翻译】- 完全管理员授予对Citrix虚拟应用程序和桌面站点中所有对象的读写访问权限。分配 “完全管理员” 角色时要特别注意。除了策略之外,“完全管理员” 角色还授予对整个站点中所有其他对象的读写访问权限。
- 只读管理员为Citrix虚拟应用程序和桌面站点中分配的范围内的对象提供只读权限。将组分配给 “只读管理员” 角色将授予对所有策略的只读访问权限,无论分配的范围如何。
创建自定义管理角色
要更精确地控制对策略的访问,请创建自定义角色。自定义角色使管理员能够将特定任务分配给一组管理员。分配 “管理策略” 或 “查看策略” 定义以委派相应的权限。由于策略不属于特定范围,因此分配给管理员的范围不会影响对策略的访问。中文:活动目录。
使用活动目录组策略配置Citrix策略时,管理员使用组策略管理控制台委派访问权限。g / g / g / g / g / g / g / g / g / g【中文译文】(1)、(2)、(3)、(3)。思杰(Citrix) (Citrix)
策略设计建议
思杰(Citrix)主要实践将前几章中的设计决策汇总在一起。
基准策略
将未过滤的策略留空并将其设置为禁用。将未筛选的策略配置为尽可能低的优先级。优先级数越高(例如,优先级 99),优先级越低。根据公司的命名约定创建基准计算机和用户策略。确保基准策略适用于连接到Citrix虚拟应用程序和桌面环境的大多数用户和计算机。配置基准策略中的所有设置,即使这些设置使用默认值也是如此。
策略分层
根据最终用户的要求创建基准策略的例外情况。根据适当的筛选器分配策略例外情况。将例外策略的优先级设置为高于基准策略。创建尽可能少的策略并尽可能整合设置。定义太多的策略可能导致复杂性和意想不到的结果。
示例:
在Citrix虚拟应用程序和桌面部署中,不允许用户访问Citrix会话内端点设备上的本地驱动器。活动目录要实现此行为,请在基准策略中将 “客户端驱动器重定向” 设置设置为 “禁止”。创建具有较高优先级的策略,并在新策略中将 “客户端驱动器重定向” 设置设置为 “允许”。活动目录。活动目录(Active Directory)默认行为是拒绝所有其他用户访问本地驱动器。
策略管理
不要混搭策略引擎。Citrix, Citrix, Citrix。例如,使用活动目录组策略时,请勿使用Citrix工作室创建其他Citrix策略。
记录所有策略、策略设置和例外情况。使用公司内部文档格式或使用策略的描述字段跟踪更改。使用描述字段时,请使用标准化表单。例如,包括更改的日期、作者和描述:2020-04-17 - FvdP:根据请求SR422344禁用客户端驱动器映射。
