设计决策:基准策略设计
概述
策略为配置和微调 Citrix Virtual Apps and Desktops 环境提供了基础。策略允许组织根据用户、设备或连接类型的各种组合来控制设置,包括以下设置:
- 连接
- 安全性
- Bandwidth(带宽)
在做策略决策时,应考虑 Microsoft 和 Citrix 的策略都包括所有用户体验、安全和优化设置。本文仅重点介绍 Citrix 策略。有关所有 Citrix 相关的策略设置的列表,请参阅Citrix 策略设置参考。
决策:首选策略引擎
组织可以通过 Citrix Studio 或 Active Directory 组策略配置 Citrix 策略。Active Directory 策略使用 Citrix ADMX 文件,这些文件扩展了组策略并提供高级筛选机制。
使用活动目录组策略,组织可以在同一位置同时管理Windows策略和Citrix 策略,并最大限度地减少策略管理所需的管理工具。组策略会自动跨域控制器复制,从而保护信息并简化策略应用过程。
如果 Citrix 管理员无法访问 Active Directory 策略,请使用 Citrix 管理控制台。选择最适合组织需求的方法,并始终如一地使用该方法。使用单一方法可避免与多个 Citrix 策略位置混淆。
必须了解策略的聚合(称为策略优先级)是如何流动的,以了解由此产生的一套策略是如何创建的。使用 Active Directory 和 Citrix 策略时,优先级如下所示:
| 策略优先级 | 策略类型 |
|---|---|
| 第一个处理(最低优先级) | 本地计算机策略 |
| 第二个处理 | 使用 Citrix 管理控制台创建的 Citrix 策略 |
| 第三个处理 | 站点级别 AD 策略 |
| 第四个处理 | 域级别 AD 策略 |
| 第五个处理 | 域中最高级别的 OU |
| 第六个和后续处理 | 域中的后续级别 OU |
| 最后一个处理(最高优先级) | 包含对象的最低级别 OU |
每个级别的策略聚合到应用于用户或计算机的最终策略中。在大多数企业部署中,Citrix 管理员没有权限更改其特定 OU 之外的策略,这通常是优先级的最高级别。在需要例外的情况下,请使用“块继承”和“无覆盖”设置来管理从较高的 OU 树上应用的策略设置。阻止继承会停止将更高级别的 OU(优先级较低)的设置纳入策略。但是,在配置不覆盖的更高级别的 OU 策略时,不应用区块继承设置。因此,规划策略时必须小心谨慎。请使用“Active Directory 策略结果集”或“Citrix 组策略建模向导”等可用工具来验证观察到的结果以及预期结果。
注意:
某些 Citrix 策略设置(如果使用)需要通过 Active Directory 组策略进行配置。例如,注册 VDA 需要 Delivery Controller 和 Delivery Controller 注册端口。
决策:策略集成
配置策略时,组织通常需要 Active Directory 策略和 Citrix 策略来创建完整配置的环境。使用两个策略集时,由此产生的策略集可能会引起难以确定的混淆。有时,特别是对于 Windows 远程桌面服务 (RDS) 和 Citrix 策略,可以在两个不同的位置配置类似的功能。例如,可以在 Citrix 策略中启用客户端驱动器映射,并在 RDS 策略中禁用客户端驱动器映射。使用所需功能的能力可能取决于 RDS 和 Citrix 策略的组合。必须了解 Citrix 策略是基于远程桌面服务中的可用功能构建的。如果在 RDS 策略中明确禁用了所需的功能,Citrix 策略将无法影响配置。
为避免这种混淆,Citrix 建议仅在需要时配置 RDS 策略,并且 Citrix Virtual Apps and Desktops 配置中没有相应的策略。只有在组织内使用 RDS 需要配置时,才配置 RDS 策略。以最高通用标准配置策略简化了了解由此产生的策略集和策略配置故障排除的过程。
决策:策略作用域
创建策略后,根据所需结果将策略应用到用户组、计算机或两者。策略筛选允许将策略应用到所需的用户或计算机组。使用基于 Active Directory 的策略时,关键决策是是否将策略应用到站点、域或组织单位 (OU) 中的计算机或用户。Active Directory 策略分为计算机配置和用户配置。默认情况下,用户配置中的设置适用到登录时位于 OU 内的用户。计算机配置中的设置在系统启动时应用到计算机,并影响登录到系统的所有用户。与 Active Directory 和 Citrix 部署策略关联的一个挑战围绕三个核心领域:
- Citrix 环境特定的计算机策略
Citrix 服务器和虚拟桌面通常具有专为环境创建和部署的计算机策略。通过为服务器和虚拟机创建单独的 OU 结构,可以轻松应用这些策略。然后,可以创建特定策略并自信地将其仅应用到 OU 及其下方的计算机,而非其他对象。根据要求,在 OU 结构中根据服务器角色、地理位置或业务部门细分虚拟桌面和服务器。 - Citrix 特定的用户策略
为 Citrix Virtual Apps and Desktops 创建策略时,会根据用户的连接应用许多特定于用户体验和安全性的策略。但是,用户的帐户可能位于 Active Directory 结构中的任何位置,因此仅应用基于用户配置的策略会造成困难。不宜在域级别应用 Citrix 特定的配置,因为这些设置将应用到任何用户登录到的每个系统。在 Citrix 服务器或虚拟桌面所在的 OU 上应用用户配置设置也不起作用。用户帐户不在该 OU 内,因此设置不应用到用户。解决方案是应用环回策略。环回策略是一种计算机配置策略,该策略强制计算机将 OU 的已分配的用户配置策略应用于登录到服务器或虚拟桌面的任何用户。用户在 Active Directory 中的位置不会影响环回策略中应用的设置。环回处理可以通过合并或替换模式应用。使用替换模式会使用 Citrix 服务器或虚拟桌面 OU 中的策略覆盖整个用户组策略对象 (GPO)。合并模式将用户 GPO 与 Citrix 服务器或桌面 OU 中的 GPO 结合使用。由于在配置了合并模式时在用户 GPO 之后处理计算机 GPO,因此,Citrix 相关的 OU 设置将具有优先权。使用合并模式时,Citrix 相关的 OU 设置在发生冲突时适用。有关详细信息,请参阅 Microsoft 支持文章Loopback processing of Group Policy(组策略的环回处理)。 - Active Directory 策略筛选
在更高级的情况下,可能需要将策略设置应用到一小部分用户(例如 Citrix 管理员)。在这种情况下,环回处理仅应用到用户子集,而非所有登录到系统的用户。使用 Active Directory 策略筛选可指定应用策略的特定用户或用户组。可以为特定功能创建策略。此外,可以将策略过滤器设置为仅将该策略应用到一组用户。策略筛选是使用每个目标策略的安全属性完成的。
使用 Citrix Studio 创建的 Citrix 策略具有可用的特定过滤器设置,用于解决使用组策略时不可用的策略筛选情况。请使用以下过滤器的任意组合应用 Citrix 策略:
| 过滤器名称 | 过滤器说明 | Scope(范围) |
|---|---|---|
| 访问控制 | 根据客户端借此进行连接的访问控制条件应用策略。例如,通过 Citrix NetScaler Gateway 连接的用户可以应用特定的策略。 | 用户设置 |
| 客户端 IP 地址 | 请基于用于连接到会话的用户设备的 IPv4 或 IPv6 地址应用策略。如果使用 IPv4 地址范围以避免出现意外结果,请谨慎使用此过滤器。 | 用户设置 |
| 客户端名称 | 根据连接会话的用户设备名称应用策略。 | 用户设置 |
| 交付组 | 根据运行会话的桌面或服务器的交付组成员身份应用策略。 | 用户和计算机设置 |
| 交付组类型 | 基于运行会话的计算机的类型应用策略。例如,可以根据计算机是专用计算机还是共享计算机来设置不同的策略。 | 用户和计算机设置 |
| NetScaler SD-WAN | 根据是否通过 NetScaler SD-WAN 启动会话应用策略。 | 用户设置 |
| 组织单位(OU) | 根据运行会话的桌面或服务器的组织单位 (OU) 应用策略。 | 用户和计算机设置 |
| 标记 | 根据应用到运行会话的计算机的任何标记应用策略。标记是可以添加到 Citrix Virtual Apps and Desktops 环境中的项目(例如计算机)的字符串。这些标记可用于搜索或限制对桌面的访问。 | 用户和计算机设置 |
| 用户或组 | 根据连接到会话的用户的用户或组成员身份应用策略。 | 用户设置 |
注意:
Citrix Virtual Apps and Desktops 环境中的策略提供了适用于用户和计算机级别的设置的合并视图。在之前的表中,作用域列指示指定的过滤器是应用于用户设置、计算机设置还是两者。
决策:基准策略
基准策略包含为组织内的大多数用户提供高清晰度体验所需的所有共同要素。基准策略为用户访问以及需要的任何例外情况创建基础,以满足用户组的特定访问要求。要创建尽可能简单的策略结构,请将基准中的策略设置配置为足够全面,以适应尽可能多的用例。请将基准策略的优先级设置为最低优先级,例如 99。优先级编号“1”表示最高优先级。启用基准配置中的所有 Citrix 策略设置,即使这些设置使用默认值亦如此。配置这些设置可以定义所需的行为,并避免在默认设置更改时造成混淆。使用 Citrix 策略模板可配置 Citrix 策略,以有效地管理环境中的最终用户体验。Citrix 策略模板是基准策略的可靠初始起点。模板由用于在特定环境或网络条件下优化性能的各种预配置设置组成。Citrix Virtual Apps and Desktops 中包含的内置模板如下表所示:
| 模板名称 | 说明 |
|---|---|
| 高服务器可扩展性 | 包含的设置可在单台服务器上托管多位用户并提供最佳用户体验。 |
| 高服务器可扩展性-旧版操作系统 | 与“高服务器可扩展性”模板相同,请将此策略应用到运行旧版操作系统(例如 Windows 2008R2 或 Windows 7 及更早版本)的 VDA。 |
| 针对 NetScaler SD-WAN 优化 | 包括为在部署了 NetScaler SD-WAN 的分支机构工作的用户提供优化体验的设置。 |
| WAN 优化 | 包含的设置可在低带宽连接或高延迟连接条件下向用户提供经过优化的体验。 |
| WAN 优化-旧版操作系统 | 与“WAN 优化”模板相同,请将此策略应用到运行旧版操作系统(例如 Windows 2008R2 或 Windows 7 及更早版本)的 VDA。 |
| 安全性与控制 | 包含的设置可在用户设备上禁用对外围设备的访问、驱动器映射、端口重定向以及 Flash 加速。 |
| 超高清晰度用户体验 | 包含的设置可向用户提供高质量的音频、图形和视频。 |
有关 Citrix 策略模板的详细信息,请参阅 Citrix Docs -策略模板。
请将 Windows 策略包含在基准策略配置中。Windows 策略反映的设置可优化用户体验并删除 Citrix Virtual Apps and Desktops 环境中不需要的功能。在这些环境中关闭的一个常见功能是 Windows Update。在虚拟化环境中,主要是桌面和服务器通过流技术传输且具有非持久性,Windows Update 会产生处理和网络开销。重新启动虚拟桌面或应用程序服务器后,更新过程所做的更改不会持续存在。组织经常使用 Windows 软件更新服务 (WSUS) 来控制 Windows 更新。在这些情况下,更新将应用于主磁盘,并由 IT 部门按计划提供。
除上述注意事项外,组织的最终基准策略还包括满足组织要求的设置。这些要求可能与安全性、常见网络条件或管理用户设备或用户配置文件有关。
设计决策:管理委派
通过限制可以访问策略的用户数量来防止未经授权的访问。过于放松安全可能会导致 Citrix Virtual Apps and Desktops 部署的配置详细信息被泄露。限制访问的方法取决于用于配置策略的引擎。使用 Citrix Studio 作为策略引擎时,请向组分配角色以委派管理访问权限。有关作用域和角色的详细信息,请参阅委派管理文档。
使用内置管理角色
将 Active Directory 组添加到相应的角色以委派所需的控制级别。- 完全权限管理员授予对 Citrix Virtual Apps and Desktops 站点中的所有对象的读写权限。分配“完全权限管理员”角色时要特别注意。除策略外,“完全权限管理员”角色还授予对整个站点内的所有其他对象的读写权限。
- 只读管理员为 Citrix Virtual Apps and Desktops 站点中分配的作用域内的对象提供只读权限。将组分配给“只读管理员”角色会授予对所有策略的只读访问权限,而无论分配的作用域如何。
创建自定义管理角色
要更精细地控制对策略的访问权限,请创建自定义角色。自定义角色使管理员能够将特定任务分配给一组管理员。分配“管理策略”或“查看策略”定义以委派相应的权限。由于策略不属于特定作用域,因此,分配给管理员的作用域不会影响对策略的访问权限。将 Active Directory 组添加为管理员,并分配自定义角色以委派访问权限。
使用 Active Directory 组策略配置 Citrix 策略时,管理员使用组策略管理控制台委派访问权限。一个 GPO 可以包含多个 Citrix 策略。分配的权限的粒度取决于 GPO 结构的设计。按每个 GPO 向用户或组授予读取或写入访问权限。在 GPO 级别授予的访问权限会向在该 GPO 中配置的所有 Citrix 策略授予权限。
策略设计建议
根据该领域的经验,Citrix 制定了与 Citrix 策略设计相关的最佳实践。最佳实践汇总了前几章中提出的设计决策。
基准策略
将未经过滤的策略留空并将其设置为已禁用。将未经过滤的策略配置为具有尽可能低的优先级。优先级编号越高(例如,优先级为 99),优先级越低。创建根据公司的命名约定命名的基准计算机和用户策略。确保基准策略适用于大多数连接到 Citrix Virtual Apps and Desktops 环境的用户和计算机。配置基准策略中的所有设置,即使这些设置使用默认值亦如此。
策略分层
根据最终用户的要求创建基准策略的例外情况。根据相应的过滤器分配策略例外。将例外策略的优先级设置为高于基准策略的优先级。尽可能少地创建策略并尽可能整合设置。定义过多的策略可能会导致复杂性和意想不到的结果。
示例:
在 Citrix Virtual Apps and Desktops 部署中,不允许用户在 Citrix 会话内访问其端点设备上的本地驱动器。Active Directory 组成员身份允许访问本地驱动器。要实现此行为,请在基准策略中将“客户端驱动器重定向”设置设为“禁止”。创建具有更高优先级的策略,并在新策略中将“客户端驱动器重定向”设置设为“允许”。在新策略的分配中添加 Active Directory 组。只有作为 Active Directory 组成员的用户才有权访问本地驱动器。默认行为是拒绝所有其他用户访问本地驱动器。
策略管理
请勿混搭策略引擎。选择一个策略引擎并使用该引擎配置所有 Citrix 策略。例如,在使用 Active Directory 组策略时,请勿使用 Citrix Studio 创建其他 Citrix 策略。
记录所有策略、策略设置和例外情况。请使用公司内部文档格式,或者使用策略的说明字段来跟踪更改。使用说明字段时,请使用标准化表单。例如,请包括更改的日期、作者和说明:2020-04-17 - FvdP: Disabled Client Drive Mapping according to request SR422344。
