在XenDesktop中使用Active Directory策略的问题

在XenDesktop中使用Active Directory策略的问题。

背景

本文描述了在XenDesktop中使用Active Directory策略时可能遇到的问题。
您可以使用Desktop Studio(策略规则保存在XenDesktop站点数据库中)或Group policy Management Console(策略规则保存在Active Directory中)为虚拟桌面配置Citrix策略。
在使用Active Directory组策略管理控制台创建和配置Citrix策略时，您可能会遇到以下问题。
这些问题以及示例和解决方法将在下一节中进行描述。

问题1

适用于:

• XenDesktop 5到5.6 Feature Pack 1(仅限Windows XP虚拟桌面)
• XenDesktop 7(仅限传统Windows XP虚拟桌面)

当使用组策略管理控制台安全过滤机制将策略应用到特定的用户组、虚拟桌面组或个人虚拟桌面时，Citrix机器策略(位于组策略管理控制台计算机配置节点下)未按预期应用。
请注意:如果使用组策略管理控制台安全过滤机制对单个用户应用策略，或者使用默认的Authenticated users组进行过滤，则不会发生此问题。

背景

如果使用组策略管理控制台创建和应用Citrix策略，则使用内置的安全过滤机制创建过滤器时不会应用机器策略。

例子:

完成以下步骤，创建一个名为TestGPO的组策略对象，并将该GPO的策略应用到单个用户和单个虚拟桌面:

1. 打开组策略管理控制台并创建一个名为TestGPO的新GPO。
2. 在范围选项卡，删除默认值通过身份验证的用户组中的任何其他项安全过滤窗格。
3. 为需要应用策略的用户帐号和虚拟桌面添加新表项安全过滤窗格。
4. 创建两个Citrix策略:一个在计算机配置节点下，一个在用户配置节点下，并向每个策略添加一些设置。
5. 启动到虚拟桌面的连接，并使用步骤3中指定的用户帐户登录。

当您打开注册表编辑器并浏览到位于HKEY_LOCAL_MACHINE\Software\Policies目录下的Citrix文件夹时，只有用户策略被应用。
谨慎!在使用注册表编辑器之前，请参阅本文末尾的免责声明。

影响

如果使用组策略管理控制台安全过滤机制为Citrix Machine策略定义过滤器，则不会按预期应用这些策略。这可能会导致用户获得您不希望的功能。

决议

作为一种解决方案，您可以使用Desktop Studio创建机器策略，并使用提供的内置Citrix筛选器将这些策略应用到特定的用户组、虚拟桌面组或具有特定桌面标记的单个虚拟桌面。

问题2

仅适用于XenDesktop 5。
不能为已经配置了Citrix计算机策略的GPO配置Active Directory计算机策略。
只有在为同一个GPO配置Active Directory策略之前创建并配置Citrix机器策略时才会出现此问题。无论您使用何种方法创建和配置Active Directory策略，都会出现这种情况。除组策略管理控制台之外的其他管理工具也会受到影响。
请注意: Citrix测试表明，如果在配置Citrix计算机策略之前至少配置了一个Active Directory计算机策略设置，则不会发生此问题。

背景

如果您设置了GPO并为该GPO配置了Citrix机器策略，并试图为相同的GPO配置Active Directory计算机策略，您将收到一条错误消息。您可以取消错误消息，并继续向Active Directory策略添加设置。但是，添加到GPO的任何Active Directory策略设置都不会应用。
请注意:其他管理工具可能显示不同的错误或根本没有错误。但是，您添加到GPO的任何Active Directory设置都不会应用．

例子:

您可以创建一个名为TestGPO的新GPO，并为该GPO配置一个Citrix机器策略。
完成以下步骤，为TestGPO配置一个新的Active Directory策略，以便与为现有Citrix机器策略配置的设置一起应用:

1. 打开组策略管理控制台并创建一个名为Test GPO的新GPO。

2. 创建一个新的Citrix机器策略，并向该策略添加一些设置。

3. 打开“组策略对象编辑器”并在左侧窗格中展开管理模板．

4. 添加一个新设置，例如:配置自动更新下组件\ Windows更新．

5. 保存策略并单击继续关闭出现的错误消息对话框。

在“组策略编辑器”中，设置显示为正在配置。返回组策略管理控制台时，选择设置选项卡中，设置不会显示为正在配置。当将策略应用到TestGPO时，不会应用该设置。

影响

如果试图为配置了Citrix机器策略的GPO配置Active Directory策略，则Active Directory策略中的新设置不会应用于该GPO。这可能导致特定的Windows安全设置无法应用于GPO。如果您未能在组策略管理控制台中检查Active Directory策略的适用设置列表，您可能会假设这些设置是通过GPO应用的，而实际上它们并没有应用。

决议

作为一个变通方法，做以下任务之一:

在为GPO创建和配置Citrix机器策略之前，请创建和配置Active Directory策略设置。
或
创建专用GPO来配置Citrix机器策略。

谨慎!不正确地使用注册表编辑器可能会导致严重的问题，可能需要重新安装操作系统。Citrix不能保证由于不正确使用注册表编辑器而导致的问题能够得到解决。请自行承担使用注册表编辑器的风险。在编辑注册表之前，请务必备份注册表。