Citrix DaaS

创建策略

创建策略前,确定可能会受此策略影响的用户或设备组。您可能希望创建基于用户工作职责、连接类型、用户设备或地理位置的策略。

如果您已经创建了应用到某个组的策略,请考虑编辑该策略,而非创建其他策略。编辑策略后,请配置相应的设置。请避免单纯为了启用特定设置或拒绝将该策略应用到特定用户而创建策略。

创建策略时,可以在策略模板中的设置基础上进行创建,并根据需要对设置进行自定义。也可以在不使用模板的情况下进行创建,并添加所需的所有设置。

在 Citrix Studio 中,除非明确选中了启用策略复选框,否则创建的新策略会设置为“已禁用”。

在创建策略和配置设置时,系统会提供查看设置类型的选项。您可以查看以下设置类型:

  • 所有设置 - 查看所有 VDA 版本的所有设置
  • 仅限当前设置 - 仅查看当前 VDA 版本的设置
  • 仅限旧版设置 - 仅查看已弃用的 VDA 版本的设置

要在配置设置时查看设置,请执行以下操作:

  1. 登录 DaaS Premium。
  2. 在左侧导航栏中,单击“策略”。
  3. 在“策略”选项卡中,单击“创建策略”。
  4. 在“选择设置”表中,单击“设置”旁边的下拉列表。
  5. 从下拉列表中选择以下选项之一:

    • 所有设置 - 查看所有 VDA 版本的所有设置
    • 仅限当前设置 - 仅查看当前 VDA 版本的设置
    • 仅限旧版设置 - 仅查看已弃用的 VDA 版本的设置
  6. “设置”表列出了基于上一步的可用设置。

策略设置

策略设置的状态可以是已启用、已禁用或未配置。默认情况下,未配置策略设置,这意味着它们未添加到策略中。仅在将设置添加到策略时才会应用这些设置。

在配置用于创建或编辑策略的设置时,如果禁用了所有交付组,则系统会显示“此筛选器中的所有元素均未启用”警告通知标志。如果启用了至少一个交付组,则系统不会显示警告标志。

要在创建策略时查看警告,请执行以下操作:

  1. 登录 DaaS Premium。
  2. 在左侧导航栏中,单击“策略”。
  3. 在“策略”选项卡中,单击“创建策略”。
  4. 在“选择设置”表中,选择任意设置,然后单击“下一步”。
  5. 在“将策略分配给”表中,从下拉列表中选择一个筛选器。
  6. 取消选中“启用”复选框并单击“保存”。

注意:

并非所有筛选器都支持取消选中“启用”复选框。 在“过滤器”表中,过滤器会显示警告。

要在编辑策略时查看警告,请执行以下操作:

  1. 登录 DaaS Premium。
  2. 在左侧导航栏中,单击“策略”。
  3. 在“策略”选项卡中,选择列出的任意策略,然后单击“编辑策略”。
  4. 在“编辑策略”页面中,单击左侧导航栏中的“将策略分配给”。
  5. 在“筛选器”表中,为所需的筛选器选择或单击“编辑”:

    • 如果筛选器没有“编辑”按钮,请选择该过滤器。
    • 如果筛选器有编辑 按钮,请单击“编辑”
  6. 取消选择“启用”选项,然后单击“保存”。

注意:

并非所有筛选器都支持取消选中“启用”复选框。 在“过滤器”表中,过滤器会显示警告。

某些策略设置可处于以下状态之一:

-  Allowed or Prohibited allows or prevents the action controlled by the setting. Sometimes users are allowed or prevented from managing the setting’s action in a session. For example, if the menu animation setting is set to Allowed, users can control menu animations in their client environment
-  Enabled or Disabled turns the setting on or off. If you disable a setting, it is not enabled in lower-ranked policies.

此外,某些设置还可控制相关设置的效果。例如,客户端驱动器重定向设置控制是否允许用户访问其设备上的驱动器。 必须将此设置和 客户端网络驱动器 设置都添加到策略中,以允许用户访问其网络驱动器。如果客户端驱动器重定向设置处于禁用状态,用户将无法访问其网络驱动器,即使客户端网络驱动器设置处于启用状态也是如此。

通常,影响计算机的策略设置更改会在虚拟桌面重新启动时或用户登录时生效。影响用户的策略设置更改会在用户下次登录时生效。

对于某些策略设置,可在将设置添加到策略时输入或选择一个值。可以通过选择使用默认值来限制该设置的配置。此选择禁用设置的配置,只允许在应用策略时使用设置的默认值。无论在选择使用默认值之前输入的值为何,均会出现这种选择。

最佳做法:

  • 将策略分配给组,而非单个用户。如果将策略分配给组,则将用户添加到组或从组中删除用户时,分配的策略会自动更新。
  • 禁用未使用的策略。未添加任何设置的策略会带来不必要的处理过程。

策略分配

创建策略时,可以将其分配给某些用户和计算机对象。根据特定条件或规则将该策略应用于连接。一般情况下,可以根据条件组合向策略添加任意数量的分配。如果指定不进行分配,策略将应用于所有连接。

如果您未指定任何分配,或者指定了分配但将其禁用,策略将应用到所有连接。

注意:

策略分配也称为策略过滤器。有关其他信息,请参阅以下主题:

下表列出了可用的分配:

分配名称 应用策略的根据
访问控制 连接客户端所依据的访问控制条件。连接类型 - 将策略应用于使用 NetScaler Gateway 建立的连接还是不使用 NetScaler Gateway 建立的连接。NetScaler Gateway 场名称 - NetScaler Gateway 虚拟服务器的名称。访问条件 - 要使用的终点分析策略或会话策略的名称。
Citrix SD-WAN 用户会话是否通过 Citrix SD-WAN 启动。注意: 您只能向策略添加一个 Citrix SD-WAN 分配。
客户端 IP 地址 用于连接到会话的用户设备的 IP 地址:IPv4 示例:12.0.0.0、12.0.0.*、12.0.0.1-12.0.0.70、12.0.0.1/24;IPv6 示例:2001:0db8:3c4d:0015:0:0:abcd:ef12、2001:0db8:3c4d:0015::/54
客户端名称 用户设备的名称。精确匹配:ClientABCName。使用通配符:Client*Name。
交付组 交付组成员身份。
交付组类型 桌面或应用程序的类型:专用桌面、共享桌面、专用应用程序或共享应用程序。
组织单位(OU) 组织单位。
标记 标记。注意: 将此策略应用到所有带标记的计算机。不包括应用程序标记。
用户或组 用户或组名称。

用户登录时,系统会确定与连接的分配相匹配的所有策略。这些策略按优先级排序,并对任意设置的多个实例进行比较。根据策略的优先级应用每个设置。任何已禁用的策略设置都优先于级别较低的已启用规则。未配置的策略设置会被忽略。

重要:

如果使用组策略管理控制台同时配置 Active Directory 和 Citrix 策略,可能无法按预期应用分配和设置。有关详细信息,请参阅 CTX127461

默认情况下,提供名为“未过滤”的策略。

  • 如果您使用 Studio 管理 Citrix 策略,则添加到未筛选策略的设置将应用于站点中的所有服务器、桌面和连接。
  • 站点和连接必须在包含策略的组策略对象 (GPO) 的范围内。例如,Sales OU 包含名为 Sales-US 的 GPO,该 GPO 包含美国销售团队的所有成员。该 Sales-US GPO 是使用包含多项用户策略设置的“未过滤”策略进行配置的。当美国的销售经理登录到站点时,“未过滤”策略中的设置将自动应用到该会话。此配置是因为用户是 Sales-US GPO 的成员。

分配模式决定策略是否仅应用于匹配所有分配标准的连接。如果将模式设置为允许(默认设置),策略将仅应用到符合分配条件的连接。如果将模式设置为拒绝,将在连接不符合分配条件时应用策略。下例说明了存在多个分配时分配模式对 Citrix 策略的影响。

  • 示例:模式不同但类型相同的分配 - 如果策略中包含两个类型相同的分配,其中一个设置为“允许”,一个设置为“拒绝”,假设连接同时满足这两个分配,则设置为“拒绝”的分配优先级较高。例如:

    策略 1 包含以下分配:

    • 分配 A 指定销售组。模式设置为“允许”。
    • 分配 B 指定销售经理的帐户。模式设置为“拒绝”。

    由于分配 B 的模式设置为拒绝,因此即使销售经理属于销售组,在他登录到站点时也不会应用该策略。

  • 示例:模式相同但类型不同的分配 - 在包含两个或更多类型不同但模式设置为“允许”的策略中,连接必须至少满足每种类型的一个分配,才能应用该策略。例如:

    策略 2 包含以下分配:

    • 分配 C 是用于指定销售组的用户分配。模式设置为“允许”。
    • 分配 D 为客户端 IP 地址分配,用于指定 10.8.169.*(企业网络)。模式设置为“允许”。

    销售经理从办公室登录到站点时,会应用该策略,因为连接同时满足这两个分配。

    策略 3 包含以下分配:

    • 分配 E 是用于指定销售组的用户分配。模式设置为“允许”。
    • 分配 F 为访问控制分配,用于指定 NetScaler Gateway 连接条件。模式设置为“允许”。

    当销售经理从办公室登录网站时,由于连接不符合 Assignment F 的要求,因此该策略不适用。

创建策略