-
-
-
控制用户对应用程序的访问
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
控制用户对应用程序的访问
应用程序访问控制功能允许您使用规则控制用户对应用程序的访问。它可以帮助您简化应用程序和映像的管理。例如,您可以将相同的计算机交付给不同的部门,同时满足其独特的应用程序要求,从而减少映像数量。
本文将引导您完成启用应用程序访问控制和配置控制规则的过程。它还提供了使用此功能简化虚拟环境中的映像管理的示例。
概述
借助应用程序访问控制功能,您可以通过配置隐藏规则对用户、计算机和进程隐藏应用程序。
应用程序隐藏规则定义了两部分信息:
-
要隐藏的对象。要对应用程序隐藏的文件、文件夹和注册表项。
例如,要隐藏应用程序,必须指定与此应用程序关联的所有对象,例如文件、文件夹和注册表项。
-
分配。要对其隐藏应用程序的用户、计算机和进程。
分配类型
隐藏规则的分配分为三类:用户、计算机和进程。详细的分配类型如下所示:
- 用户
- 用户组
- 计算机
- 组织单位 (OU)
- 进程
注意:
在应用程序访问控制环境中,OU 仅用作计算机的容器。因此,OU 分配只能对 OU 中的计算机隐藏应用程序。它不会对 OU 中的用户隐藏应用程序。
当应用程序隐藏规则配置了多个分配时,请注意以下注意事项:
- 如果这些分配属于同一类别(例如,用户 A 和用户组 B),则应用程序将对这些分配中指定的所有对象(用户 A 和用户组 B 中的所有用户)隐藏。
- 如果这些分配属于不同的类别(例如,用户 A 和计算机 X),则当满足所有这些分配中指定的条件时(当用户 A 登录到计算机 X 时),应用程序将隐藏。
- 如果这些分配属于流程类别,应用程序将对在这些分配中指定的所有进程隐藏。
注意:
如果没有为规则配置任何分配,在该规则中指定的应用程序将被隐藏。
工作流
借助应用程序访问控制功能,Profile Management 可以根据您提供的规则向用户、计算机和进程隐藏应用程序。
要将应用程序访问控制应用到您的环境,必须先创建隐藏规则。为此,请使用规则生成器,这是 Profile Management 安装包附带的一个 PowerShell 工具。
简而言之,创建隐藏规则的过程如下:
-
为应用程序创建隐藏规则:
- 为应用程序指定要隐藏的文件、文件夹和注册表项。
- 为规则配置分配。为此,请指定要向其隐藏应用程序的用户、计算机或进程组。有关详细信息,请参阅分配类型。
-
重复步骤 1 为其他应用程序创建隐藏规则。
-
为您配置的所有规则生成原始数据。
有关规则生成器的详细信息,请参阅使用规则生成器创建、管理和部署规则。
-
使用 GPO 将隐藏规则应用到您的环境中的计算机。有关详细信息,请参阅使用 GPO 启用应用程序访问控制。
使用规则生成器创建、管理和部署规则
本部分内容提供有关使用基于 PowerShell 的规则生成器创建、管理和部署规则的指导。
在开始之前,请确保运行该工具的计算机:
- 安装了 Windows 10 或 11,或者 Windows Server 2016、2019 或 2022
- 与您的用户和计算机位于同一个域中
常规过程如下所示:
- 以管理员身份运行 Windows PowerShell。
- 访问 Profile Management 安装包中的 \tool 文件夹,然后运行 CPM_App_Access_Control_Config.ps1。
- 按照屏幕上的说明创建、管理和生成隐藏规则:
-
查看计算机上安装的每个应用程序及其状态:
- 未配置。没有为应用程序配置任何规则。
- 已配置。为应用程序配置了一条或多条规则,但这些规则都不应用到计算机。
- 已配置并应用。为应用程序配置了一条或多条规则,并且至少有一条规则应用到计算机。
-
在应用程序列表中,通过输入其索引选择要隐藏的应用程序。将显示对应用程序隐藏的所有文件、文件夹和注册表项。
-
要对所选应用程序隐藏其他文件、文件夹或注册表项,请输入其路径将其添加到应用程序中。
可以在路径中使用系统环境变量(例如 %windir%)。不支持用户环境变量(例如 %appdata%)。
注意:
也可以通过将应用程序与某些文件、文件夹和注册表项关联来手动定义应用程序。
-
为规则配置分配。在详细信息中,指定分配类型(用户、用户组、计算机、OU 或进程),然后输入选定类型中要对应用程序隐藏的特定对象。对于用户、用户组和 OU,请输入其 AD 域名。对于计算机,请输入其 DNS 主机名。
注意:
如果您没有为规则配置任何分配,在该规则中指定的应用程序将不可见。
-
- 重复步骤 3 为其他应用程序创建隐藏规则。
- 按照屏幕上的提示生成您配置的规则的原始数据,然后将其保存在 .txt 文件中以备将来使用。
- 要测试规则的有效性,请将其部署到本地注册表或者通过 GPO 部署到一组计算机的注册表。
注意:
我们不建议使用此工具将规则部署到生产环境。
使用 GPO 启用应用程序访问控制
创建并生成应用程序访问控制规则后,可以使用 GPO 将规则应用到环境中的计算机。
要将控制规则应用到使用 GPO 的计算机,请执行以下步骤:
- 打开组策略管理编辑器。
- 访问 Policies(策略)> Administrative Templates: Policy definitions (ADMX files)(管理模板: 策略定义(ADMX 文件))> Citrix Components(Citrix 组件)> Profile Management > App access control(应用程序访问控制)。
- 双击 App access control(应用程序访问控制)。
- 在出现的策略窗口中,选择 Enabled(已启用)。
- 打开保存生成的规则的 .txt 文件,复制内容并将其粘贴到 App access control rules(应用程序访问控制规则)字段。
- 单击确定。
该功能的配置优先级如下:
- 如果未使用 GPO、Studio 或 WEM 配置此设置,则将使用 .ini 文件中的值。
- 如果未在任何位置配置此设置,该功能将处于禁用状态。
示例
本部分内容使用示例指导您实现映像的应用程序访问控制。
要求
此示例中的要求如下:
- 使用单个映像为销售、人力资源和工程部门创建虚拟机。
- 控制用户对以下应用程序的访问权限:
- Microsoft Excel:对人力资源部门的用户不可见。
- Visual Studio 代码:对销售或人力资源部门的用户不可见。
解决方案
安装 Profile Management 以控制用户对已安装的应用程序的访问。
安装模板计算机
安装用于捕获映像的模板计算机。过程如下:
- 将新计算机加入与您的用户和计算机相同的 AD 域。
- 在计算机上安装以下软件:
- Windows 10 或 11 或者 Windows Server 2016、2019 或 2022(根据需要)
- Profile Management 版本 2303 或更高版本
- 所有必需的应用程序
创建和生成隐藏规则
-
在模板计算机上,使用规则生成器创建和生成隐藏规则。
- 规则 1:向人力资源部门的用户隐藏 Microsoft Excel(应用程序:Microsoft Excel;分配:人力资源用户组)
- 规则 2:向销售或人力资源部门的用户隐藏 Visual Studio 代码(应用程序:Visual Studio 代码;分配:销售用户组和人力资源用户组)
-
为这两个规则生成原始数据并将其保存到 .txt 文件中。
有关如何使用该工具的详细信息,请参阅使用规则生成器创建、生成和部署规则。
现在,您可以从模板计算机捕获映像。
使用 GPO 启用应用程序访问控制
创建虚拟机后,使用 GPO 集中启用应用程序访问控制并将生成的规则应用到计算机。有关详细信息,请参阅使用 GPO 启用应用程序访问控制。
共享
共享
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.