组策略设置
重要:
WEM 目前仅支持添加和编辑与
HKEY_LOCAL_MACHINE
和HKEY_CURRENT_USER
注册表配置单元关联的组策略设置。
在以前的版本中,您只能将组策略首选项 (GPP) 迁移到 Workspace Environment Management (WEM) 中。有关详细信息,请参阅 功能区 中的 迁移向导的说明。您现在还可以将组策略设置(基于注册表的设置)导入到 WEM 中。
导入设置后,在决定要分配哪个 GPO 之前,您可以拥有与每个 GPO 关联的设置的逐项视图。您可以将 GPO 分配给不同的 AD 组,就像分配其他操作一样。如果您直接将 GPO 分配给单个用户,则设置不会生效。组可以包含用户和计算机。如果相关计算机属于组,则计算机级别设置将生效。如果当前用户属于组,则用户级别设置将生效。
提示:
要使计算机级设置立即生效,请重新启动 Citrix WEM Agent Host Service。要使用户级别的设置立即生效,用户必须注销然后重新登录。
组策略设置
注意:
要使 WEM 代理能够正确处理组策略设置,请验证是否在其上启用了 Citrix WEM 用户登录服务。
启用组策略设置处理。控制是否启用 WEM 处理组策略设置。默认情况下,此选项处于禁用状态。禁用时:
- 您无法配置组策略设置。
- 即使组策略设置已分配给用户或用户组,WEM 也不会处理这些设置。
组策略对象列表
显示现有 GPO 的列表。使用查找按名称或描述筛选列表。
- 刷新。刷新 GPO 列表。
- 导入。打开 导入组策略设置 向导,该向导允许您将组策略设置导入 WEM。
- 编辑。用于编辑现有 GPO。
- 删除。删除您选择的 GPO。
导入组策略设置
导入组策略设置之前,请在域 Controller 上备份组策略设置:
-
打开组策略管理控制台。
-
在 组策略管理 窗口中,右键单击要备份的 GPO,然后选择 备份。
-
在备份组策略对象窗口中,指定要保存备份的位置。或者,您可以为备份提供描述。
-
单击备份以启动备份,然后单击确定。
-
导航到备份文件夹,然后将其压缩为 zip 文件。
注意:
WEM 还支持导入包含多个 GPO 备份文件夹的 zip 文件。
要导入组策略设置,请完成以下步骤:
-
使用 WEM 服务管理选项卡上菜单中的上载,将 GPO 的 zip 文件上传到 Citrix Cloud 中的默认文件夹。
-
导航到管理控制台 > 操作 > 组策略设置选项卡,选择启用组策略设置处理,然后单击导入以打开导入向导。
-
在导入向导的要导入的文件页面上,单击浏览,然后从列表中选择适用的文件。您也可以键入文件的名称,然后单击“查 找”找到 它。
- 覆盖您之前导入的 GPO。控制是否覆盖现有 GPO。
-
单击 开始导入 以启动导入过程。
-
导入完成后,单击完成。导入的 GPO 将显示在 组策略设置 选项卡上。
从注册表文件导入组策略设置
您可以将使用 Windows 注册表编辑器导出的注册表值转换为 GPO 以进行管理和分配。如果您熟悉注册表项中提供的“导入注册表文件”选项,则此功能:
- 允许您在
HKEY_LOCAL_MACHINE
和HKEY_CURRENT_USER
下导入注册表值。 - 允许您导入
REG_BINARY
和REG_MULTI_SZ
类型的注册表值。 - 支持转换与在 .reg 文件中定义的注册表项和值关联的删除操作。有关使用 .reg 文件删除注册表项和值的信息,请参见 https://support.microsoft.com/en-us/topic/how-to-add-modify-or-delete-registry-subkeys-and-values-by-using-a-reg-file-9c7f37cf-a5e9-e1cd-c4fa-2a26218a1a23。
在开始之前,请注意以下事项:
- 从 zip 文件导入设置时,该文件可以包含一个或多个注册表文件。确保解压缩文件的大小不超过 30 M。
- 每个 .reg 文件都将转换为一个 GPO。您可以将每个转换后的 GPO 视为一组注册表设置。
- 每个转换后的 GPO 的名称都是根据相应的 .reg 文件的名称生成的。示例:如果 .reg 文件的名称为
test1.reg
,则转换后的 GPO 的名称为test1
。 - 转换后的 GPO 的描述为空。它们的状态默认为已启用(复选标记图标)。
要导入组策略设置,请完成以下步骤:
-
在管理控制台中,转至“操作”>“组策略设置”,选择“启用组策略设置处理”,单击“导入”旁边的向下箭头,然后选择“导入注册表文件”。
-
在出现的向导中,浏览到注册表文件的 zip 备份。
- 覆盖现有的 GPO。控制在发生冲突时是否覆盖现有 GPO。
-
单击“开始导入”。
-
导入完成后,单击完成。从注册表文件转换的 GPO 将显示在“组策略设置”中。
编辑组策略设置
从列表中双击某个 GPO 以获得其设置的逐项视图,并根据需要编辑设置。
要克隆 GPO,请右键单击 GPO,然后从菜单中选择 复制 。单击复制后,将自动创建克隆。克隆继承原始文件的名称,并带有后缀“-Copy”。您可以使用“编辑”来更改名称。
单击编辑后,将显示编辑组策略对象窗口。
名称。GPO 列表中显示的 GPO 名称。
说明。用于指定有关 GPO 的其他信息,该信息显示在 GPO 列表中。
注册表操作。显示 GPO 包含的注册表操作。
警告:
错误地编辑、添加和删除基于注册表的设置可能会阻止设置在用户环境中生效。
- 添加。允许您添加注册表项。
- 编辑。允许您编辑注册表项。
- 删除。允许您删除注册表项。
要添加注册表项,请单击右侧的 添加 。以下设置可用:
-
命令。允许您指定注册表项的部署顺序。
-
操作。用于指定注册表项的操作类型。
- 设置值。允许您为注册表项设置值。
- 删除值。允许您删除注册表项的值。
- 创建密钥。允许您根键和子路径的组合创建密钥。
- 删除密钥。允许您删除注册表项下的键。
- 删除所有值。允许您删除注册表项下的所有值。
-
根密钥。支持的值:
HKEY_LOCAL_MACHINE
和HKEY_CURRENT_USER
。 -
子路径。没有根项的注册表项的完整路径。例如,如果
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
是注册表项的完整路径,则Software\Microsoft\Windows
是子路径。 -
值。允许您为注册表值指定名称。下图中突出显示的项目作为一个整体是注册表值。
-
类型。允许您为值指定数据类型。
- REG_SZ。此类型是用于表示人类可读文本值的标准字符串。
- REG_EXPAND_SZ。此类型是一个可扩展的数据字符串,其中包含应用程序调用时要替换的变量。例如,对于以下值,字符串“%SystemRoot%”将被操作系统中文件夹的实际位置替换。
- REG_BINARY。任何形式的二进制数据。
- REG_DWORD。32 位数字。此类型通常用于布尔值。例如,“0”表示已禁用,“1”表示已启用。
- REG_DWORD_LITTLE_ENDIAN。小端格式的 32 位数字。
- REG_QWORD。一个 64 位的数字。
- REG_QWORD_LITTLE_ENDIAN。小端格式的 64 位数字。
- REG_MULTI_SZ。此类型是一个多字符串,用于表示包含列表或多个值的值。每个条目都用空字符分隔。
- 数据。允许您键入与注册表值对应的数据。对于不同的数据类型,您可能需要以不同的格式键入不同的数据。
您的更改可能需要一些时间才能生效。请牢记以下几点:
- 与
HKEY_LOCAL_MACHINE
注册表配置单元关联的更改将在 Citrix WEM Agent Host Service 启动或指定的 SQL 设置刷新延迟超时时生效。 - 与
HKEY_CURRENT_USER
注册表配置单元关联的更改在用户登录时生效。
上下文化组策略设置
您可以使用筛选器对其分配进行上下文化,从而使组策略设置有条件。筛选器包括一条规则和多个条件。仅当用户环境在运行时满足规则中的所有条件时,WEM Agent 才会应用分配的组策略设置。否则,在强制执行筛选器时,代理会跳过这些设置。
使组策略设置有条件的常规工作流程如下:
-
在管理控制台中,导航到“筛选器”>“条件”并定义条件。请参阅 条件。
重要:
有关可用筛选条件的完整列表,请参阅 筛选条件。组策略设置包括用户和计算机设置。某些筛选条件仅适用于用户设置。如果将这些筛选条件应用于计算机设置,WEM Agent 将忽略筛选条件并应用计算机设置。有关不适用于计算机设置的筛选条件的完整列表,请参阅 不适用于计算机设置的筛选条件。
-
导航到“筛选器”>“规则”并定义筛选器规则。您可以将在步骤 1 中定义的条件包括在该规则中。请参阅 规则。
-
导航到 操作 > 组策略设置 ,然后配置组策略设置。
-
导航到 管理控制台 > 分配 > 操作分配 ,然后完成以下操作:
-
双击要向其分配设置的用户或用户组。
-
选择应用程序,然后单击向右箭头 (>) 以分配它们。
-
在“分配筛 选器”窗口中,选择您在步骤 2 中定义的规则,然后单 击“确定”。设置从“可用”窗格移至“已分配”窗格。
-
在已分配窗格中,配置设置的优先级。键入一个整数以指定优先级。价值越大,优先级就越高。优先级较高的设置将在稍后处理,以确保它们在发生冲突或依赖关系时生效。
-
过滤条件不适用于计算机设置
筛选器名称 | 适用于计算机设置 |
---|---|
ClientName 匹配 | 否 |
客户端 IP 地址匹配 | 否 |
注册表值匹配 | 如果您以 HKCU 开头配置注册表值,则 注册表值匹 配筛选器如果应用于计算机设置,则不起作用。 |
用户国家/地区匹配 | 否 |
用户 UI 语言匹配 | 否 |
用户 SBC 资源类型 | 否 |
Active Directory 路径匹配 | 否 |
Active Directory 属性匹配 | 否 |
无 ClientName 匹配 | 否 |
没有客户端 IP 地址匹配 | 否 |
无注册表值匹配 | 否 |
无用户国家/地区匹配 | 否 |
没有用户 UI 语言匹配 | 否 |
没有 Active Directory 路径匹配 | 否 |
没有 Active Directory 属性匹配 | 否 |
客户端远程 OS 匹配 | 否 |
无客户端远程操作系统匹配 | 否 |
Active Directory 组匹配 | 否 |
没有 Active Directory 组匹配 | 否 |
已发布的资源名称 | 否 |