组策略设置
重要:
WEM 目前仅支持添加和编辑与
HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER注册表配置单元。
在以前的版本中,您只能将组策略首选项 (GPP) 迁移到 Workspace Environment Management (WEM) 中。 有关更多信息,请参阅 迁移 向导 丝带. 现在,您还可以将组策略设置(基于注册表的设置)导入 WEM。
导入设置后,在决定要分配的 GPO 之前,您可以获得与每个 GPO 关联的设置的逐项视图。 您可以将 GPO 分配给不同的 AD 组,就像分配其他操作一样。 如果直接将 GPO 分配给单个用户,则这些设置不会生效。 组可以包含用户和计算机。 如果相关计算机属于组,则计算机级别设置将生效。 如果当前用户属于组,则用户级别设置将生效。
提示:
要使计算机级设置立即生效,请重新启动 Citrix WEM Agent Host Service。 要使用户级别的设置立即生效,用户必须注销然后重新登录。
组策略设置
注意:
要使 WEM 代理正确处理组策略设置,请验证是否在其上启用了 Citrix WEM 用户登录服务。
启用组策略设置处理. 控制是否启用 WEM 来处理组策略设置。 默认情况下,此选项处于禁用状态。 禁用时:
- 您无法配置组策略设置。
- WEM 不会处理组策略设置,即使它们已分配给用户或用户组。
组策略对象列表
显示现有 GPO 的列表。 用 找到 以按名称或描述筛选列表。
- 刷新。 刷新 GPO 列表。
- 进口. 打开 导入组策略设置 向导,允许您将组策略设置导入 WEM。
- 编辑。 用于编辑现有 GPO。
- 删除。 删除您选择的 GPO。
导入组策略设置
在导入组策略设置之前,请在域控制器上备份组策略设置:
-
打开组策略管理控制台。
-
在 组策略管理 窗口中,右键单击要备份的 GPO,然后选择 备份。
-
在备份组策略对象窗口中,指定要保存备份的位置。 或者,您可以为备份提供描述。
-
单击备份以启动备份,然后单击确定。
-
导航到备份文件夹,然后将其压缩为 zip 文件。
注意:
WEM 还支持导入包含多个 GPO 备份文件夹的 zip 文件。
要导入组策略设置,请完成以下步骤:
-
用 上传,位于 WEM 服务的菜单中 管理 选项卡中,将 GPO 的 zip 文件上传到 Citrix Cloud 中的默认文件夹。
-
导航到 管理控制台 > 行动 > 组策略设置 选项卡中,选择 启用组策略设置处理,然后单击 进口 以打开 Import Wizard。
-
在 要导入的文件 页面中,单击 浏览 ,然后从列表中选择适用的文件。 您也可以键入文件名,然后单击 找到 以找到它。
- 覆盖之前导入的 GPO. 控制是否覆盖现有 GPO。
-
点击 开始导入 以启动导入过程。
-
导入完成后,单击 完成. 导入的 GPO 显示在 组策略设置 标签。
从注册表文件导入组策略设置
您可以将使用 Windows 注册表编辑器导出的注册表值转换为 GPO 以进行管理和分配。 如果您熟悉 Import registry files 选项,则 注册表项,此功能:
- 允许您在
HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER下导入注册表值。 - 允许您导入
REG_BINARY和REG_MULTI_SZ类型的注册表值。 - 支持转换与您在 .reg 文件中定义的注册表项和值关联的删除操作。 有关使用 .reg 文件删除注册表项和值的信息,请参阅https://support.microsoft.com/en-us/topic/how-to-add-modify-or-delete-registry-subkeys-and-values-by-using-a-reg-file-9c7f37cf-a5e9-e1cd-c4fa-2a26218a1a23。
在开始之前,请注意以下事项:
- 从 zip 文件导入设置时,该文件可以包含一个或多个注册表文件。 确保解压后文件大小不超过 30 M。
- 每个 .reg 文件都将转换为一个 GPO。 您可以将每个转换后的 GPO 视为一组注册表设置。
- 每个转换后的 GPO 的名称都是根据相应的 .reg 文件的名称生成的。 示例:如果 .reg 文件的名称为
test1.reg,则转换后的 GPO 的名称为test1。 - 转换后的 GPO 的描述为空。 它们的状态默认为 enabled (复选标记图标)。
要导入组策略设置,请完成以下步骤:
-
在管理控制台中,转到 行动 > 组策略设置选择 启用组策略设置处理中,单击 进口,然后选择 导入注册表文件.
-
在显示的向导中,浏览到注册表文件的 zip 备份。
- 覆盖现有 GPO. 控制在发生冲突时是否覆盖现有 GPO。
-
点击 开始导入.
-
导入完成后,单击 完成. 从注册表文件转换而来的 GPO 显示在 组策略设置.
编辑组策略设置
双击列表中的 GPO 可查看其设置的逐项视图,并根据需要编辑设置。
要克隆 GPO,请右键单击 GPO 并选择 复制 从菜单中。 单击 复制. 克隆继承原始副本的名称,并带有后缀 “-Copy”。您可以使用 编辑 以更改名称。
这 编辑组策略对象 窗口在您单击 编辑.
名称。 GPO 列表中显示的 GPO 名称。
说明。 允许您指定有关 GPO 的其他信息,该信息将显示在 GPO 列表中。
注册表操作. 显示 GPO 包含的注册表操作。
警告:
错误地编辑、添加和删除基于注册表的设置可能会阻止设置在用户环境中生效。
- 添加。 允许您添加注册表项。
- 编辑。 允许您编辑注册表项。
- 删除。 用于删除注册表项。
要添加注册表项,请单击 加 在右侧。 以下设置可用:
-
次序. 用于指定注册表项的部署顺序。
-
操作。 用于指定注册表项的操作类型。
- 设置值。 允许您为注册表项设置值。
- 删除值。 允许您删除注册表项的值。
- 创建密钥。 允许您根键和子路径的组合创建密钥。
- 删除密钥。 允许您删除注册表项下的键。
- 删除所有值。 允许您删除注册表项下的所有值。
-
根密钥。 支持的值:
HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER。 -
子路径。 没有根项的注册表项的完整路径。 例如,如果
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows是注册表项的完整路径,则Software\Microsoft\Windows是子路径。 -
价值. 允许您为注册表值指定名称。 下图中突出显示的项目作为一个整体是注册表值。
-
类型。 允许您为值指定数据类型。
- REG_SZ。 此类型是用于表示人类可读文本值的标准字符串。
- REG_EXPAND_SZ。 此类型是一个可扩展的数据字符串,其中包含应用程序调用时要替换的变量。 例如,对于以下值,字符串“%SystemRoot%”将被操作系统中文件夹的实际位置替换。
- REG_BINARY。 任何形式的二进制数据。
- REG_DWORD。 32 位数字。 此类型通常用于布尔值。 例如,“0”表示已禁用,“1”表示已启用。
- REG_DWORD_LITTLE_ENDIAN。 小端格式的 32 位数字。
- REG_QWORD。 一个 64 位的数字。
- REG_QWORD_LITTLE_ENDIAN。 小端格式的 64 位数字。
- REG_MULTI_SZ。 此类型是一个多字符串,用于表示包含列表或多个值的值。 每个条目都用空字符分隔。
- 数据。 允许您键入与注册表值对应的数据。 对于不同的数据类型,您可能需要以不同的格式键入不同的数据。
您的更改可能需要一些时间才能生效。 请记住以下几点:
- 与
HKEY_LOCAL_MACHINEregistry hive 在以下情况下生效 Citrix WEM 代理主机服务 starts 或指定的 SQL 设置刷新延迟 超时。 - 与
HKEY_CURRENT_USERRegistry Hive 在用户登录时生效。
将组策略设置置于上下文中
您可以通过使用筛选器将组策略设置的分配置于上下文中,从而使组策略设置成为条件。 筛选器包括一条规则和多个条件。 仅当用户环境在运行时满足规则中的所有条件时,WEM Agent 才会应用分配的组策略设置。 否则,在强制执行筛选器时,代理会跳过这些设置。
将组策略设置设为条件的常规工作流如下:
-
在管理控制台中,导航到 过滤 器 > 条件 并定义您的条件。 看 条件.
重要:
有关可用筛选条件的完整列表,请参阅 筛选条件. 组策略设置包括用户和计算机设置。 某些筛选条件仅适用于用户设置。 如果将这些筛选条件应用于计算机设置,WEM 代理将忽略筛选条件并应用计算机设置。 有关不适用于计算机设置的筛选条件的完整列表,请参阅 不适用于机器设置的过滤条件.
-
导航到 过滤 器 > 规则 并定义您的筛选规则。 您可以将在步骤 1 中定义的条件包含在该规则中。 看 规则.
-
导航到 行动 > 组策略设置 并配置您的组策略设置。
-
导航到 管理控制台 > 作业 > 操作分配 并完成以下操作:
-
双击要为其分配设置的用户或用户组。
-
选择应用程序并单击向右箭头 (>) 进行分配。
-
在 分配过滤器 窗口中,选择您在步骤 2 中定义的规则,然后单击 还行. 设置从 可用 窗格添加到 分配 窗 格。
-
在 分配 窗格中,配置设置的优先级。 键入一个整数以指定优先级。 价值越大,优先级就越高。 优先级较高的设置将在以后进行处理,以确保它们在发生冲突或依赖关系时生效。
-
不适用于机器设置的过滤条件
| 筛选器名称 | 适用于计算机设置 |
|---|---|
| ClientName 匹配 | 否 |
| 客户端 IP 地址匹配 | 否 |
| 注册表值匹配 | 如果您以 HKCU 开头配置注册表值,则 注册表值匹 配筛选器如果应用于计算机设置,则不起作用。 |
| 用户国家/地区匹配 | 否 |
| 用户 UI 语言匹配 | 否 |
| 用户 SBC 资源类型 | 否 |
| Active Directory 路径匹配 | 否 |
| Active Directory 属性匹配 | 否 |
| ClientName 不匹配 | 否 |
| 没有客户端 IP 地址匹配 | 否 |
| 无注册表值匹配 | 否 |
| 无用户国家/地区匹配 | 否 |
| 没有用户 UI 语言匹配 | 否 |
| 没有 Active Directory 路径匹配 | 否 |
| 没有 Active Directory 属性匹配 | 否 |
| 客户端远程 OS 匹配 | 否 |
| 无客户端远程操作系统匹配 | 否 |
| Active Directory 组匹配 | 否 |
| 没有 Active Directory 组匹配 | 否 |
| 已发布的资源名称 | 否 |