策略组用于设置用户通过办公场景客户端(如Workspace_App),或教育场景客户端(如教师端和学生端)使用云桌面或虚拟应用的权限,是多种类型授权策略的集合。包括VDI架构策略、IDV架构策略、VOI架构策略、物理机策略、vAPP策略和winserver策略。策略组包含如下策略规则:
外设:用于配置本地资源映射(磁盘映射、摄像头映射等)、USB重定向和存储设备只读模式。
客户端:用于配置桌面电源控制和操作管理。
会话:用于配置登录操作、超时操作和其他操作。
显示:用于设置vGPU场景和显示配置。vGPU场景支持超轻载办公、轻载办公、中载办公、标准办公和重载办公五种场景。显示配置用于设置云桌面的带宽、视频显示参数、高级编码参数和图像编码参数。
水印:办公场景下,系统支持如下两种水印。
明水印:明水印是通过在客户端进行图层叠加实现的一种云桌面中肉眼可见的文字水印。明水印适用于版权证明和保护等场景。
盲水印:盲水印是通过在云桌面内进行叠加图层实现的一种云桌面中人为无法感知的文字水印。其目的是在不破坏原始图片的情况下,实现对图片的溯源和追踪。盲水印适用于需要进行版权保护或保密业务泄密后追溯责任等场景。用户截取的包含云桌面屏幕的图片,通过管理平台上盲水印解析功能可解析出水印清晰的图片。关于解析盲水印的具体操作,请参见盲水印解析(办公场景)。
带宽控制:用于设置协议通道的带宽限制,包括总体带宽限制以及各个通道的带宽限制。
网络规则:针对IDV或VOI终端上云桌面设置网络黑名单,禁止黑名单中的IP或端口与IDV或VOI终端上的云桌面互通。
安全:安全规则是指用户权限组、软件黑白名单管控以及屏幕监控的规则。
用户权限组:设置授权用户连接云桌面后加入的用户组。修改用户权限组后,需要断开重连云桌面才生效。
软件黑白名单:
软件黑名单:用于禁止匹配黑名单规则的软件在云桌面中运行。当用户不希望在云桌面中运行某些软件或者某些软件会影响云桌面安全、稳定的运行时,可通过该特性对此类软件进行屏蔽。应用软件黑名单对应策略的云桌面中,若有黑名单中的程序正在运行,则将其进程关闭;当有黑名单中的程序在创建或者拷贝到云桌面中,将弹框提示用户该软件非法。
软件白名单:用于只允许白名单中的软件在云桌面中运行。云桌面操作系统的进程不受白名单限制。
屏幕监控:启用后,云桌面画面将以持续截图的方式被录屏,云桌面内键盘鼠标无操作5分钟以上将结束录屏。开启此功能前,请在[系统/日志/屏幕监控日志]页面完成录屏服务器配置。
个性化数据:个性化数据用于对域用户Windows云桌面的用户配置文件的管理。目前仅支持用户数据漫游功能。启用该功能时,需配置网络服务器中的一个共享路径,即漫游配置文件路径。当域用户登录任意一台为其授权云桌面时,将从共享路径同步其用户配置文件,以便拥有统一的云桌面工作环境;当域用户退出云桌面时,其桌面工作环境的更改将自动保存到该共享路径内,供下次登录云桌面使用。
应用加速:用于保证云桌面中相关应用程序对CPU、内存、I/O的资源使用体验。
办公场景下,系统提供默认策略组Default-Strategy,包括VDI、IDV、VOI、物理机、vAPP、winserver六种策略类型的配置,分别适配VDI桌面、IDV桌面、VOI桌面、物理机、虚拟应用和winserver桌面。ARM架构主机不支持物理机和winserver策略。
根据策略组应用对象的不同,支持的策略规则也有差异,具体如下表所示。
表-1 策略规则支持情况说明
|
应用对象 |
外设 |
客户端 |
会话 |
显示 |
水印 |
网络规则 |
带宽控制 |
安全 |
个性化数据 |
应用加速 |
|
VDI |
√ |
√ |
√ |
√ |
√ |
× |
√ |
√ |
√ |
√ |
|
IDV |
仅支持USB重定向 |
× |
仅支持用户确认远程协助 |
× |
仅支持明水印或盲水印 |
√ |
× |
不支持屏幕监控 |
√ |
√ |
|
VOI |
仅支持USB重定向 |
× |
仅支持用户确认远程协助 |
× |
仅支持明水印或盲水印 |
√ |
× |
不支持屏幕监控 |
√ |
√ |
|
物理机 |
仅支持USB重定向(仅单独使用时支持,通过客户端连接物理机时不支持) |
× |
× |
× |
仅支持明水印或盲水印 |
√ |
× |
仅支持软件黑名单 |
× |
√ |
|
vAPP |
仅支持磁盘、剪贴板映射以及打印机摄像头重定向 |
× |
仅支持虚拟应用会话预启动、创建桌面快捷方式和虚拟应用输入法透传 |
× |
仅支持明水印 |
× |
× |
× |
√ |
× |
|
winserver |
× |
× |
× |
× |
× |
× |
× |
仅支持软件黑白名单 |
× |
√ |
新建策略组:根据选择的类型,设置对应策略。
应用策略组:策略组设置完成后,根据需要选择应用对象进行授权,对象类型可选择桌面池、桌面池分组、桌面、用户、用户分组、终端、终端分组、网络规划、OU以及应用组。
管理策略组:用于编辑、删除和查看策略组。
新建策略组:教育场景下,新建教室时将自动生成一条包含VDI类型和VOI类型授权策略的策略组,无需单独新建策略组。关于新建教室的具体操作,请参见新建教室。
应用策略组:教育场景下,终端使用所属教室的策略组,无需单独进行应用操作。
管理策略组:用于编辑策略组。教育场景下,编辑策略组后,需重新上下课或重启终端才能生效。
教育场景下,不支持“IDV”类型的授权策略。
本地资源与设备映射的生效优先级如下:USB自定义设备重定向>USB常用设备重定向>USB其他设备重定向>本地资源映射。
对于摄像头、U盘,推荐使用本地资源映射的方式进行重定向,但对于NTFS格式的U盘,若要求只读,只能使用本地资源映射的方式进行重定向;对于加密U盘,只能使用USB重定向;对于MATLAB软件,若需打开U盘中的mlx格式的工程进行实时编辑,也只能使用USB重定向。