策略组管理
策略组是租户管理员在云桌面管理后端对云桌面实施各种功能禁用、安全管控、数据防护、接入限制等管理策略的重要手段。租户管理员可以将各项管控措施进行分别定制录入并统一汇总,构建成为针对各种场景的策略组,从而让桌面的最终接入访问符合期望的控制目标。
在每个租户上下文中,由租户管理员负责编辑策略组,并将其应用到具体的桌面或桌面池对象上。系统管理员则负责在系统控制台中维护预设的策略组模板,供租户管理员参考复制生成策略组。
一、 策略组核心逻辑
- 关联落点:策略组最终关联到 桌面 对象上,终端用户使用桌面时会受到关联策略组的控制。
- 单一关联原则:一个桌面仅能关联一个策略组。
- 对象限制:仅桌面和动态桌面池支持关联策略组,用户、终端等对象不支持直接关联。
- 动态池联动:动态桌面池关联策略组后,池内动态创建的桌面会自动关联上相应的策略组。
- 租户隔离:策略组属于租户内资源,各租户间的策略组配置互不干扰。
二、 策略配置分类
策略配置主要分为以下类别:
-
协议策略:
- 管控本质:此处管控的是 设备重定向策略。
- 配置项:支持配置扬声器/麦克风音质(高、中、低)及摄像头、游戏手柄、打印机的允许或禁止。
- 权限细节:支持剪切板控制(双向允许、双向禁止、仅允许拷贝到桌面、仅允许从桌面拷贝出)以及共享文件夹的读写控制。
-
外设重定向策略:
- 管控本质:此处专门控制的是 USB 外设端口重定向。
- 配置项:提供全局开关,并可针对扬声器/麦克风、摄像头、打印机、存储设备设置允许或禁止。
- 精细化过滤:支持开启黑名单或白名单模式,支持按照“设备类型”或“厂商产品号 (PID/VID)”进行过滤。
注:关于“设备重定向”与“端口重定向”的区别,请参考 产品简介 -> 技术架构 -> 组件构成 -> 5.1 远程桌面协议服务端(数据面) 章节的描述。
-
数据传输策略:
- 截屏控制:支持允许或禁止客户端截屏。
- 动态水印:支持开启水印并自定义内容(如租户名、用户名、IP、时间等),可调整字体大小、颜色、透明度及字体类型。
-
带宽控制:
- 支持对主屏幕、扩展屏、扬声器、麦克风、摄像头及文件传输通道分别设置最大带宽限制 (Kb/s)。
-
接入管控类策略:
- 支持设置接入时间段、接入方式(仅限内网/仅限公网)、客户端 IP 地址黑白名单。
- 支持设置桌面是否必须采用域账号登录,以及桌面断连后的关机或释放资源(CPU、内存、显卡)策略。
三、 操作指引
3.1 系统管理员操作
- 路径:访问 “资源 -> 策略组模板”。
- 操作:负责编辑标准化的策略模板,作为租户管理员创建策略组的参考基准。
3.2 租户管理员操作
- 策略定制:在租户控制台的 “策略管理 -> 策略组” 中根据业务需求录入策略参数。
- 绑定应用:
- 桌面池绑定:在创建或编辑动态桌面池时,统一关联策略组。
- 桌面关联:在桌面列表页面,通过 行操作 或 表批量操作 点击 “关联策略组”,在右侧弹出的 抽屉交互页 中选择目标策略组进行关联。
提示:建议结合公司部门职能进行划分和定义策略组。例如对于安全等级要求极高的研发部门,建议在“外设重定向策略”中启用白名单模式,仅允许必要的办公外设接入。