策略组管理
在开始具体操作前,建议先阅读 系统控制台 -> 策略组管理 章节。该章节详细介绍了由系统管理员维护的默认策略组模板,这些模板是租户进行个性化配置的基础。
租户管理员可以在租户控制台中浏览这些系统默认模板,但不能直接编辑模板内容。租户管理员需要先从策略组模板复制一份策略组,然后在此基础上进行针对特定场景(如办公、研发、外包等)的精细化策略编辑与调整。
一、 数据外泄防范策略 (DLP)
若要严格管控云桌面数据外泄,必须针对所有数据流转通道实施闭环禁止。建议按以下矩阵逐项配置,以确保数据的安全性:
| 维度 | 关键配置项 | 严控建议设置 |
|---|---|---|
| 协议重定向 | 打印机 | 禁止 |
| 协议重定向 | 剪切板重定向 | 双向禁止(或仅允许从终端拷入桌面) |
| 协议重定向 | 共享文件夹 | 关闭(或只读) |
| 外设重定向 | 全局开关 | 关闭(或关闭打印机和存储设备) |
| 外设重定向 | 打印机 | 关闭 |
| 外设重定向 | 存储设备 | 关闭 |
| 数据传输策略 | 截屏 | 禁止 |
| 数据传输策略 | 屏幕水印 | 开启 |
二、 客户端交互与重定向逻辑
部分策略会直接在客户端界面展示,使用户能清晰获知当前的权限状态,避免因不可用而产生困惑。
2.1 桌面工具栏与外设状态
在已连接桌面的 顶部浮动工具栏 中,用户可通过 “设备管理” 界面查看外设状态:
- 策略提示:如果某个外部设备因策略控制被禁止执行“设备重定向”或“端口重定向”,该界面会明确给出提示。
- 透明化管理:通过这种即时反馈,用户能一目了然地获知外设是被管理员设置的策略所限制,从而避免因无法连接而产生疑惑。
2.2 剪切板与水印
- 交互感知:剪切板策略会在客户端展示,方便终端用户获知当前的复制粘贴权限。
- 安全溯源:水印开启后将直接覆盖在桌面图像上,用于防止非法摄屏或拍照。
2.3 共享文件夹映射
- 客户端支持:终端用户(不含瘦终端用户)可自行添加客户端本地目录。
- 读写权限:若策略设为“只读”,用户只能将本地数据读取到桌面,无法从桌面反向写入数据,确保数据安全。
三、 瘦终端 USB 存储逻辑
在瘦终端环境下,U 盘重定向表现形式根据 U 盘的格式化状态而异:
- USB 数据目录(共享文件夹方式):
- 触发条件:U 盘已格式化为本地 Linux 可识别的文件系统并自动挂载。
- 优势:在桌面内表现为网络共享文件夹,读写性能更优,建议优先使用。
- 原始 USB 设备(端口重定向方式):
- 触发条件:U 盘未格式化或格式化的文件系统 Linux 不识别,本地无法识别挂载。
- 表现:仅能通过端口重定向方式映射到桌面使用。
四、 接入管控策略
系统通过客户端访问管理端时所采用的地址,自动判定用户的接入环境:
- 内网接入:客户端使用主管理节点的内网地址接入。
- 公网接入:客户端使用主管理节点的公网映射地址接入,即使客户端实际上处于内部网络。
- 准入限制:若当前不满足 接入时段、接入位置 或 客户端 IP 段 要求,系统将拒绝返回桌面连接信息,且客户端会被拒绝连接。
五、 算力资源调度
关机后释放算力 策略主要用于管理不同底层云平台的资源占用:
- OpenStack 平台:勾选后,桌面关机时会通过归档搁置释放 CPU、内存及 GPU 资源,避免资源被闲置占用。
- ZStack 平台:底层已原生支持自动释放能力,此处 无需重复配置。
- 其他平台:视云平台自身能力而定。
注意:修改策略组后,通常需要用户 从客户端退出登录后重新连接桌面会话 才能完全生效。