仅允许特定用户组通过NetScaler访问虚拟桌面

需求描述

通常情况下我们的AD环境是为企业内多个业务系统提供服务，在交付Citrix VirtualDesktop环境后，我们通常会通过Citrix ADC（原名叫NetScaler）设备作为安全代理网关进行虚拟桌面访问，默认情况下Citrix ADC与AD集成后，所有用户都允许登录，只不过未经授权的用户无法看到任何资源。

未经授权的登录可能会带来一些潜在的风险，我们科技通过Citrix ADC与AD集成的用户过滤功能，仅允许使用Citrix VirtualDesktop的用户组通过Citrix ADC认证，其余用户禁止登录。

配置过程

首先登录AD，确定我们当前用户组的DN属性值，并将其复制

1） 打开“ActiveDirectory用户和计算机”的高级功能

2） 找到要配置的用户组，右键打开属性页面，在“属性编辑器”，复制“distinguishedName”的属性值

登录到Cititrix ADC，导航“Citrix Gateway”的LDAP认证服务器配置文件配置页面，在Other Settings的Search Filter处输入下述属性，其中下文标黄部分为我们在上一步复制的用户组DN属性，在前面添加Microsoft AD的OID属性值1.2.840.113556.1.4.1941。

memberOf:1.2.840.113556.1.4.1941:=CN=用户组名称,OU=公司OU,DC=ihuayun,DC=local

Group Attribute更改为memberOf

配置完毕，保存后即可生效，尝试使用不在该用户组中的用户已经无法通过Citrix ADC页面登录了