Documentación de productos
Citrix Virtual Apps and Desktops
Service Current Release 2402 LTSR 2311 2308 2305 2303 2212 2209 2206 2203 LTSR 1912 LTSR
Ver PDF

Administración delegada

March 25, 2026
Contribución de: 
C C

Nota:

A partir de la versión 2511, Citrix Web Studio (basado en web) es la única consola de administración para Citrix Virtual Apps and Desktops™. Citrix Studio (basado en MMC) se ha eliminado del instalador. Este artículo se aplica solo a Web Studio. Para obtener información sobre Citrix Studio, consulta el artículo equivalente en Citrix Virtual Apps and Desktops 7 2212 o anterior.

El modelo de administración delegada ofrece la flexibilidad de adaptarse a cómo tu organización quiere delegar las actividades de administración, utilizando un control basado en roles y objetos. La administración delegada se adapta a implementaciones de todos los tamaños y te permite configurar una mayor granularidad de permisos a medida que tu implementación crece en complejidad. La administración delegada utiliza tres conceptos: administradores, roles y ámbitos.

  • Administradores: Un administrador representa a una persona o un grupo de personas identificadas por su cuenta de Active Directory. Cada administrador está asociado a uno o más pares de rol y ámbito.

  • Roles: Un rol representa una función de trabajo y tiene permisos definidos asociados a él. Por ejemplo, el rol de Administrador de grupos de entrega tiene permisos como ‘Crear grupo de entrega’ y ‘Quitar escritorio del grupo de entrega’. Un administrador puede tener varios roles para un sitio, por lo que una persona puede ser Administrador de grupos de entrega y Administrador de catálogos de máquinas. Los roles pueden ser integrados o personalizados.

    Los roles integrados son:

    Rol Permisos
    Administrador completo Puede realizar todas las tareas y operaciones. Un Administrador completo siempre se combina con el ámbito Todo.
    Administrador de solo lectura Puede ver todos los objetos en los ámbitos especificados, además de la información global, pero no puede cambiar nada. Por ejemplo, un Administrador de solo lectura con Ámbito=Londres puede ver todos los objetos globales (como el registro de configuración) y cualquier objeto con ámbito de Londres (por ejemplo, grupos de entrega de Londres). Sin embargo, ese administrador no puede ver objetos en el ámbito de Nueva York (suponiendo que los ámbitos de Londres y Nueva York no se superpongan).
    Administrador de asistencia técnica Puede ver los grupos de entrega y administrar las sesiones y las máquinas asociadas a esos grupos. Puede ver el catálogo de máquinas y la información del host para los grupos de entrega que se están supervisando. También puede realizar operaciones de administración de sesiones y de administración de energía de máquinas para las máquinas de esos grupos de entrega.
    Administrador de catálogos de máquinas Puede crear y administrar catálogos de máquinas y aprovisionar las máquinas en ellos. Puede crear catálogos de máquinas a partir de la infraestructura de virtualización, Provisioning Services y máquinas físicas. Este rol puede administrar imágenes base e instalar software, pero no puede asignar aplicaciones o escritorios a los usuarios.
    Administrador de grupos de entrega Puede entregar aplicaciones, escritorios y máquinas; también puede administrar las sesiones asociadas. También puede administrar configuraciones de aplicaciones y escritorios, como directivas y configuraciones de administración de energía.
    Administrador de hosts Puede administrar las conexiones de host y sus configuraciones de recursos asociadas. No puede entregar máquinas, aplicaciones o escritorios a los usuarios.
    Administrador de costes Puede supervisar y ver los detalles de costes de los catálogos de Azure MCS, específicamente el coste total incurrido durante los últimos 30 días y una comparación entre el período actual y los 30 días anteriores.

    En ciertas ediciones del producto, puedes crear roles personalizados para que coincidan con los requisitos de tu organización y delegar permisos con más detalle. Puedes usar roles personalizados para asignar permisos con la granularidad de una acción o tarea en una consola.

  • Ámbitos: Un ámbito representa una colección de objetos. Los ámbitos se utilizan para agrupar objetos de una manera relevante para tu organización (por ejemplo, el conjunto de grupos de entrega utilizados por el equipo de ventas). Los objetos pueden estar en más de un ámbito; puedes pensar en los objetos como etiquetados con uno o más ámbitos. Hay un ámbito integrado: ‘Todo’, que contiene todos los objetos. El rol de Administrador completo siempre se empareja con el ámbito Todo.

Ejemplo

La empresa XYZ decidió administrar aplicaciones y escritorios en función de su departamento (Contabilidad, Ventas y Almacén) y su sistema operativo de escritorio (Windows 7 o Windows 8). El administrador creó cinco ámbitos y luego etiquetó cada grupo de entrega con dos ámbitos: uno para el departamento donde se utilizan y otro para el sistema operativo que utilizan.

Se crearon los siguientes administradores:

Administrador Roles Ámbitos
domain/fred Administrador completo Todo (el rol de Administrador completo siempre tiene el ámbito Todo)
domain/rob Administrador de solo lectura Todo
domain/heidi Administrador de solo lectura, Administrador de asistencia técnica Todo Ventas
domain/warehouseadmin Administrador de asistencia técnica Almacén
domain/peter Administrador de grupos de entrega, Administrador de catálogos de máquinas Win7
  • Fred es un Administrador completo y puede ver, modificar y eliminar todos los objetos del sistema.
  • Rob puede ver todos los objetos del sitio, pero no puede modificarlos ni eliminarlos.
  • Heidi puede ver todos los objetos y realizar tareas de asistencia técnica en los grupos de entrega del ámbito de Ventas. Esto le permite administrar las sesiones y las máquinas asociadas a esos grupos; no puede realizar cambios en el grupo de entrega, como agregar o quitar máquinas.
  • Cualquier persona que sea miembro del grupo de seguridad de Active Directory warehouseadmin puede ver y realizar tareas de asistencia técnica en las máquinas del ámbito de Almacén.
  • Peter es un especialista en Windows 7 y puede administrar todos los catálogos de máquinas de Windows 7 y entregar aplicaciones, escritorios y máquinas de Windows 7, independientemente del ámbito del departamento en el que se encuentren. El administrador consideró convertir a Peter en un Administrador completo para el ámbito de Win7. Sin embargo, decidió no hacerlo, porque un Administrador completo también tiene derechos completos sobre todos los objetos que no tienen ámbito, como ‘Sitio’ y ‘Administrador’.

Cómo usar la administración delegada

Generalmente, el número de administradores y la granularidad de sus permisos dependen del tamaño y la complejidad de la implementación.

  • En implementaciones pequeñas o de prueba de concepto, uno o unos pocos administradores hacen todo. No hay delegación. En este caso, crea cada administrador con el rol de Administrador completo integrado, que tiene el ámbito Todo.
  • En implementaciones más grandes con más máquinas, aplicaciones y escritorios, se necesita más delegación. Varios administradores pueden tener responsabilidades funcionales más específicas (roles). Por ejemplo, dos son Administradores completos y otros son Administradores de asistencia técnica. Además, un administrador puede administrar solo ciertos grupos de objetos (ámbitos), como catálogos de máquinas. En este caso, crea nuevos ámbitos, además de administradores con uno de los roles integrados y los ámbitos adecuados.
  • Las implementaciones aún más grandes pueden requerir más ámbitos (o más específicos), además de diferentes administradores con roles no convencionales. En este caso, modifica o crea más ámbitos, crea roles personalizados y crea cada administrador con un rol integrado o personalizado, además de los ámbitos existentes y nuevos.

Para mayor flexibilidad y facilidad de configuración, puedes crear ámbitos al crear un administrador. También puedes especificar ámbitos al crear o modificar catálogos de máquinas o conexiones.

Crear y administrar administradores

Cuando creas un sitio como administrador local, tu cuenta de usuario se convierte automáticamente en un Administrador completo con permisos completos sobre todos los objetos. Una vez creado un sitio, los administradores locales no tienen privilegios especiales.

El rol de Administrador completo siempre tiene el ámbito Todo; no puedes cambiar esto.

De forma predeterminada, un administrador está habilitado. Deshabilitar un administrador puede ser necesario si lo estás creando ahora, pero esa persona no comenzará las tareas de administración hasta más tarde. Para los administradores habilitados existentes, quizás quieras deshabilitar a varios de ellos mientras reorganizas tus objetos/ámbitos, y luego volver a habilitarlos cuando estés listo para poner en marcha la configuración actualizada. No puedes deshabilitar un Administrador completo si esto resultara en que no hubiera ningún Administrador completo habilitado. La casilla de verificación de habilitar/deshabilitar está disponible cuando creas, copias o modificas un administrador.

Cuando quitas un par rol/ámbito al copiar, modificar o eliminar un administrador, solo se quita la relación entre el rol y el ámbito para ese administrador. No se quita el rol ni el ámbito. Tampoco afecta a ningún otro administrador configurado con ese par rol/ámbito.

Para crear y administrar administradores, sigue estos pasos:

  1. Inicia sesión en Web Studio, haz clic en Administradores en el panel izquierdo y, a continuación, haz clic en la ficha Administradores.

  2. Sigue las instrucciones para la tarea que quieras completar:

    • Crear un administrador: Haz clic en Crear administrador en la barra de acciones. Escribe o explora el nombre de la cuenta de usuario, selecciona o crea un ámbito y, a continuación, selecciona un rol. El nuevo administrador está habilitado de forma predeterminada; puedes cambiar esto.
    • Copiar un administrador: Selecciona el administrador y, a continuación, haz clic en Copiar administrador en la barra de acciones. Escribe o explora el nombre de la cuenta de usuario. Puedes seleccionar y, a continuación, modificar o quitar cualquiera de los pares rol/ámbito, y agregar nuevos. El nuevo administrador está habilitado de forma predeterminada; puedes cambiar esto.
    • Modificar un administrador: Selecciona el administrador y, a continuación, haz clic en Modificar administrador en la barra de acciones. Puedes modificar o quitar cualquiera de los pares rol/ámbito, y agregar nuevos.
    • Quitar un administrador: Selecciona el administrador y, a continuación, haz clic en Quitar administrador en la barra de acciones. No puedes quitar un Administrador completo si esto resultara en que no hubiera ningún Administrador completo habilitado.

El panel superior muestra los administradores que creaste. Selecciona un administrador para ver sus detalles en el panel inferior. La columna Advertencias indica si los pares rol y ámbito asociados al administrador contienen roles o ámbitos no utilizables. Aparece el siguiente mensaje de advertencia si un par rol y ámbito asociado contiene roles o ámbitos no utilizables:

  • Rol o ámbito asociado no utilizable

Importante:

Un mensaje de advertencia solo aparece cuando un par rol y ámbito asociado contiene roles o ámbitos no utilizables, o ambos.

Para quitar el par rol y ámbito del administrador, completa uno de los siguientes pasos:

  • Quitar el par rol y ámbito.
    1. En la barra de acciones, haz clic en Modificar administrador.
    2. En la ventana Nombre y detalles del administrador, selecciona el par rol y ámbito y, a continuación, haz clic en Quitar.
    3. Haz clic en Guardar para salir.
  • Quitar el administrador.
    1. En la barra de acciones, haz clic en Quitar administrador.
    2. En la ventana de confirmación, haz clic en Quitar.

Crear y administrar roles

Cuando los administradores crean o modifican un rol, solo pueden habilitar los permisos que ellos mismos tienen. Esto evita que los administradores creen un rol con más permisos de los que tienen actualmente y luego se lo asignen a sí mismos (o modifiquen un rol que ya tienen asignado).

Los nombres de rol pueden contener hasta 64 caracteres Unicode; no pueden contener: barra invertida, barra diagonal, punto y coma, dos puntos, signo de almohadilla, coma, asterisco, signo de interrogación, signo igual, flecha izquierda o derecha, barra vertical, corchete izquierdo o derecho, paréntesis izquierdo o derecho, comillas o apóstrofo. Las descripciones pueden contener hasta 256 caracteres Unicode.

No puedes modificar ni quitar un rol integrado. No puedes quitar un rol personalizado si algún administrador lo está utilizando.

Nota:

Solo ciertas ediciones del producto admiten roles personalizados. Solo las ediciones que admiten roles personalizados tienen entradas relacionadas en la barra de acciones.

Para crear y administrar roles, sigue estos pasos:

  1. Inicia sesión en Web Studio, haz clic en Administradores en el panel izquierdo y, a continuación, haz clic en la ficha Roles.

  2. Sigue las instrucciones para la tarea que quieras completar:

    • Ver detalles del rol: Selecciona el rol. El panel inferior enumera los tipos de objeto y los permisos asociados para el rol. Haz clic en la ficha Administradores en el panel inferior para ver una lista de los administradores que tienen este rol actualmente.
    • Crear un rol personalizado: Haz clic en Crear rol en el panel de acciones. Introduce un nombre y una descripción. Selecciona los tipos de objeto y los permisos.
    • Copiar un rol: Selecciona el rol y, a continuación, haz clic en Copiar rol en la barra de acciones. Cambia el nombre, la descripción, los tipos de objeto y los permisos, según sea necesario.
    • Modificar un rol personalizado: Selecciona el rol y, a continuación, haz clic en Modificar rol en la barra de acciones. Cambia el nombre, la descripción, los tipos de objeto y los permisos, según sea necesario.
    • Quitar un rol personalizado: Selecciona el rol y, a continuación, haz clic en Quitar rol en la barra de acciones. Cuando se te solicite, confirma la eliminación.

Crear y administrar ámbitos

Cuando creas un sitio, el único ámbito disponible es el ámbito “Todos”, que no se puede quitar.

Puedes crear ámbitos siguiendo el siguiente procedimiento. También puedes crear ámbitos al crear un administrador; cada administrador debe estar asociado a al menos un par de rol y ámbito. Al crear o modificar escritorios, catálogos de máquinas, aplicaciones u hosts, puedes agregarlos a un ámbito existente. Si no los agregas a un ámbito, seguirán formando parte del ámbito ‘Todos’.

La creación de sitios no se puede delimitar por ámbito, ni tampoco los objetos de administración delegada (ámbitos y roles). Sin embargo, los objetos que no puedes delimitar por ámbito se incluyen en el ámbito ‘Todos’. (Los administradores con todos los permisos siempre tienen el ámbito ‘Todos’). Las máquinas, las acciones de energía, los escritorios y las sesiones no se delimitan directamente por ámbito. Los administradores pueden recibir permisos sobre estos objetos a través de los catálogos de máquinas o grupos de entrega asociados.

Reglas para crear y administrar ámbitos:

  • Los nombres de ámbito pueden contener hasta 64 caracteres Unicode. Los nombres de ámbito no pueden incluir: barra invertida, barra diagonal, punto y coma, dos puntos, signo de almohadilla, coma, asterisco, signo de interrogación, signo igual, flecha izquierda, flecha derecha, barra vertical, corchete izquierdo o derecho, paréntesis izquierdo o derecho, comillas o apóstrofo.

  • Las descripciones de ámbito pueden contener hasta 256 caracteres Unicode.

  • Al copiar o modificar un ámbito, ten en cuenta que quitar objetos del ámbito puede hacer que esos objetos sean inaccesibles para el administrador. Si el ámbito modificado está emparejado con uno o más roles, asegúrate de que las actualizaciones del ámbito no hagan que ningún par de rol/ámbito sea inutilizable.

Para crear y administrar ámbitos, sigue estos pasos:

  1. Inicia sesión en Web Studio, haz clic en Administradores en el panel izquierdo y, a continuación, haz clic en la ficha Ámbitos.

  2. Sigue las instrucciones de la tarea que quieras completar:

    • Crear un ámbito: Haz clic en Crear nuevo ámbito en la barra de acciones. Introduce un nombre y una descripción. Para incluir todos los objetos de un tipo determinado (por ejemplo, Grupos de entrega), selecciona el tipo de objeto. Para incluir objetos específicos, expande el tipo y, a continuación, selecciona objetos individuales (por ejemplo, Grupos de entrega utilizados por el equipo de ventas).
    • Copiar un ámbito: Selecciona el ámbito y, a continuación, haz clic en Copiar ámbito en la barra de acciones. Introduce un nombre y una descripción. Cambia los tipos de objeto y los objetos, según sea necesario.
    • Modificar un ámbito: Selecciona el ámbito y, a continuación, haz clic en Modificar ámbito en la barra de acciones. Cambia el nombre, la descripción, los tipos de objeto y los objetos, según sea necesario.
    • Eliminar un ámbito: Selecciona el ámbito y, a continuación, haz clic en Eliminar ámbito en la barra de acciones. Cuando se te solicite, confirma la eliminación.

Configurar la administración de inquilinos

Configura la administración de inquilinos para crear particiones de administración dentro de un único sitio de Citrix Virtual Apps™ and Desktops. Cada inquilino tiene recursos y configuraciones segregados, como catálogos de máquinas y grupos de entrega. Los administradores con acceso a un inquilino específico solo pueden administrar los recursos y las configuraciones asociados a ese inquilino. Algunos casos de uso de ejemplo incluyen empresas con diferentes silos de negocio (divisiones independientes o equipos de administración de TI separados) en un único sitio.

A grandes rasgos, el flujo de trabajo para configurar la administración de inquilinos incluye:

  1. Crear inquilinos
  2. Agregar administradores para inquilinos

Crear inquilinos

Crea un inquilino creando un ámbito de inquilino. Los pasos detallados son los siguientes:

  1. Inicia sesión en Web Studio, haz clic en Administradores en el panel izquierdo y, a continuación, haz clic en la ficha Ámbitos.
  2. Haz clic en Crear ámbito para iniciar la creación del inquilino.
  3. Introduce los siguientes detalles para el ámbito de inquilino:
    1. Escribe un nombre descriptivo para el ámbito. Este nombre también sirve como identificador del inquilino.
    2. (Opcional) Introduce una breve descripción.
    3. Selecciona Ámbito de inquilino.
    4. Si es necesario, selecciona los objetos asociados al inquilino. También puedes agregar objetos a los ámbitos de inquilino al crear o administrar objetos.
    5. Haz clic en Aceptar para completar la creación.

Una vez completado, verás:

  • El nuevo registro de ámbito de inquilino aparece en la lista de ámbitos, identificado como Inquilino en la columna Tipo.
  • El nombre del ámbito se muestra en la lista desplegable Todos los inquilinos, situada en la esquina superior derecha de Web Studio.

Al trabajar con un ámbito de inquilino, ten en cuenta estas consideraciones:

  • La propiedad de inquilino sigue un orden de asignación jerárquico: Hosting > Catálogos de máquinas > Grupos de entrega > Aplicaciones. Los objetos de nivel inferior heredan la propiedad de inquilino de los objetos de nivel superior. Por ejemplo, al seleccionar un grupo de entrega para un ámbito de inquilino, asegúrate de seleccionar también el hosting y el catálogo de máquinas asociados. De lo contrario, el grupo de entrega no podrá heredar la propiedad del inquilino.
  • Después de crear un ámbito de inquilino, puedes modificar las asignaciones de inquilinos modificando objetos. Cuando se cambia una asignación de inquilino, sigue estando sujeta a la restricción de que debe asignarse a los mismos inquilinos o a un subconjunto de esos inquilinos. Sin embargo, los objetos de nivel inferior no se reevalúan cuando cambian las asignaciones de inquilinos. Asegúrate de que los objetos estén restringidos correctamente cuando cambies las asignaciones de inquilinos. Por ejemplo, si un catálogo de máquinas está disponible para TenantA y TenantB, puedes crear un grupo de entrega para TenantA y otro para TenantB. (TenantA y TenantB están asociados a ese catálogo de máquinas). A continuación, puedes cambiar el catálogo de máquinas para que se asocie solo con TenantA. Como resultado, el grupo de entrega asociado a TenantB deja de ser válido.

Agregar administradores para inquilinos

Agregar administradores para un inquilino asignando cuentas de usuario con roles de administrador e inquilinos.

Para agregar un administrador para un inquilino, sigue estos pasos:

  1. Inicia sesión en Web Studio, haz clic en Administradores en el panel izquierdo y luego haz clic en la ficha Administradores.
  2. Haz clic en Agregar administrador y sigue estos pasos para completar:
    1. Escribe o explora hasta el nombre de la cuenta de usuario y haz clic en Siguiente.
    2. Selecciona Acceso personalizado y luego selecciona uno o varios roles (por ejemplo, Administrador de catálogos de máquinas) según sea necesario.
    3. Haz clic en Editar ámbitos junto a cada rol, cambia el ámbito de Todos al ámbito de inquilino deseado y luego haz clic en Guardar.
  3. Haz clic en Siguiente.
  4. En la página Revisar y confirmar, haz clic en Enviar invitación.

Crear informes

Puedes crear dos tipos de informes de administración delegada:

  • Un informe HTML que enumera los pares rol/ámbito asociados a un administrador, además de los permisos individuales para cada tipo de objeto (por ejemplo, grupos de entrega y catálogos de máquinas). Generas este informe desde Web Studio.

    Para crear este informe, sigue estos pasos:

    1. Inicia sesión en Web Studio, haz clic en Administradores en el panel izquierdo
    2. Selecciona un administrador y luego haz clic en Crear informe en la barra de acciones.

    También puedes solicitar este informe al crear, copiar o modificar un administrador.

  • Un informe HTML o CSV que asigna todos los roles integrados y personalizados a los permisos. Generas este informe ejecutando un script de PowerShell llamado OutputPermissionMapping.ps1.

    Para ejecutar este script, debes ser un administrador completo, un administrador de solo lectura o un administrador personalizado con permiso para leer roles. El script se encuentra en: Program Files\Citrix\DelegatedAdmin\SnapIn\Citrix.DelegatedAdmin.Admin.V1\Scripts.

    Sintaxis:

    OutputPermissionMapping.ps1 [-Help] [-Csv] [-Path string] [-AdminAddress string] [-Show] [CommonParameters]

Parámetro Descripción
-Help Muestra la ayuda del script.
-Csv Especifica la salida CSV. Predeterminado = HTML
-Path string Dónde escribir la salida. Predeterminado = stdout
-AdminAddress string Dirección IP o nombre de host del Delivery Controller™ al que conectarse. Predeterminado = localhost
-Show (Válido solo cuando también se especifica el parámetro -Path) Cuando escribes la salida en un archivo, -Show hace que la salida se abra en un programa adecuado, como un navegador web.
CommonParameters Verbose, Debug, ErrorAction, ErrorVariable, WarningAction, WarningVariable, OutBuffer y OutVariable. Para obtener más información, consulta la documentación de Microsoft.

El siguiente ejemplo escribe una tabla HTML en un archivo llamado Roles.html y abre la tabla en un navegador web.

& "$env:ProgramFiles\Citrix\DelegatedAdmin\SnapIn\
Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1"
-Path Roles.html –Show
<!--NeedCopy-->

El siguiente ejemplo escribe una tabla CSV en un archivo llamado Roles.csv. La tabla no se muestra.

& "$env:ProgramFiles\Citrix\DelegatedAdmin\SnapIn\
Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1"
–CSV -Path Roles.csv
<!--NeedCopy-->

Desde un símbolo del sistema de Windows, el comando de ejemplo anterior es:

powershell -command "& '%ProgramFiles%\Citrix\DelegatedAdmin\SnapIn\
Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1'
-CSV -Path Roles.csv"
<!--NeedCopy-->
Administración delegada
March 25, 2026
Contribución de: 
C C
March 25, 2026
Contribución de: 
C C

En este artículo

Comentarios sobre el sitio | Your privacy choices footer linkSus opciones de privacidad | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.