Produktdokumentation
Citrix Virtual Apps and Desktops 7 2203 LTSR
PDF anzeigen

Delegierte Administration

June 5, 2026
Beitrag von: 
C

Das Modell der delegierten Administration bietet die Flexibilität, die Art und Weise anzupassen, wie Ihre Organisation Verwaltungsaktivitäten delegieren möchte, mithilfe von rollen- und objektbasierter Steuerung. Die delegierte Administration unterstützt Bereitstellungen jeder Größe und ermöglicht es Ihnen, eine feinere Berechtigungsgranularität zu konfigurieren, wenn Ihre Bereitstellung komplexer wird. Die delegierte Administration verwendet drei Konzepte: Administratoren, Rollen und Bereiche.

  • Administratoren: Ein Administrator repräsentiert eine Einzelperson oder eine Gruppe von Personen, die durch ihr Active Directory-Konto identifiziert werden. Jeder Administrator ist einem oder mehreren Rollen- und Bereichspaaren zugeordnet.

  • Rollen: Eine Rolle repräsentiert eine Aufgabenfunktion und hat definierte Berechtigungen, die ihr zugeordnet sind. Zum Beispiel hat die Rolle des Delivery Group-Administrators Berechtigungen wie ‘Delivery Group erstellen’ und ‘Desktop aus Delivery Group entfernen’. Ein Administrator kann mehrere Rollen für eine Site haben, sodass eine Person ein Delivery Group-Administrator und ein Maschinenkatalog-Administrator sein kann. Rollen können integriert oder benutzerdefiniert sein.

    Die integrierten Rollen sind:

    Rolle Berechtigungen
    Volladministrator Kann alle Aufgaben und Operationen ausführen. Ein Volladministrator ist immer mit dem Bereich ‘Alle’ kombiniert.
    Schreibgeschützter Administrator Kann alle Objekte in angegebenen Bereichen zusätzlich zu globalen Informationen sehen, aber nichts ändern. Zum Beispiel kann ein schreibgeschützter Administrator mit Scope=London alle globalen Objekte (wie Konfigurationsprotokollierung) und alle London-spezifischen Objekte (zum Beispiel London Delivery Groups) sehen. Dieser Administrator kann jedoch keine Objekte im New York-Bereich sehen (vorausgesetzt, die Bereiche London und New York überschneiden sich nicht).
    Helpdesk-Administrator Kann Delivery Groups anzeigen und die Sitzungen und Maschinen verwalten, die diesen Gruppen zugeordnet sind. Kann den Maschinenkatalog und Hostinformationen für die überwachten Delivery Groups sehen. Kann auch Sitzungsverwaltung und Maschinen-Energieverwaltungsoperationen für die Maschinen in diesen Delivery Groups durchführen.
    Maschinenkatalog-Administrator Kann Maschinenkataloge erstellen und verwalten und die Maschinen darin bereitstellen. Kann Maschinenkataloge aus der Virtualisierungsinfrastruktur, Provisioning Services und physischen Maschinen erstellen. Diese Rolle kann Basis-Images verwalten und Software installieren, aber keine Anwendungen oder Desktops Benutzern zuweisen.
    Delivery Group-Administrator Kann Anwendungen, Desktops und Maschinen bereitstellen; kann auch die zugehörigen Sitzungen verwalten. Kann auch Anwendungs- und Desktopkonfigurationen wie Richtlinien und Energieverwaltungseinstellungen verwalten.
    Host-Administrator Kann Hostverbindungen und die zugehörigen Ressourceneinstellungen verwalten. Kann Benutzern keine Maschinen, Anwendungen oder Desktops bereitstellen.

    In bestimmten Produkteditionen können Sie benutzerdefinierte Rollen erstellen, die den Anforderungen Ihrer Organisation entsprechen, und Berechtigungen detaillierter delegieren. Sie können benutzerdefinierte Rollen verwenden, um Berechtigungen auf der Granularität einer Aktion oder Aufgabe in einer Konsole zuzuweisen.

  • Bereiche: Ein Bereich stellt eine Sammlung von Objekten dar. Bereiche werden verwendet, um Objekte auf eine für Ihre Organisation relevante Weise zu gruppieren (zum Beispiel die Gruppe von Bereitstellungsgruppen, die vom Vertriebsteam verwendet werden). Objekte können in mehr als einem Bereich sein; man kann sich vorstellen, dass Objekte mit einem oder mehreren Bereichen gekennzeichnet sind. Es gibt einen integrierten Bereich: ‘Alle’, der alle Objekte enthält. Die Rolle des vollständigen Administrators ist immer mit dem Bereich ‘Alle’ gekoppelt.

Beispiel

Unternehmen XYZ beschloss, Anwendungen und Desktops basierend auf ihrer Abteilung (Buchhaltung, Vertrieb und Lager) und ihrem Desktop-Betriebssystem (Windows 7 oder Windows 8) zu verwalten. Der Administrator erstellte fünf Bereiche und kennzeichnete dann jede Bereitstellungsgruppe mit zwei Bereichen: einen für die Abteilung, in der sie verwendet werden, und einen für das von ihnen verwendete Betriebssystem.

Die folgenden Administratoren wurden erstellt:

Administrator Rollen Bereiche
domain/fred Vollständiger Administrator Alle (die Rolle des vollständigen Administrators hat immer den Bereich ‘Alle’)
domain/rob Nur-Lese-Administrator Alle
domain/heidi Nur-Lese-Administrator, Helpdesk-Administrator Gesamter Vertrieb
domain/warehouseadmin Helpdesk-Administrator Lager
domain/peter Bereitstellungsgruppen-Administrator, Maschinenkatalog-Administrator Win7
  • Fred ist ein Volladministrator und kann alle Objekte im System anzeigen, bearbeiten und löschen.
  • Rob kann alle Objekte auf der Site anzeigen, aber sie nicht bearbeiten oder löschen.
  • Heidi kann alle Objekte anzeigen und Helpdesk-Aufgaben für Bereitstellungsgruppen im Vertriebsbereich ausführen. Dies ermöglicht ihr die Verwaltung der Sitzungen und Maschinen, die diesen Gruppen zugeordnet sind; sie kann keine Änderungen an der Bereitstellungsgruppe vornehmen, wie z. B. das Hinzufügen oder Entfernen von Maschinen.
  • Jeder, der Mitglied der Active Directory-Sicherheitsgruppe „warehouseadmin“ ist, kann Helpdesk-Aufgaben auf Maschinen im Warehouse-Bereich anzeigen und ausführen.
  • Peter is a Windows 7 specialist and can manage all Windows 7 Machine Catalogs and can deliver Windows 7 applications, desktops, and machines, regardless of which department scope they are in. The administrator considered making Peter a Full Administrator for the Win7 scope. However, she decided against this, because a Full Administrator also has full rights over all objects that are not scoped, such as ‘Site’ and ‘Administrator.’

Verwenden der delegierten Administration

Im Allgemeinen hängen die Anzahl der Administratoren und die Granularität ihrer Berechtigungen von der Größe und Komplexität der Bereitstellung ab.

  • In small or proof-of-concept deployments, one or a few administrators do everything. There is no delegation. In this case, create each administrator with the built-in Full Administrator role, which has the All scope.
  • In larger deployments with more machines, applications, and desktops, more delegation is needed. Several administrators might have more specific functional responsibilities (roles). For example, two are Full Administrators, and others are Help Desk Administrators. Also, an administrator might manage only certain groups of objects (scopes), such as machine catalogs. In this case, create new scopes, plus administrators with one of the built-in roles and the appropriate scopes.
  • Noch größere Bereitstellungen erfordern möglicherweise mehr (oder spezifischere) Bereiche sowie verschiedene Administratoren mit unkonventionellen Rollen. Bearbeiten oder erstellen Sie in diesem Fall weitere Bereiche, erstellen Sie benutzerdefinierte Rollen und erstellen Sie jeden Administrator mit einer integrierten oder benutzerdefinierten Rolle sowie vorhandenen und neuen Bereichen.

Für Flexibilität und einfache Konfiguration können Sie Bereiche erstellen, wenn Sie einen Administrator erstellen. Sie können Bereiche auch beim Erstellen oder Bearbeiten von Maschinenkatalogen oder Verbindungen angeben.

Administratoren erstellen und verwalten

When you create a site as a local administrator, your user account automatically becomes a Full Administrator with full permissions over all objects. After a site is created, local administrators have no special privileges.

Die Rolle des Volladministrators hat immer den Geltungsbereich „Alle“; dies kann nicht geändert werden.

Standardmäßig ist ein Administrator aktiviert. Das Deaktivieren eines Administrators kann erforderlich sein, wenn Sie den Administrator jetzt erstellen, diese Person jedoch erst später mit den Verwaltungsaufgaben beginnt. Bei vorhandenen aktivierten Administratoren möchten Sie möglicherweise mehrere von ihnen deaktivieren, während Sie Ihre Objekte/Geltungsbereiche neu organisieren, und sie dann wieder aktivieren, wenn Sie mit der aktualisierten Konfiguration live gehen möchten. Sie können einen Volladministrator nicht deaktivieren, wenn dies dazu führen würde, dass kein aktivierter Volladministrator mehr vorhanden ist. Das Kontrollkästchen zum Aktivieren/Deaktivieren ist verfügbar, wenn Sie einen Administrator erstellen, kopieren oder bearbeiten.

Wenn Sie ein Rollen-/Bereichspaar beim Kopieren, Bearbeiten oder Löschen eines Administrators löschen, wird nur die Beziehung zwischen der Rolle und dem Bereich für diesen Administrator gelöscht. Es wird weder die Rolle noch der Bereich gelöscht. Es hat auch keine Auswirkungen auf andere Administratoren, die mit diesem Rollen-/Bereichspaar konfiguriert sind.

Um Administratoren zu verwalten, klicken Sie im Navigationsbereich von Studio auf Konfiguration > Administratoren und dann im oberen mittleren Bereich auf die Registerkarte Administratoren.

  • Administrator erstellen: Klicken Sie im Aktionsbereich auf Neuen Administrator erstellen. Geben Sie den Benutzernamen ein oder suchen Sie danach, wählen oder erstellen Sie einen Bereich und wählen Sie eine Rolle aus. Der neue Administrator ist standardmäßig aktiviert; Sie können dies ändern.
  • Administrator kopieren: Wählen Sie den Administrator im mittleren Bereich aus und klicken Sie dann im Aktionsbereich auf Administrator kopieren. Geben Sie den Benutzernamen ein oder suchen Sie danach. Sie können beliebige Rollen-/Bereichspaare auswählen und dann bearbeiten oder löschen sowie neue hinzufügen. Der neue Administrator ist standardmäßig aktiviert; Sie können dies ändern.
  • Administrator bearbeiten: Wählen Sie den Administrator im mittleren Bereich aus und klicken Sie dann im Aktionsbereich auf Administrator bearbeiten. Sie können beliebige Rollen-/Bereichspaare bearbeiten oder löschen sowie neue hinzufügen.
  • Administrator löschen: Wählen Sie den Administrator im mittleren Bereich aus und klicken Sie dann im Aktionsbereich auf Administrator löschen. Sie können einen Volladministrator nicht löschen, wenn dies dazu führen würde, dass kein aktivierter Volladministrator mehr vorhanden ist.

Im oberen Bereich werden die von Ihnen erstellten Administratoren angezeigt. Wählen Sie einen Administrator aus, um dessen Details im unteren Bereich anzuzeigen. Die Spalte Warnungen gibt an, ob die dem Administrator zugeordneten Rollen- und Bereichspaare unbrauchbare Rollen oder Bereiche enthalten. Die folgende Warnmeldung wird angezeigt, wenn ein zugeordnetes Rollen- und Bereichspaar unbrauchbare Rollen oder Bereiche enthält:

  • Zugeordnete Rolle oder Bereich nicht verwendbar
    • Entfernen Sie das Rollen- und Bereichspaar vom Administrator.

Wichtig:

Eine Warnmeldung wird nur angezeigt, wenn ein zugeordnetes Rollen- und Bereichspaar unbrauchbare Rollen oder Bereiche oder beides enthält.

Um das Rollen- und Bereichspaar vom Administrator zu entfernen, führen Sie einen der folgenden Schritte aus:

  • Löschen Sie das Rollen- und Bereichspaar.
    1. Klicken Sie im Bereich Aktionen auf Administrator bearbeiten.
    2. Wählen Sie im Fenster Administrator bearbeiten das Rollen- und Bereichspaar aus und klicken Sie dann auf Löschen.
    3. Klicken Sie zum Beenden auf OK.
  • Löschen Sie den Administrator.
    1. Klicken Sie im Bereich Aktionen auf Administrator löschen.
    2. Klicken Sie im Studio-Fenster auf Löschen.

Rollen erstellen und verwalten

Wenn Administratoren eine Rolle erstellen oder bearbeiten, können sie nur die Berechtigungen aktivieren, die sie selbst besitzen. Dadurch wird verhindert, dass Administratoren eine Rolle mit mehr Berechtigungen erstellen, als sie derzeit haben, und diese sich dann selbst zuweisen (oder eine Rolle bearbeiten, die ihnen bereits zugewiesen ist).

Rollennamen können bis zu 64 Unicode-Zeichen enthalten; sie dürfen nicht enthalten: Backslash, Schrägstrich, Semikolon, Doppelpunkt, Rautezeichen, Komma, Sternchen, Fragezeichen, Gleichheitszeichen, linker oder rechter Pfeil, Pipe, linke oder rechte Klammer, linke oder rechte Parenthese, Anführungszeichen oder Apostroph. Beschreibungen können bis zu 256 Unicode-Zeichen enthalten.

Sie können eine integrierte Rolle nicht bearbeiten oder löschen. Sie können eine benutzerdefinierte Rolle nicht löschen, wenn sie von einem Administrator verwendet wird.

Hinweis:

Nur bestimmte Produkteditionen unterstützen benutzerdefinierte Rollen. Nur Editionen, die benutzerdefinierte Rollen unterstützen, haben entsprechende Einträge im Aktionsbereich.

Um Rollen zu verwalten, klicken Sie im Studio-Navigationsbereich auf Konfiguration > Administratoren und dann im oberen mittleren Bereich auf die Registerkarte Rollen.

  • Rollendetails anzeigen: Wählen Sie die Rolle im mittleren Bereich aus. Der untere Teil des mittleren Bereichs listet die Objekttypen und die zugehörigen Berechtigungen für die Rolle auf. Klicken Sie auf die Registerkarte Administratoren im unteren Bereich, um eine Liste der Administratoren anzuzeigen, die diese Rolle derzeit innehaben.
  • Benutzerdefinierte Rolle erstellen: Klicken Sie im Aktionsbereich auf Neue Rolle erstellen. Geben Sie einen Namen und eine Beschreibung ein. Wählen Sie die Objekttypen und Berechtigungen aus.
  • Rolle kopieren: Wählen Sie die Rolle im mittleren Bereich aus und klicken Sie dann im Aktionsbereich auf Rolle kopieren. Ändern Sie den Namen, die Beschreibung, die Objekttypen und die Berechtigungen nach Bedarf.
  • Benutzerdefinierte Rolle bearbeiten: Wählen Sie die Rolle im mittleren Bereich aus und klicken Sie dann im Aktionsbereich auf Rolle bearbeiten. Ändern Sie den Namen, die Beschreibung, die Objekttypen und die Berechtigungen nach Bedarf.
  • Benutzerdefinierte Rolle löschen: Wählen Sie die Rolle im mittleren Bereich aus und klicken Sie dann im Aktionsbereich auf Rolle löschen. Bestätigen Sie die Löschung, wenn Sie dazu aufgefordert werden.

Bereiche erstellen und verwalten

Wenn Sie eine Site erstellen, ist der einzige verfügbare Bereich der Bereich „Alle“, der nicht gelöscht werden kann.

Sie können Bereiche mit dem folgenden Verfahren erstellen. Sie können auch Bereiche erstellen, wenn Sie einen Administrator erstellen; jeder Administrator muss mindestens einem Rollen- und Bereichspaar zugeordnet sein. Beim Erstellen oder Bearbeiten von Desktops, Maschinenkatalogen, Anwendungen oder Hosts können Sie diese einem vorhandenen Bereich hinzufügen. Wenn Sie sie keinem Bereich hinzufügen, bleiben sie Teil des Bereichs „Alle“.

Die Siteerstellung kann nicht bereichsbezogen sein, ebenso wenig wie Objekte der delegierten Administration (Bereiche und Rollen). Objekte, die Sie nicht bereichsbezogen festlegen können, sind jedoch im Bereich „Alle“ enthalten. (Vollständige Administratoren haben immer den Bereich „Alle“.) Maschinen, Energieaktionen, Desktops und Sitzungen sind nicht direkt bereichsbezogen. Administratoren können Berechtigungen für diese Objekte über die zugehörigen Maschinenkataloge oder Bereitstellungsgruppen zugewiesen werden.

Bereichsnamen können bis zu 64 Unicode-Zeichen enthalten. Bereichsnamen dürfen nicht enthalten: Backslash, Schrägstrich, Semikolon, Doppelpunkt, Rautezeichen, Komma, Sternchen, Fragezeichen, Gleichheitszeichen, linke Pfeiltaste, rechte Pfeiltaste, Pipe, linke oder rechte Klammer, linke oder rechte Parenthese, Anführungszeichen oder Apostroph. Beschreibungen können bis zu 256 Unicode-Zeichen enthalten.

Beachten Sie beim Kopieren oder Bearbeiten eines Bereichs, dass das Entfernen von Objekten aus dem Bereich diese Objekte für den Administrator unzugänglich machen kann. Wenn der bearbeitete Bereich mit einem oder mehreren Rollen gepaart ist, stellen Sie sicher, dass die Bereichsaktualisierungen kein Rollen-/Bereichspaar unbrauchbar machen.

Um Bereiche zu verwalten, klicken Sie im Navigationsbereich von Studio auf Konfiguration > Administratoren und dann im oberen mittleren Bereich auf die Registerkarte Bereiche.

  • Bereich erstellen: Klicken Sie im Aktionsbereich auf Neuen Bereich erstellen. Geben Sie einen Namen und eine Beschreibung ein. Um alle Objekte eines bestimmten Typs (z. B. Bereitstellungsgruppen) einzuschließen, wählen Sie den Objekttyp aus. Um bestimmte Objekte einzuschließen, erweitern Sie den Typ und wählen Sie dann einzelne Objekte aus (z. B. Bereitstellungsgruppen, die vom Vertriebsteam verwendet werden).
  • Bereich kopieren: Wählen Sie den Bereich im mittleren Bereich aus und klicken Sie dann im Aktionsbereich auf Bereich kopieren. Geben Sie einen Namen und eine Beschreibung ein. Ändern Sie die Objekttypen und Objekte nach Bedarf.
  • Bereich bearbeiten: Wählen Sie den Bereich im mittleren Bereich aus und klicken Sie dann im Aktionsbereich auf Bereich bearbeiten. Ändern Sie den Namen, die Beschreibung, die Objekttypen und die Objekte nach Bedarf.
  • Bereich löschen: Wählen Sie den Bereich im mittleren Bereich aus und klicken Sie dann im Aktionsbereich auf Bereich löschen. Bestätigen Sie die Löschung, wenn Sie dazu aufgefordert werden.

Berichte erstellen

Sie können zwei Arten von Berichten zur delegierten Administration erstellen:

  • Ein HTML-Bericht, der die einem Administrator zugeordneten Rollen-/Bereichspaare sowie die einzelnen Berechtigungen für jeden Objekttyp (z. B. Bereitstellungsgruppen und Maschinenkataloge) auflistet. Sie generieren diesen Bericht aus Studio.

    Um diesen Bericht zu erstellen, klicken Sie im Navigationsbereich von Studio auf Konfiguration > Administratoren. Wählen Sie einen Administrator im mittleren Bereich aus und klicken Sie dann im Aktionsbereich auf Bericht erstellen.

    Sie können diesen Bericht auch beim Erstellen, Kopieren oder Bearbeiten eines Administrators anfordern.

  • Ein HTML- oder CSV-Bericht, der alle integrierten und benutzerdefinierten Rollen Berechtigungen zuordnet. Sie generieren diesen Bericht, indem Sie ein PowerShell-Skript namens OutputPermissionMapping.ps1 ausführen.

    Um dieses Skript auszuführen, müssen Sie ein vollständiger Administrator, ein schreibgeschützter Administrator oder ein benutzerdefinierter Administrator mit der Berechtigung zum Lesen von Rollen sein. Das Skript befindet sich unter: Program Files\Citrix\DelegatedAdmin\SnapIn\Citrix.DelegatedAdmin.Admin.V1\Scripts.

    Syntax:

    OutputPermissionMapping.ps1 [-Help] [-Csv] [-Path string] [-AdminAddress string] [-Show] [CommonParameters]

    Parameter Beschreibung
    -Help Zeigt die Skript-Hilfe an.
    -Csv Gibt die CSV-Ausgabe an. Standard = HTML
    -Path string Wohin die Ausgabe geschrieben werden soll. Standard = stdout
    -AdminAddress string IP-Adresse oder Hostname des Delivery Controller™, mit dem eine Verbindung hergestellt werden soll. Standard = localhost
    -Show (Nur gültig, wenn auch der Parameter -Path angegeben ist) Wenn Sie die Ausgabe in eine Datei schreiben, bewirkt -Show, dass die Ausgabe in einem geeigneten Programm, z. B. einem Webbrowser, geöffnet wird.
    CommonParameters Verbose, Debug, ErrorAction, ErrorVariable, WarningAction, WarningVariable, OutBuffer und OutVariable. Einzelheiten finden Sie in der Microsoft-Dokumentation.

Das folgende Beispiel schreibt eine HTML-Tabelle in eine Datei namens Roles.html und öffnet die Tabelle in einem Webbrowser.

& "$env:ProgramFiles\Citrix\DelegatedAdmin\SnapIn\
Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1"
-Path Roles.html –Show
<!--NeedCopy-->

Das folgende Beispiel schreibt eine CSV-Tabelle in eine Datei namens Roles.csv. Die Tabelle wird nicht angezeigt.

& "$env:ProgramFiles\Citrix\DelegatedAdmin\SnapIn\
Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1"
–CSV -Path Roles.csv
<!--NeedCopy-->

Von einer Windows-Eingabeaufforderung aus lautet der vorhergehende Beispielbefehl:

powershell -command "& '%ProgramFiles%\Citrix\DelegatedAdmin\SnapIn\
Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1'
-CSV -Path Roles.csv"
<!--NeedCopy-->
Delegierte Administration
June 5, 2026
Beitrag von: 
C
June 5, 2026
Beitrag von: 
C

In diesem Artikel

Feedback zur Site | Your privacy choices footer linkIhre Datenschutzauswahl | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.