Delegierte Administration
Hinweis:
Sie können Ihre Citrix Virtual Apps and Desktops-Bereitstellung mithilfe von zwei Verwaltungskonsolen verwalten: Web Studio (webbasiert) und Citrix Studio (Windows-basiert). Dieser Artikel behandelt nur Web Studio. Informationen zu Citrix Studio finden Sie im entsprechenden Artikel in Citrix Virtual Apps and Desktops 7 2212 oder früher.
Das Modell der delegierten Administration bietet Flexibilität bei der Delegierung der Administratoraktivitäten mit Rollen und der objektbasierten Steuerung. Die delegierte Administration ist für Bereitstellungen aller Größen geeignet und ermöglicht es Ihnen, mit zunehmender Komplexität der Bereitstellung die Berechtigungsgranularität zu erhöhen. Bei der delegierten Administration werden drei Konzepte eingesetzt: Administratoren, Rollen und Geltungsbereiche.
-
Administratoren: Ein Administrator ist eine Einzelperson oder eine Gruppe von Personen, die durch ein Active Directory-Konto identifiziert werden. Jeder Administrator ist mit mindestens einem Paar aus Rolle und Geltungsbereich verknüpft.
-
Rollen: Eine Rolle steht für eine spezielle Jobfunktion, mit der definierte Berechtigungen verknüpft sind. Beispiel: Die Rolle “Bereitstellungsgruppenadministrator” verfügt über Berechtigungen wie etwa “Bereitstellungsgruppe erstellen” und “Desktop aus Bereitstellungsgruppe entfernen”. Ein Administrator kann mehrere Rollen für eine Site haben, d. h. eine Person kann sowohl Bereitstellungsgruppenadministrator als auch Maschinenkatalogadministrator sein. Rollen können integriert oder benutzerdefiniert sein.
Integrierte Rollen:
Rolle Berechtigungen Volladministrator Kann alle Aufgaben und Vorgänge ausführen. Ein Volladministrator wird immer mit dem Geltungsbereich “Alle” kombiniert. Lesezugriffadministrator Kann alle Objekte in den angegebenen Geltungsbereichen anzeigen, zusätzlich zu den globalen Informationen, aber nicht ändern. Beispiel: Ein Lesezugriffadministrator mit Geltungsbereich = London kann alle globalen Objekte (z. B. Konfigurationsprotokollierung) und alle London-bezogenen Geltungsbereichsobjekte (z. B. London-Bereitstellungsgruppen) sehen. Dieser Administrator kann jedoch nicht die Objekte im Geltungsbereich “New York” sehen (sofern die Geltungsbereiche “London” und “New York” einander nicht überlappen). Helpdeskadministrator Kann Bereitstellungsgruppen anzeigen und die diesen Gruppen zugeordneten Sitzungen und Maschinen verwalten. Kann den Maschinenkatalog und die Hostinformationen der überwachten Bereitstellungsgruppen sehen. Kann auch Sitzungsverwaltungs- und Energieverwaltungsvorgänge für die Maschinen in diesen Bereitstellungsgruppen durchführen. Maschinenkatalogadministrator Kann Maschinenkataloge erstellen und verwalten sowie darin Maschinen bereitstellen. Kann Maschinenkataloge aus der Virtualisierungsinfrastruktur, Provisioning Services und von physischen Maschinen anlegen. Mit dieser Rolle können Basisimages verwaltet und Software installiert werden, aber den Benutzern können keine Anwendungen oder Desktops zugewiesen werden. Bereitstellungsgruppenadministrator Kann Anwendungen, Desktops und Maschinen bereitstellen sowie die mit ihnen verbundenen Sitzungen verwalten. Kann zudem Anwendungs- und Desktopkonfigurationen wie Richtlinien und die Energieverwaltungseinstellungen verwalten. Hostadministrator Kann Hostverbindungen und ihnen zugeordnete Ressourceneinstellungen verwalten. Kann keine Maschinen, Anwendungen oder Desktops für Benutzer bereitstellen. Bei bestimmten Produkteditionen können Sie benutzerdefinierte Rollen erstellen, um sie den Anforderungen Ihrer Organisation anzupassen und die Berechtigungen entsprechend delegieren. Sie können benutzerdefinierte Rollen dazu verwenden, Berechtigungen in der Granularität einer Aktion oder Aufgabe in einer Konsole zuzuteilen.
-
Geltungsbereiche: Ein Geltungsbereich steht für eine Sammlung von Objekten. Geltungsbereiche werden verwendet, um die Objekte in einer für Ihre Organisation angemessenen Weise zu gruppieren (z. B. die Bereitstellungsgruppen der Vertriebsabteilung). Objekte können in mehreren Geltungsbereichen vertreten sein, d. h. Objekte können durch einen oder mehrere Geltungsbereiche bezeichnet sein. Der einzige integrierte Geltungsbereich “Alle” enthält alle Objekte. Die Volladministratorrolle bildet immer ein Paar mit dem Geltungsbereich Alle.
Beispiel
Firma XYZ entscheidet sich zum Verwalten von Anwendungen und Desktops basierend auf ihrer Abteilungsstruktur (Buchhaltung, Vertrieb und Lager) und ihren Desktopbetriebssystemen (Windows 7 oder Windows 8). Der Administrator erstellt fünf Geltungsbereiche und erfasst jede Bereitstellungsgruppe in zwei Geltungsbereichen: einem Geltungsbereich für die Abteilung, in der sie verwendet werden und einem Geltungsbereich für das verwendete Betriebssystem.
Die folgenden Administratoren wurden erstellt:
Administrator | Rollen | Geltungsbereiche |
---|---|---|
domain/fred | Volladministrator | Alle (Volladministratorrolle wird immer mit “Alle” ausgestattet) |
domain/rob | Lesezugriffadministrator | Alle |
domain/heidi | Lesezugriffadministrator, Helpdeskadministrator | Vertrieb |
domain/warehouseadmin | Helpdeskadministrator | Lager |
domain/peter | Bereitstellungsgruppenadministrator, Maschinenkatalogadministrator | Win7 |
- Fred ist Volladministrator und kann alle Elemente im System anzeigen, bearbeiten und löschen.
- Rob kann alle Objekte der Site anzeigen jedoch nicht bearbeiten oder löschen.
- Heidi kann alle Objekte anzeigen und Helpdeskaufgaben an Bereitstellungsgruppen des Geltungsbereichs “Vertrieb” durchführen. Somit kann sie die diesen Gruppen zugeordneten Sitzungen und Maschinen verwalten; sie kann allerdings keine Änderungen an der Bereitstellungsgruppe durchführen, wie Hinzufügen oder Entfernen von Maschinen.
- Jedes Mitglied der Active Directory-Sicherheitsgruppe “warehouseadmin” kann Helpdeskaufgaben für Maschinen des Geltungsbereichs “Lager” ausführen.
- Peter ist Spezialist für Windows 7 und kann alle Windows 7-Maschinenkataloge verwalten und Windows 7-Anwendungen, -Desktops und -Maschinen bereitstellen, unabhängig davon, in welchem Abteilungsgeltungsbereich sie sich befinden. Der Administrator erwog, Peter zu einem Volladministrator für den Win7-Bereich zu machen. Sie entscheidet sich jedoch dagegen, da ein Volladministrator ebenfalls über vollständige Administratorrechte für alle Objekte verfügt, die nicht in einen Geltungsbereich fallen, z. B. “Site” und “Administrator”.
Verwenden der delegierten Administration
Im Allgemeinen hängt die Anzahl der Administratoren und die Granularität der Berechtigungen von der Größe und Komplexität der Bereitstellung ab.
- In kleinen Bereitstellungen oder Machbarkeitsstudien übernehmen ein oder wenige Administratoren alle Aufgaben. Es gibt keine Delegation. Erstellen Sie in diesem Fall einen einzelnen Administrator mit der integrierten Rolle “Volladministrator”, die den Geltungsbereich “Alle” hat.
- In größeren Bereitstellungen mit mehr Maschinen, Anwendungen und Desktops ist mehr Delegierung erforderlich. Mehrere Administratoren haben möglicherweise bestimmte funktionale Zuständigkeiten (Rollen). Beispiel: Es gibt zwei Volladministratoren, andere sind Helpdeskadministratoren. Außerdem werden von einem Administrator ggf. nur bestimmte Objektgruppen (Geltungsbereiche) wie Maschinenkataloge verwaltet. Erstellen Sie in diesem Fall neue Geltungsbereiche und Administratoren mit einer der integrierten Rollen und den entsprechenden Geltungsbereichen.
- Noch größere Bereitstellungen erfordern möglicherweise weitere (oder differenziertere) Geltungsbereiche sowie andere Administratoren mit ungewöhnlichen Rollen. Bearbeiten oder erstellen Sie in diesem Fall weitere Geltungsbereiche, erstellen Sie benutzerdefinierte Rollen und erstellen Sie jeden Administrator mit einer integrierten oder benutzerdefinierten Rolle sowie vorhandenen und neuen Geltungsbereichen.
Für mehr Flexibilität und zur Vereinfachung der Konfiguration können Sie Geltungsbereiche erstellen, wenn Sie einen Administrator erstellen. Sie können auch beim Erstellen oder Bearbeiten von Maschinenkatalogen oder Verbindungen Geltungsbereiche festlegen.
Erstellen und Verwalten von Administratoren
Beim Erstellen einer Site als lokaler Administrator wird dieses Benutzerkonto automatisch zum Volladministrator mit Vollzugriff auf alle Objekte. Nachdem die Site erstellt wurde, verfügen lokale Administratoren über keine besonderen Rechte.
Die Volladministratorrolle hat immer den Geltungsbereich “Alle”; dies kann nicht geändert werden.
Standardmäßig wird ein Administrator aktiviert. Beim Erstellen des Administrators kann das Deaktivieren eines Administrators erforderlich sein, die betroffene Person übernimmt jedoch erst zu einem späteren Zeitpunkt Verwaltungsaufgaben. Bei vorhandenen aktivierten Administratoren kann es vorkommen, dass Sie einige deaktivieren müssen, während Sie Objekte/Geltungsbereiche neu strukturieren und sie dann wieder aktivieren, wenn Sie die Aktualisierung der Konfiguration abgeschlossen haben. Der Volladministrator kann nicht deaktiviert werden, wenn dies dazu führen würde, dass kein aktivierter Volladministrator mehr vorhanden ist. Das Kontrollkästchen zum Aktivieren/Deaktivieren steht zur Verfügung, wenn Sie einen Administrator erstellen, kopieren oder bearbeiten.
Wenn Sie ein Rollen-/Geltungsbereichspaar beim Kopieren, Bearbeiten oder Löschen eines Administrators löschen, wird nur die Beziehung zwischen Rolle und Geltungsbereich für diesen Administrator gelöscht. Dabei werden weder die Rolle noch der Bereich gelöscht. Es wirkt sich auch nicht auf andere Administratoren aus, die mit diesem Rollen-/Bereichspaar konfiguriert sind.
Führen Sie folgende Schritte aus, um Administratoren zu erstellen und zu verwalten:
-
Melden Sie sich bei Web Studio an, klicken Sie im linken Bereich auf Administratoren und klicken Sie dann auf die Registerkarte Administratoren.
-
Folgen Sie den Anweisungen für die Aufgabe, die Sie ausführen möchten:
- Erstellen eines Administrators: Klicken Sie in der Aktionsleiste auf Administrator erstellen. Geben Sie den Namen eines Benutzerkontos ein oder navigieren Sie zu einem Benutzerkonto, wählen oder erstellen Sie einen Geltungsbereich und wählen Sie eine Rolle. Der neue Administrator ist standardmäßig aktiviert. Sie können dies ändern.
- Kopieren eines Administrators: Wählen Sie den Administrator aus und klicken Sie in der Aktionsleiste auf Administrator kopieren. Geben Sie den Namen des Benutzerkontos ein oder navigieren zu dem Benutzerkonto. Sie können die Rollen-/Geltungsbereichspaare auswählen und dann bearbeiten oder löschen und neue hinzufügen. Der neue Administrator ist standardmäßig aktiviert. Sie können dies ändern.
- Bearbeiten eines Administrators: Wählen Sie den Administrator aus und klicken Sie in der Aktionsleiste auf Administrator bearbeiten. Sie können die Rollen-/Geltungsbereichspaare bearbeiten oder löschen und neue hinzufügen.
- Löschen eines Administrators: Wählen Sie den Administrator aus und klicken Sie in der Aktionsleiste auf Administrator löschen. Der Volladministrator kann nicht gelöscht werden, wenn dies dazu führen würde, dass kein aktivierter Volladministrator mehr vorhanden ist.
Im oberen Bereich werden die Administratoren angezeigt, die Sie erstellt haben. Wählen Sie einen Administrator aus, um die Details im unteren Bereich anzuzeigen. Die Spalte Warnungen gibt an, ob die dem Administrator zugeordneten Rollen-/Bereichspaare unbrauchbare Rollen oder Bereiche enthalten. Die folgende Warnmeldung wird angezeigt, wenn ein zugeordnetes Rollen-/Bereichspaar unbrauchbare Rollen oder Bereiche enthält:
- Zugehörige Rolle oder Bereich nicht verwendbar
Wichtig:
Eine Warnmeldung wird nur angezeigt, wenn ein zugeordnetes Rollen-/Bereichspaar eine unbrauchbare Rollen, einen unbrauchbaren Bereich oder beides enthält.
Führen Sie einen der folgenden Schritte aus, um das Rollen-/Bereichspaar vom Administrator zu entfernen:
- Löschen Sie das Rollen-/Bereichspaar.
- Klicken Sie in der Aktionsleiste auf Administrator bearbeiten.
- Wählen Sie im Fenster Administratorname und -details das Rollen-/Bereichspaar aus und klicken Sie auf Löschen.
- Klicken Sie zum Schluss auf Speichern.
- Löschen Sie den Administrator.
- Klicken Sie in der Aktionsleiste auf Administrator löschen.
- Klicken Sie im Bestätigungsfenster auf Löschen.
Erstellen und Verwalten von Rollen
Wenn Administratoren eine Rolle erstellen oder bearbeiten, können sie nur die Berechtigungen aktivieren, die sie selbst haben. Dadurch wird verhindert, dass Administratoren eine Rolle mit mehr Berechtigungen erstellen, als sie derzeit haben, und sie dann sich selbst zuweisen (oder eine ihnen bereits zugewiesene Rolle bearbeiten).
Rollennamen können bis zu 64 Unicode-Zeichen haben. Sie dürfen keines der folgenden Zeichen enthalten: umgekehrter Schrägstrich, Schrägstrich, Semikolon, Doppelpunkt, Nummernzeichen, Komma, Sternchen, Fragezeichen, Gleichheitszeichen, Größer-Als- oder Kleiner-Als-Zeichen, senkrechter Strich, eckige Klammern, runde Klammern, Anführungszeichen und Apostroph. Beschreibungen können bis zu 256 Unicode-Zeichen enthalten.
Sie können eine integrierte Rolle nicht bearbeiten oder löschen. Benutzerdefinierte Rollen können nicht gelöscht werden, wenn sie von einem Administrator verwendet werden.
Hinweis:
Nur bestimmte Produkteditionen unterstützen benutzerdefinierte Rollen. Nur Editionen, die benutzerdefinierte Rollen unterstützen, haben diese Einträge in der Aktionsleiste.
Führen Sie folgende Schritte aus, um Rollen zu erstellen und zu verwalten:
-
Melden Sie sich bei Web Studio an, klicken Sie im linken Bereich auf Administratoren und klicken Sie dann auf die Registerkarte Rollen.
-
Folgen Sie den Anweisungen für die Aufgabe, die Sie ausführen möchten:
- Anzeigen von Rollendetails: Wählen Sie die Rolle aus. Im unteren Bereich werden die Objekttypen und die zugehörigen Berechtigungen für die Rolle angezeigt. Klicken Sie im unteren Bereich auf die Registerkarte Administratoren, um eine Liste der Administratoren anzuzeigen, die derzeit diese Rolle haben.
- Erstellen einer benutzerdefinierten Rolle: Klicken Sie in der Aktionsleiste auf Rolle erstellen. Geben Sie einen Namen und eine Beschreibung ein. Wählen Sie die Objekttypen und Berechtigungen aus.
- Kopieren einer Rolle: Wählen Sie die Rolle und klicken Sie in der Aktionsleiste auf Rolle kopieren. Ändern Sie den Namen und die Beschreibung sowie die Objekttypen und Berechtigungen nach Bedarf.
- Bearbeiten einer benutzerdefinierten Rolle: Wählen Sie die Rolle und klicken Sie in der Aktionsleiste auf Rolle bearbeiten. Ändern Sie den Namen und die Beschreibung sowie die Objekttypen und Berechtigungen nach Bedarf.
- Löschen einer benutzerdefinierten Rolle: Wählen Sie die Rolle und klicken Sie in der Aktionsleiste auf Rolle löschen. Bestätigen Sie die Löschung.
Erstellen und Verwalten von Geltungsbereichen
Beim Erstellen einer Site steht nur der Geltungsbereich “Alle” zur Verfügung. Dieser kann nicht gelöscht werden.
Sie können Geltungsbereiche wie folgt erstellen. Sie können auch die Geltungsbereiche erstellen, wenn Sie einen Administrator erstellen. Jeder Administrator muss mindestens einem Rollen-/Geltungsbereichspaar zugeordnet werden. Beim Erstellen oder Bearbeiten von Desktops, Maschinenkatalogen, Anwendungen oder Hosts können Sie diese einem bestehenden Geltungsbereich hinzufügen. Wenn Sie sie keinem Bereich hinzufügen, bleiben sie Teil des Bereichs “Alle”.
Die Geltungsbereichszuordnung ist beim Erstellen von Sites und für Objekte der delegierten Administration (Geltungsbereiche und Rollen) nicht möglich. Objekte, die nicht zugeordnet werden können, gehören zum Geltungsbereich “Alle”. (Volladministratoren haben immer den Geltungsbereich “Alle”.) Maschinen, Energieaktionen, Desktops und Sitzungen bekommen nicht direkt einen Bereich zugeordnet. Administratoren können Berechtigungen für diese Objekte über die zugeordneten Maschinenkataloge oder Bereitstellungsgruppen zugewiesen werden.
Regeln zum Erstellen und Verwalten von Geltungsbereichen:
-
Geltungsbereichsnamen können bis zu 64 Unicode-Zeichen enthalten. Bereichsnamen dürfen keines der folgenden Zeichen enthalten: umgekehrter Schrägstrich, Schrägstrich, Semikolon, Doppelpunkt, Nummernzeichen, Komma, Sternchen, Fragezeichen, Gleichheitszeichen, Größer-Als- oder Kleiner-Als-Zeichen, senkrechter Strich, eckige Klammern, runde Klammern, Anführungszeichen und Apostroph.
-
Geltungsbereichsbeschreibungen können bis zu 256 Unicode-Zeichen enthalten.
-
Wenn Sie einen Geltungsbereich kopieren oder bearbeiten, dürfen Sie nicht vergessen, dass Objekte, die aus dem Geltungsbereich entfernt werden, für den Administrator ggf. nicht mehr zugänglich sind. Ist der bearbeitete Geltungsbereich mit einer oder mehreren Rollen verbunden, müssen Sie sicherstellen, dass kein Rollen-/Geltungsbereichspaar durch Änderungen am Bereich unbrauchbar wird.
Führen Sie folgende Schritte aus, um Geltungsbereiche zu erstellen und zu verwalten:
-
Melden Sie sich bei Web Studio an, klicken Sie im linken Bereich auf Administratoren und klicken Sie auf die Registerkarte Geltungsbereiche.
-
Folgen Sie den Anweisungen für die Aufgabe, die Sie ausführen möchten:
- Erstellen eines Geltungsbereichs: Klicken Sie in der Aktionsleiste auf Geltungsbereich erstellen. Geben Sie einen Namen und eine Beschreibung ein. Zum Einschließen aller Objekte eines bestimmten Typs (z. B. Bereitstellungsgruppen), wählen Sie den Objekttyp aus. Zum Einschließen bestimmter Objekte erweitern Sie den Typ und wählen Sie die einzelnen Objekte (z. B. einzelne Bereitstellungsgruppen des Vertriebs) aus.
- Kopieren eines Geltungsbereichs: Wählen Sie den Geltungsbereich und klicken Sie in der Aktionsleiste auf Geltungsbereich kopieren. Geben Sie einen Namen und eine Beschreibung ein. Ändern Sie bei Bedarf die Objekttypen und Berechtigungen.
- Bearbeiten eines Geltungsbereichs: Wählen Sie den Geltungsbereich und klicken Sie in der Aktionsleiste auf Geltungsbereich bearbeiten. Ändern Sie den Namen und die Beschreibung sowie die Objekttypen und Objekte nach Bedarf.
- Löschen eines Geltungsbereichs: Wählen Sie den Geltungsbereich und klicken Sie in der Aktionsleiste auf Geltungsbereich löschen. Bestätigen Sie die Löschung.
Erstellen von Berichten
Sie können zwei Arten delegierter Administrationsberichte erstellen:
-
Einen HTML-Bericht, der die Rollen-/Geltungsbereichspaare, die einem Administrator zugeordnet sind, sowie die einzelnen Berechtigungen für jeden Objekttyp (z. B. Bereitstellungsgruppen und Maschinenkataloge) enthält. Sie generieren diesen Bericht in Web Studio.
Führen Sie folgende Schritte aus, um den Bericht zu erstellen:
- Melden Sie sich bei Web Studio an und klicken Sie im linken Bereich auf Administratoren.
- Wählen Sie einen Administrator aus, und klicken Sie in der Aktionsleiste auf Bericht erstellen.
Sie können diesen Bericht auch beim Erstellen, Kopieren oder Bearbeiten eines Administrators anfordern.
-
HTML- oder CSV Bericht, in dem alle integrierten benutzerdefinierten Rollen und Berechtigungen zugeordnet sind. Sie generieren diesen Bericht durch Ausführen des PowerShell-Skripts “OutputPermissionMapping.ps1”.
Um dieses Skript auszuführen, müssen Sie ein Volladministrator, ein Lesezugriffadministrator oder ein benutzerdefinierter Administrator mit der Berechtigung zum Lesen von Rollen sein. Das Skript ist in Programme\Citrix\DelegatedAdmin\SnapIn\Citrix.DelegatedAdmin.Admin.V1\Scripts\.
Syntax:
OutputPermissionMapping.ps1 [-Help] [-Csv] [-Path string] [-AdminAddress string] [-Show] [CommonParameters]
Parameter Beschreibung -Help
Zeigt Skripthilfe an. -Csv
Gibt CSV-Ausgabe an. Standard = HTML -Path string
Zielspeicherort für die Ausgabe. Standard = stdout -AdminAddress string
IP-Adresse oder Hostname des Delivery Controllers, mit dem eine Verbindung hergestellt wird. Standard = localhost -Show
Gilt nur, wenn der Parameter -Path
ebenfalls angegeben wird. Wenn die Ausgabe in eine Datei geschrieben wird, wird sie mit-Show
in einem geeigneten Programm, z. B. einem Webbrowser, geöffnet.CommonParameters Verbose
,Debug
,ErrorAction
,ErrorVariable
,WarningAction
,WarningVariable
,OutBuffer
undOutVariable
. Weitere Informationen finden Sie in der Dokumentation von Microsoft.
Mit dem Befehl im folgenden Beispiel wird eine HTML-Tabelle in eine Datei namens Roles.html geschrieben und die Tabelle in einem Webbrowser geöffnet.
& "$env:ProgramFiles\Citrix\DelegatedAdmin\SnapIn\
Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1"
-Path Roles.html –Show
<!--NeedCopy-->
Mit dem Befehl im folgenden Beispiel wird eine CSV-Tabelle in eine Datei namens Roles.csv geschrieben. Die Tabelle wird nicht angezeigt.
& "$env:ProgramFiles\Citrix\DelegatedAdmin\SnapIn\
Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1"
–CSV -Path Roles.csv
<!--NeedCopy-->
An einer Windows-Eingabeaufforderung wird der Befehl aus dem vorherigen Beispiel folgendermaßen eingegeben:
powershell -command "& '%ProgramFiles%\Citrix\DelegatedAdmin\SnapIn\
Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1'
-CSV -Path Roles.csv"
<!--NeedCopy-->