Produktdokumentation
Citrix Virtual Apps and Desktops 7 2311
PDF anzeigen

Delegierte Administration

June 5, 2026
Beitrag von: 
C

Hinweis:

Sie können Ihre Citrix Virtual Apps and Desktops™-Bereitstellung mithilfe von zwei Verwaltungskonsolen verwalten: Web Studio (webbasiert) und Citrix Studio (Windows-basiert). Dieser Artikel behandelt nur Web Studio. Informationen zu Citrix Studio finden Sie im entsprechenden Artikel in Citrix Virtual Apps and Desktops 7 2212 oder früher.

Das Modell der delegierten Administration bietet die Flexibilität, die Art und Weise anzupassen, wie Ihre Organisation Verwaltungsaktivitäten delegieren möchte, unter Verwendung von rollen- und objektbasierter Steuerung. Die delegierte Administration unterstützt Bereitstellungen jeder Größe und ermöglicht es Ihnen, die Berechtigungsgranularität zu erhöhen, wenn Ihre Bereitstellung komplexer wird. Die delegierte Administration verwendet drei Konzepte: Administratoren, Rollen und Bereiche.

  • Administratoren: Ein Administrator repräsentiert eine Einzelperson oder eine Gruppe von Personen, die durch ihr Active Directory-Konto identifiziert werden. Jeder Administrator ist einem oder mehreren Rollen- und Bereichspaaren zugeordnet.

  • Rollen: Eine Rolle repräsentiert eine Aufgabenfunktion und hat definierte Berechtigungen, die ihr zugeordnet sind. Zum Beispiel hat die Rolle Delivery Group Administrator Berechtigungen wie ‘Delivery Group erstellen’ und ‘Desktop aus Delivery Group entfernen’. Ein Administrator kann mehrere Rollen für eine Site haben, sodass eine Person ein Delivery Group Administrator und ein Machine Catalog Administrator sein kann. Rollen können integriert oder benutzerdefiniert sein.

    Die integrierten Rollen sind:

    Rolle Berechtigungen
    Vollständiger Administrator Kann alle Aufgaben und Operationen ausführen. Ein vollständiger Administrator ist immer mit dem Bereich ‘Alle’ kombiniert.
    Schreibgeschützter Administrator Kann alle Objekte in angegebenen Bereichen zusätzlich zu globalen Informationen sehen, aber nichts ändern. Zum Beispiel kann ein schreibgeschützter Administrator mit Scope=London alle globalen Objekte (wie Configuration Logging) und alle London-bezogenen Objekte (zum Beispiel London Delivery Groups) sehen. Dieser Administrator kann jedoch keine Objekte im New York scope sehen (vorausgesetzt, die London- und New York-Scopes überschneiden sich nicht).
    Helpdesk-Administrator Kann Delivery Groups anzeigen und die Sitzungen und Maschinen verwalten, die diesen Gruppen zugeordnet sind. Kann den Machine Catalog und Hostinformationen für die überwachten Delivery Groups sehen. Kann auch Sitzungsverwaltung und Maschinen-Energieverwaltungsoperationen für die Maschinen in diesen Delivery Groups durchführen.
    Maschinenkatalog-Administrator Kann Maschinenkataloge erstellen und verwalten sowie die Maschinen darin bereitstellen. Kann Maschinenkataloge aus der Virtualisierungsinfrastruktur, Provisioning Services und physischen Maschinen erstellen. Diese Rolle kann Basis-Images verwalten und Software installieren, aber keine Anwendungen oder Desktops Benutzern zuweisen.
    Bereitstellungsgruppen-Administrator Kann Anwendungen, Desktops und Maschinen bereitstellen; kann auch die zugehörigen Sitzungen verwalten. Kann auch Anwendungs- und Desktopkonfigurationen wie Richtlinien und Energieverwaltungseinstellungen verwalten.
    Host-Administrator Kann Hostverbindungen und die zugehörigen Ressourceneinstellungen verwalten. Kann keine Maschinen, Anwendungen oder Desktops an Benutzer bereitstellen.

    In bestimmten Produkteditionen können Sie benutzerdefinierte Rollen erstellen, die den Anforderungen Ihrer Organisation entsprechen, und Berechtigungen detaillierter delegieren. Sie können benutzerdefinierte Rollen verwenden, um Berechtigungen auf der Granularität einer Aktion oder Aufgabe in einer Konsole zuzuweisen.

  • Bereiche: Ein Bereich stellt eine Sammlung von Objekten dar. Bereiche werden verwendet, um Objekte auf eine für Ihre Organisation relevante Weise zu gruppieren (z. B. die Menge der Bereitstellungsgruppen, die vom Vertriebsteam verwendet werden). Objekte können in mehr als einem Bereich sein; Sie können sich Objekte so vorstellen, als wären sie mit einem oder mehreren Bereichen gekennzeichnet. Es gibt einen integrierten Bereich: ‘Alle’, der alle Objekte enthält. Die Rolle des vollständigen Administrators ist immer mit dem Bereich ‘Alle’ gekoppelt.

Beispiel

Das Unternehmen XYZ beschloss, Anwendungen und Desktops basierend auf ihrer Abteilung (Buchhaltung, Vertrieb und Lager) und ihrem Desktop-Betriebssystem (Windows 7 oder Windows 8) zu verwalten. Der Administrator erstellte fünf Bereiche und kennzeichnete dann jede Bereitstellungsgruppe mit zwei Bereichen: einen für die Abteilung, in der sie verwendet werden, und einen für das verwendete Betriebssystem.

Die folgenden Administratoren wurden erstellt:

Administrator Rollen Bereiche
domain/fred Volladministrator Alle (die Rolle des Volladministrators hat immer den Geltungsbereich „Alle“)
domain/rob Schreibgeschützter Administrator Alle
domain/heidi Schreibgeschützter Administrator, Helpdesk-Administrator Alle Verkäufe
domain/warehouseadmin Helpdesk-Administrator Lager
domain/peter Bereitstellungsgruppenadministrator, Maschinenkatalogadministrator Win7
  • Fred ist ein Volladministrator und kann alle Objekte im System anzeigen, bearbeiten und löschen.
  • Rob kann alle Objekte auf der Site anzeigen, aber sie nicht bearbeiten oder löschen.
  • Heidi kann alle Objekte anzeigen und Helpdesk-Aufgaben für Delivery Groups im Bereich „Vertrieb“ ausführen. Dadurch kann sie die Sitzungen und Maschinen verwalten, die diesen Gruppen zugeordnet sind; sie kann keine Änderungen an der Delivery Group vornehmen, wie z. B. das Hinzufügen oder Entfernen von Maschinen.
  • Jeder, der Mitglied der Active Directory-Sicherheitsgruppe „warehouseadmin“ ist, kann Maschinen im Bereich „Lager“ anzeigen und Helpdesk-Aufgaben für diese ausführen.
  • Peter ist ein Windows 7-Spezialist und kann alle Windows 7-Maschinenkataloge verwalten sowie Windows 7-Anwendungen, -Desktops und -Maschinen bereitstellen, unabhängig davon, welchem Abteilungsbereich sie angehören. Die Administratorin erwog, Peter zum Volladministrator für den Win7-Bereich zu ernennen. Sie entschied sich jedoch dagegen, da ein Volladministrator auch volle Rechte über alle nicht zugewiesenen Objekte hat, wie z. B. „Site“ und „Administrator“.

Verwendung der delegierten Administration

Im Allgemeinen hängen die Anzahl der Administratoren und die Granularität ihrer Berechtigungen von der Größe und Komplexität der Bereitstellung ab.

  • In kleinen Bereitstellungen oder Proof-of-Concept-Bereitstellungen erledigen ein oder wenige Administratoren alles. Es gibt keine Delegation. Erstellen Sie in diesem Fall jeden Administrator mit der integrierten Rolle „Volladministrator“, die den Bereich „Alle“ hat.
  • In größeren Bereitstellungen mit mehr Maschinen, Anwendungen und Desktops ist mehr Delegation erforderlich. Mehrere Administratoren haben möglicherweise spezifischere funktionale Verantwortlichkeiten (Rollen). Zum Beispiel sind zwei Volladministratoren und andere Helpdesk-Administratoren. Außerdem verwaltet ein Administrator möglicherweise nur bestimmte Objektgruppen (Bereiche), wie z. B. Maschinenkataloge. Erstellen Sie in diesem Fall neue Bereiche sowie Administratoren mit einer der integrierten Rollen und den entsprechenden Bereichen.
  • Noch größere Bereitstellungen erfordern möglicherweise mehr (oder spezifischere) Bereiche sowie verschiedene Administratoren mit unkonventionellen Rollen. Bearbeiten oder erstellen Sie in diesem Fall weitere Bereiche, erstellen Sie benutzerdefinierte Rollen und erstellen Sie jeden Administrator mit einer integrierten oder benutzerdefinierten Rolle sowie vorhandenen und neuen Bereichen.

Für Flexibilität und einfache Konfiguration können Sie Bereiche erstellen, wenn Sie einen Administrator erstellen. Sie können Bereiche auch beim Erstellen oder Bearbeiten von Maschinenkatalogen oder Verbindungen angeben.

Administratoren erstellen und verwalten

Wenn Sie eine Site als lokaler Administrator erstellen, wird Ihr Benutzerkonto automatisch zu einem Volladministrator mit vollen Berechtigungen für alle Objekte. Nachdem eine Site erstellt wurde, haben lokale Administratoren keine besonderen Privilegien.

Die Rolle „Volladministrator“ hat immer den Bereich „Alle“; dies kann nicht geändert werden.

Standardmäßig ist ein Administrator aktiviert. Das Deaktivieren eines Administrators kann erforderlich sein, wenn Sie den Administrator jetzt erstellen, diese Person aber erst später mit den Verwaltungsaufgaben beginnt. Bei vorhandenen aktivierten Administratoren möchten Sie möglicherweise mehrere von ihnen deaktivieren, während Sie Ihre Objekte/Bereiche neu organisieren, und sie dann wieder aktivieren, wenn Sie bereit sind, die aktualisierte Konfiguration in Betrieb zu nehmen. Sie können einen Volladministrator nicht deaktivieren, wenn dies dazu führen würde, dass kein aktivierter Volladministrator mehr vorhanden ist. Das Kontrollkästchen zum Aktivieren/Deaktivieren ist verfügbar, wenn Sie einen Administrator erstellen, kopieren oder bearbeiten.

Wenn Sie ein Rollen-/Bereichspaar beim Kopieren, Bearbeiten oder Löschen eines Administrators löschen, wird nur die Beziehung zwischen der Rolle und dem Bereich für diesen Administrator gelöscht. Es wird weder die Rolle noch der Bereich gelöscht. Es hat auch keine Auswirkungen auf andere Administratoren, die mit diesem Rollen-/Bereichspaar konfiguriert sind.

Führen Sie die folgenden Schritte aus, um Administratoren zu erstellen und zu verwalten:

  1. Melden Sie sich bei Web Studio an, klicken Sie im linken Bereich auf Administratoren und dann auf die Registerkarte Administratoren.

  2. Befolgen Sie die Anweisungen für die Aufgabe, die Sie ausführen möchten:

    • Administrator erstellen: Klicken Sie in der Aktionsleiste auf Administrator erstellen. Geben Sie den Benutzernamen ein oder suchen Sie ihn, wählen oder erstellen Sie einen Bereich und wählen Sie dann eine Rolle aus. Der neue Administrator ist standardmäßig aktiviert; Sie können dies ändern.
    • Administrator kopieren: Wählen Sie den Administrator aus und klicken Sie dann in der Aktionsleiste auf Administrator kopieren. Geben Sie den Benutzernamen ein oder suchen Sie ihn. Sie können beliebige Rollen-/Bereichspaare auswählen und dann bearbeiten oder löschen sowie neue hinzufügen. Der neue Administrator ist standardmäßig aktiviert; Sie können dies ändern.
    • Administrator bearbeiten: Wählen Sie den Administrator aus und klicken Sie dann in der Aktionsleiste auf Administrator bearbeiten. Sie können beliebige Rollen-/Bereichspaare bearbeiten oder löschen sowie neue hinzufügen.
    • Administrator löschen: Wählen Sie den Administrator aus und klicken Sie dann in der Aktionsleiste auf Administrator löschen. Sie können keinen Volladministrator löschen, wenn dies dazu führen würde, dass kein aktivierter Volladministrator mehr vorhanden ist.

Im oberen Bereich werden die von Ihnen erstellten Administratoren angezeigt. Wählen Sie einen Administrator aus, um dessen Details im unteren Bereich anzuzeigen. Die Spalte Warnungen gibt an, ob die dem Administrator zugeordneten Rollen- und Bereichspaare unbrauchbare Rollen oder Bereiche enthalten. Die folgende Warnmeldung wird angezeigt, wenn ein zugeordnetes Rollen- und Bereichspaar unbrauchbare Rollen oder Bereiche enthält:

  • Zugeordnete Rolle oder Bereich nicht verwendbar

Wichtig:

Eine Warnmeldung wird nur angezeigt, wenn ein zugeordnetes Rollen- und Bereichspaar unbrauchbare Rollen oder Bereiche oder beides enthält.

Um das Rollen- und Bereichspaar vom Administrator zu entfernen, führen Sie einen der folgenden Schritte aus:

  • Löschen Sie das Rollen- und Bereichspaar.
    1. Klicken Sie in der Aktionsleiste auf Administrator bearbeiten.
    2. Wählen Sie im Fenster Administratorname und Details das Rollen- und Bereichspaar aus und klicken Sie dann auf Löschen.
    3. Klicken Sie auf Speichern, um den Vorgang zu beenden.
  • Administrator löschen.
    1. Klicken Sie in der Aktionsleiste auf Administrator löschen.
    2. Klicken Sie im Bestätigungsfenster auf Löschen.

Rollen erstellen und verwalten

Wenn Administratoren eine Rolle erstellen oder bearbeiten, können sie nur die Berechtigungen aktivieren, die sie selbst besitzen. Dies verhindert, dass Administratoren eine Rolle mit mehr Berechtigungen erstellen, als sie derzeit haben, und diese dann sich selbst zuweisen (oder eine Rolle bearbeiten, die ihnen bereits zugewiesen ist).

Rollennamen dürfen bis zu 64 Unicode-Zeichen enthalten; sie dürfen nicht enthalten: Backslash, Schrägstrich, Semikolon, Doppelpunkt, Rautezeichen, Komma, Sternchen, Fragezeichen, Gleichheitszeichen, linke oder rechte Pfeiltaste, Pipe, linke oder rechte Klammer, linke oder rechte runde Klammer, Anführungszeichen oder Apostroph. Beschreibungen dürfen bis zu 256 Unicode-Zeichen enthalten.

Sie können eine integrierte Rolle nicht bearbeiten oder löschen. Sie können eine benutzerdefinierte Rolle nicht löschen, wenn sie von einem Administrator verwendet wird.

Hinweis:

Nur bestimmte Produkteditionen unterstützen benutzerdefinierte Rollen. Nur Editionen, die benutzerdefinierte Rollen unterstützen, haben entsprechende Einträge in der Aktionsleiste.

Gehen Sie wie folgt vor, um Rollen zu erstellen und zu verwalten:

  1. Melden Sie sich bei Web Studio an, klicken Sie im linken Bereich auf Administratoren und dann auf die Registerkarte Rollen.

  2. Befolgen Sie die Anweisungen für die Aufgabe, die Sie ausführen möchten:

    • Rollendetails anzeigen: Wählen Sie die Rolle aus. Im unteren Bereich werden die Objekttypen und die zugehörigen Berechtigungen für die Rolle aufgeführt. Klicken Sie im unteren Bereich auf die Registerkarte Administratoren, um eine Liste der Administratoren anzuzeigen, die diese Rolle derzeit innehaben.
    • Benutzerdefinierte Rolle erstellen: Klicken Sie im Aktionsbereich auf Rolle erstellen. Geben Sie einen Namen und eine Beschreibung ein. Wählen Sie die Objekttypen und Berechtigungen aus.
    • Rolle kopieren: Wählen Sie die Rolle aus und klicken Sie dann in der Aktionsleiste auf Rolle kopieren. Ändern Sie bei Bedarf den Namen, die Beschreibung, die Objekttypen und die Berechtigungen.
    • Benutzerdefinierte Rolle bearbeiten: Wählen Sie die Rolle aus und klicken Sie dann in der Aktionsleiste auf Rolle bearbeiten. Ändern Sie bei Bedarf den Namen, die Beschreibung, die Objekttypen und die Berechtigungen.
    • Benutzerdefinierte Rolle löschen: Wählen Sie die Rolle aus und klicken Sie dann in der Aktionsleiste auf Rolle löschen. Bestätigen Sie die Löschung, wenn Sie dazu aufgefordert werden.

Bereiche erstellen und verwalten

Wenn Sie eine Site erstellen, ist der einzige verfügbare Bereich der Bereich „Alle“, der nicht gelöscht werden kann.

Sie können Bereiche mit dem folgenden Verfahren erstellen. Sie können auch Bereiche erstellen, wenn Sie einen Administrator erstellen; jeder Administrator muss mit mindestens einem Rollen- und Bereichspaar verknüpft sein. Beim Erstellen oder Bearbeiten von Desktops, Maschinenkatalogen, Anwendungen oder Hosts können Sie diese einem vorhandenen Bereich hinzufügen. Wenn Sie sie keinem Bereich hinzufügen, bleiben sie Teil des Bereichs „Alle“.

Die Site-Erstellung kann nicht auf Bereiche beschränkt werden, ebenso wenig wie Objekte der delegierten Administration (Bereiche und Rollen). Objekte, die Sie nicht auf Bereiche beschränken können, sind jedoch im Bereich „Alle“ enthalten. (Vollständige Administratoren haben immer den Bereich „Alle“.) Maschinen, Energieaktionen, Desktops und Sitzungen sind nicht direkt auf Bereiche beschränkt. Administratoren können Berechtigungen für diese Objekte über die zugehörigen Maschinenkataloge oder Bereitstellungsgruppen zugewiesen werden.

Regeln für das Erstellen und Verwalten von Bereichen:

  • Bereichsnamen dürfen bis zu 64 Unicode-Zeichen enthalten. Bereichsnamen dürfen nicht enthalten: Backslash, Schrägstrich, Semikolon, Doppelpunkt, Rautezeichen, Komma, Sternchen, Fragezeichen, Gleichheitszeichen, linke Pfeiltaste, rechte Pfeiltaste, Pipe, linke oder rechte Klammer, linke oder rechte Parenthese, Anführungszeichen oder Apostroph.

  • Bereichsbeschreibungen dürfen bis zu 256 Unicode-Zeichen enthalten.

  • Beachten Sie beim Kopieren oder Bearbeiten eines Bereichs, dass das Entfernen von Objekten aus dem Bereich diese Objekte für den Administrator unzugänglich machen kann. Wenn der bearbeitete Bereich mit einer oder mehreren Rollen gekoppelt ist, stellen Sie sicher, dass die Bereichsaktualisierungen kein Rollen-/Bereichspaar unbrauchbar machen.

Führen Sie die folgenden Schritte aus, um Bereiche zu erstellen und zu verwalten:

  1. Melden Sie sich bei Web Studio an, klicken Sie im linken Bereich auf Administratoren und dann auf die Registerkarte Bereiche.

  2. Befolgen Sie die Anweisungen für die Aufgabe, die Sie ausführen möchten:

    • Bereich erstellen: Klicken Sie in der Aktionsleiste auf Neuen Bereich erstellen. Geben Sie einen Namen und eine Beschreibung ein. Um alle Objekte eines bestimmten Typs (z. B. Bereitstellungsgruppen) einzuschließen, wählen Sie den Objekttyp aus. Um bestimmte Objekte einzuschließen, erweitern Sie den Typ und wählen Sie dann einzelne Objekte aus (z. B. Bereitstellungsgruppen, die vom Vertriebsteam verwendet werden).
    • Bereich kopieren: Wählen Sie den Bereich aus und klicken Sie dann in der Aktionsleiste auf Bereich kopieren. Geben Sie einen Namen und eine Beschreibung ein. Ändern Sie bei Bedarf die Objekttypen und Objekte.
    • Bereich bearbeiten: Wählen Sie den Bereich aus und klicken Sie dann in der Aktionsleiste auf Bereich bearbeiten. Ändern Sie bei Bedarf den Namen, die Beschreibung, die Objekttypen und die Objekte.
    • Bereich löschen: Wählen Sie den Bereich aus und klicken Sie dann in der Aktionsleiste auf Bereich löschen. Bestätigen Sie die Löschung, wenn Sie dazu aufgefordert werden.

Berichte erstellen

Sie können zwei Arten von Berichten zur delegierten Administration erstellen:

  • Ein HTML-Bericht, der die einem Administrator zugeordneten Rollen-/Bereichspaare sowie die einzelnen Berechtigungen für jeden Objekttyp (z. B. Bereitstellungsgruppen und Maschinenkataloge) auflistet. Sie generieren diesen Bericht über Web Studio.

    Gehen Sie wie folgt vor, um diesen Bericht zu erstellen:

    1. Melden Sie sich bei Web Studio an und klicken Sie im linken Bereich auf Administratoren.
    2. Wählen Sie einen Administrator aus und klicken Sie dann in der Aktionsleiste auf Bericht erstellen.

    Sie können diesen Bericht auch beim Erstellen, Kopieren oder Bearbeiten eines Administrators anfordern.

  • Ein HTML- oder CSV-Bericht, der alle integrierten und benutzerdefinierten Rollen Berechtigungen zuordnet. Sie generieren diesen Bericht, indem Sie ein PowerShell-Skript namens OutputPermissionMapping.ps1 ausführen.

    Um dieses Skript auszuführen, müssen Sie ein Volladministrator, ein schreibgeschützter Administrator oder ein benutzerdefinierter Administrator mit der Berechtigung zum Lesen von Rollen sein. Das Skript befindet sich unter: Program Files\Citrix\DelegatedAdmin\SnapIn\Citrix.DelegatedAdmin.Admin.V1\Scripts.

    Syntax:

    OutputPermissionMapping.ps1 [-Help] [-Csv] [-Path string] [-AdminAddress string] [-Show] [CommonParameters]

    Parameter Beschreibung
    -Help Zeigt die Skript-Hilfe an.
    -Csv Gibt die CSV-Ausgabe an. Standard = HTML
    -Path string Wohin die Ausgabe geschrieben werden soll. Standard = stdout
    -AdminAddress string IP-Adresse oder Hostname des Delivery Controller™, mit dem eine Verbindung hergestellt werden soll. Standard = localhost
    -Show (Nur gültig, wenn der Parameter -Path ebenfalls angegeben ist) Wenn Sie die Ausgabe in eine Datei schreiben, bewirkt -Show, dass die Ausgabe in einem geeigneten Programm, z. B. einem Webbrowser, geöffnet wird.
    CommonParameters Verbose, Debug, ErrorAction, ErrorVariable, WarningAction, WarningVariable, OutBuffer und OutVariable. Weitere Informationen finden Sie in der Microsoft-Dokumentation.

Das folgende Beispiel schreibt eine HTML-Tabelle in eine Datei namens Roles.html und öffnet die Tabelle in einem Webbrowser.

& "$env:ProgramFiles\Citrix\DelegatedAdmin\SnapIn\
Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1"
-Path Roles.html –Show
<!--NeedCopy-->

Das folgende Beispiel schreibt eine CSV-Tabelle in eine Datei namens Roles.csv. Die Tabelle wird nicht angezeigt.

& "$env:ProgramFiles\Citrix\DelegatedAdmin\SnapIn\
Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1"
–CSV -Path Roles.csv
<!--NeedCopy-->

Von einer Windows-Eingabeaufforderung aus lautet der vorhergehende Beispielbefehl:

powershell -command "& '%ProgramFiles%\Citrix\DelegatedAdmin\SnapIn\
Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1'
-CSV -Path Roles.csv"
<!--NeedCopy-->
Delegierte Administration
June 5, 2026
Beitrag von: 
C
June 5, 2026
Beitrag von: 
C

In diesem Artikel

Feedback zur Site | Your privacy choices footer linkIhre Datenschutzauswahl | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.