Citrix Provisioning

Administrative Rollen

Das Anzeigen und Verwalten von Objekten in der Citrix Provisioning-Serverimplementierung wird durch die Administratorrolle gesteuert, die einer Benutzergruppe zugewiesen ist. Citrix Provisioning verwendet vorhandene Gruppen im Netzwerk (Windows- oder Active Directory-Gruppen). Alle Mitglieder der Gruppe haben dieselben administrativen Berechtigungen in der Farm. Administratoren haben mehrere Rollen, wenn sie mehreren Gruppen angehören.

Die folgenden administrativen Rollen können einer Gruppe zugewiesen werden:

  • Farmadministrator
  • Farmadministrator mit schreibgeschütztem Zugriff
  • Siteadministrator
  • Geräteadministrator
  • Geräteoperator

Nachdem einer Gruppe über die Citrix Provisioning-Konsole eine Administratorrolle zugewiesen wurde, müssen bestimmte Anforderungen erfüllt werden. Wenn ein Mitglied der Gruppe versucht, eine Verbindung zu einer anderen Farm herzustellen, wird ein Dialogfeld angezeigt, in dem zum Angeben eines Provisioning-Servers in der Farm aufgefordert. Verwenden Sie entweder die Windows-Anmeldeinformationen, mit denen Sie angemeldet sind (Standardeinstellung), oder geben Sie Ihre Active Directory-Anmeldeinformationen ein. Citrix Provisioning unterstützt keine gleichzeitige Verwendung von Domänen und Arbeitsgruppen.

Die der Gruppe zugeordnete Rolle bestimmt Ihre Administratorprivilegien innerhalb dieser Farm. Rollenzuweisungen für Gruppen können von Farm zu Farm variieren.

Verwalten von Farmadministratoren

Farmadministratoren können alle Objekte einer Farm anzeigen und verwalten. Sie erstellen außerdem Sites und verwalten die Rollenmitgliedschaften in der gesamten Farm. In der Citrix Provisioning-Konsole führen Administratoren Aufgaben auf Farmebene aus.

Abbildung der Farmarchitektur

Wenn die Farm anfänglich mit dem Konfigurationsassistenten konfiguriert wird, wird dem Administrator, der die Farm erstellt, automatisch die Rolle Farmadministrator zugewiesen. Beim Konfigurieren der Farm wählt dieser Administrator aus, ob Windows- oder Active Directory-Anmeldeinformationen für die Authentifizierung von Benutzern innerhalb der Farm verwendet werden. Nachdem ein Administrator den Konfigurationsassistenten ausgeführt hat, kann in der Konsole zusätzlichen Gruppen die Rolle des Farmadministrators zugewiesen werden.

Zuweisen zusätzlicher Farmadministratoren

  1. Klicken Sie in der Konsole mit der rechten Maustaste auf die Site, für die die Administratorrolle zugewiesen werden soll, und wählen Sie anschließend Properties. Das Dialogfeld Farm Properties wird angezeigt.
  2. Markieren Sie auf der Registerkarte Groups alle Gruppen, denen administrative Rollen in dieser Farm zugewiesen werden sollen, und klicken Sie anschließend auf Add. Fügen Sie im Dialogfeld Add Systems Group Gruppen hinzu, um Zugriffsrechte zu gewähren. Klicken Sie auf OK.
  3. Wählen Sie auf der Registerkarte Security die Gruppen aus, denen Sie schreibgeschützten Zugriff gewähren möchten. Die Gruppen, die nicht ausgewählt sind, haben Lese- und Schreibzugriff. Klicken Sie auf Add, wenn Sie der Liste Gruppen hinzufügen möchten.
  4. Klicken Sie auf OK, um das Dialogfeld zu schließen.

Hinweis:

Die Authentifizierungsmethode wird angezeigt, um anzugeben, ob Windows- oder Active Directory-Anmeldeinformationen für die Benutzerauthentifizierung in dieser Farm verwendet werden. Die Gruppen für Administratorrollen sind auf Gruppen in der nativen Domäne und Domänen mit einer bidirektionalen Vertrauensstellung für die native Domäne beschränkt.

Verwalten von Siteadministratoren

Siteadministratoren verfügen über den vollständigen Verwaltungszugriff auf alle Objekte innerhalb einer Site. Siteadministratoren verwalten beispielsweise Provisioning-Server, Siteeigenschaften, Zielgeräte, Gerätesammlungen und Zuweisungen sowie Pools virtueller Datenträger.

Abbildung der Site mit Sammlungen

Wenn ein Farmadministrator eine Site als Besitzer eines bestimmten Stores zuweist, kann der Siteadministrator auch den Store verwalten. Zum Verwalten eines Stores gehören das Hinzufügen zu und Entfernen virtueller Datenträger aus dem freigegeben Speicher und das Zuweisen von Provisioning-Servern zum Store. Der Siteadministrator kann auch Mitgliedschaften von Geräteadministratoren und Geräteoperatoren verwalten.

Zuweisen der Siteadministratorrolle zu einer oder mehreren Gruppen

  1. Klicken Sie in der Konsole mit der rechten Maustaste auf die Site, für die die Administratorrolle zugewiesen werden soll, und wählen Sie anschließend Properties. Das Dialogfeld Site Properties wird angezeigt.
  2. Klicken Sie auf die Registerkarte Security und anschließend auf Add. Das Dialogfeld Add Security Group wird angezeigt.
  3. Wählen Sie im Menü die Gruppen aus, denen Sie Zugriff gewähren möchten.
  4. Wiederholen Sie optional die Schritte 2 und 3, um weitere Siteadministratoren zuzuweisen.
  5. Klicken Sie auf OK, um das Dialogfeld zu schließen.

Verwalten von Geräteadministratoren

Geräteadministratoren verwalten Gerätesammlungen, für die sie Berechtigungen haben. Die Verwaltungsaufgaben umfassen u. a. Zuweisen und Entfernen virtueller Datenträger zu bzw. von einem Gerät, Bearbeiten der Geräteeigenschaften und Anzeigen der schreibgeschützten Eigenschaften virtueller Datenträger. Gerätesammlungen bestehen aus einer logische Gruppierung von Geräten. Beispielsweise kann eine Gerätesammlung einen physischen Standort, einen Subnetzbereich oder eine logische Anordnung von Zielgeräten darstellen. Ein Zielgerät kann nur zu einer Gerätesammlung gehören.

Zuweisen von Gruppen und deren Mitgliedern zu einer Geräteadministratorrolle

  1. Erweitern Sie in der Konsole die Site, in der sich die Gerätesammlung befindet, und erweitern Sie anschließend den Ordner Device Collections.
  2. Klicken Sie mit der rechten Maustaste auf die Gerätesammlung, der Sie Administratoren hinzufügen möchten, und wählen Sie Properties. Das Dialogfeld Device Collection Properties wird geöffnet.
  3. Klicken Sie auf der Registerkarte Security unter der Liste der Gruppen mit Device Administrator-Zugriff auf Add. Das Dialogfeld Add Security Group wird angezeigt.
  4. Wählen Sie im Menü die Gruppen aus, denen Sie Zugriff gewähren möchten.
  5. Klicken Sie auf OK, um das Dialogfeld zu schließen.

Verwalten von Geräteoperatoren

Ein Geräteoperator hat Administratorberechtigungen, um die folgenden Aufgaben innerhalb einer Gerätesammlung auszuführen, für die er die entsprechenden Berechtigungen hat:

  • Starten und Neustarten eines Zielgeräts
  • Herunterfahren eines Zielgeräts

Zuweisen der Geräteoperatorrolle zu einer oder mehreren Gruppen

  1. Erweitern Sie in der Konsole die Site, in der sich die Gerätesammlung befindet, und erweitern Sie anschließend den Ordner Device Collections.
  2. Klicken Sie mit der rechten Maustaste auf die Gerätesammlung, der Sie Geräteoperatoren hinzufügen möchten, und wählen Sie anschließend Properties. Das Dialogfeld Device Collection Properties wird geöffnet.
  3. Klicken Sie auf der Registerkarte Security unter der Liste der Gruppen mit Device Operator-Zugriff auf Add. Das Dialogfeld Add Security Group wird angezeigt.
  4. Um einer Gruppe die Rolle des Geräteoperators zuzuweisen, wählen Sie alle Systemgruppen aus, die Geräteoperatorberechtigungen benötigen, und klicken Sie anschließend auf OK.
  5. Klicken Sie auf OK, um das Dialogfeld zu schließen.

Änderung der Suchmethode für AD-Umgebungen

In einigen AD-Umgebungen mit komplex verschachtelten Gruppen und Domänen mit vielen Vertrauensstellungen wird die Mitgliedschaft eines Benutzers in Administratorgruppen mit der Standardsuchmethode möglicherweise nicht gefunden. Als Problemlösung für solche Szenarios wurde eine Registrierungseinstellung hinzugefügt, mit der Sie die Suchmethode ändern können:

  1. Suchen Sie in der Registrierungseinstellung HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\ProvisioningServices.
  2. Erstellen Sie ein DWORD “DomainSelectOption”.
  3. Legen Sie für DomainSelectOption DWORD die gewünschte Suchmethode fest. Wählen Sie einen dieser Werte (im Dezimalformat):
  • 0 - Standardsuche. Bei dieser Methode wird die Domäne des Benutzers, gefolgt von den Domänen der Administratorgruppen durchsucht.
  • 1 - Durchsucht die Domäne des Benutzers und die Domäne der Administratorgruppe, gefolgt von anderen vertrauenswürdigen Domänen innerhalb der Domäne des Benutzers.
  • 2 - Veraltet.
  • 3 - Durchsucht die Domäne des Benutzers, gefolgt von den Domänen der Administratorgruppen. Die erkannten Gruppen werden weiter über die Domäne des übergeordneten Elements enumeriert.
  • 4 - Durchsucht die Domäne des Benutzers und die Domäne der Administratorgruppe, gefolgt von anderen vertrauenswürdigen Domänen innerhalb der Domäne des Benutzers. Die erkannten Gruppen werden weiter über die Domäne des übergeordneten Elements enumeriert.
  • 5 - Sucht nach der Gruppenmitgliedschaft des Benutzers aus Tokengruppen in der Domäne des Benutzers und der Domäne der Administratorgruppe.
  • 6 - Sucht nach der Gruppenmitgliedschaft des Benutzers aus Tokengruppen in der Domäne des Benutzers und in der Domäne der Administratorgruppe, gefolgt von anderen vertrauenswürdigen Domänen innerhalb der Domäne des Benutzers.
  • 7 - Sucht nach der Gruppenmitgliedschaft des Benutzers direkt aus Autorisierungsgruppen.
  • 8 - Sucht nach der Gruppenmitgliedschaft des Benutzers direkt als “Mitglied von”-Gruppen.

Verwenden von Positivlisten

Verwenden Sie die Informationen in diesem Abschnitt nur für Diagnosezwecke. Manchmal kann es hilfreich sein, eine bestimmte Domäne für eine Benutzergruppe anzugeben, die durchsucht werden soll. Dafür müssen Sie die Registrierung aktualisieren und die Positivliste mit der Domäne als JSON-Datei bereitstellen. Verwenden Sie nur die Standardsuchoption. Wenn Sie eine Domäne auf der Sperrliste angeben, wird diese von der Positivliste der Domänen ausgeschlossen. Wenn die Liste leer ist, erfolgt keine Suche.

In der Registrierung:

  1. Suchen Sie HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\ProvisioningServices.
  2. Erstellen Sie einen DWORD-Eintrag WhiteListOnly. Setzen Sie den Wert auf 1, um die Suche anhand der Positivliste zu aktivieren.
Administrative Rollen