Konfigurieren von Berechtigungen für VDAs vor XenDesktop 7

Wenn Benutzer VDAs einer Version vor XenDesktop 7 haben, ergänzt Director Informationen aus der Bereitstellung durch Echtzeitstatus und -metrik über Windows-Remoteverwaltung (WinRM).

Darüber hinaus können Sie mit dem hier beschriebenen Verfahren WinRM für die Verwendung mit Remote PC in XenDesktop 5.6 Feature Pack1 konfigurieren.

Standardmäßig verfügen nur lokale Administratoren des Desktopcomputers (in der Regel Domänenadministratoren und andere privilegierte Benutzer) über die Berechtigungen, die zum Anzeigen der Echtzeitdaten erforderlich sind.

Informationen zum Installieren und Konfigurieren von WinRM finden Sie unter CTX125243.

Um anderen Benutzern das Anzeigen von Echtzeitdaten zu ermöglichen, müssen Sie diesen Berechtigungen erteilen. Beispiel: Angenommen, es gibt mehrere Director-Benutzer (HelpDeskUserA, HelpDeskUserB usw.), die zu einer Active Directory-Sicherheitsgruppe namens “HelpDeskUsers” gehören. Der Gruppe wurde in Studio die Helpdeskadministratorrolle mit den erforderlichen Delivery Controller-Berechtigungen zugewiesen. Die Gruppe benötigt jedoch auch Zugriff auf Informationen vom Desktopcomputer.

Sie haben zwei Möglichkeiten, die Berechtigungen für den erforderlichen Zugriff zu konfigurieren:

  • Erteilen von Berechtigungen für die Director-Benutzer (Identitätswechselmodell)
  • Erteilen von Berechtigungen für den Director-Dienst (Modell mit vertrauenswürdigem Subsystem)

Erteilen von Berechtigungen für die Director-Benutzer (Identitätswechselmodell)

Director verwendet standardmäßig ein Identitätswechselmodell: Die WinRM-Verbindung mit der Desktopmaschine wird mit der Identität des Director-Benutzers hergestellt. Aus diesem Grund muss der Benutzer über die erforderlichen Berechtigungen auf dem Desktop verfügen.

Sie können diese Berechtigungen mit einer der folgenden beiden Methoden konfigurieren (nachfolgend beschrieben):

  1. Hinzufügen von Benutzern zur lokalen Administratorgruppe auf der Desktopmaschine.
  2. Erteilen der von Director benötigten spezifischen Berechtigungen für Benutzer. Bei dieser Option wird vermieden, dass Director-Benutzer (beispielsweise die HelpDeskUsers-Gruppe) Volladministratorrechte auf der Maschine erhalten.

Erteilen von Berechtigungen für den Director-Dienst (Modell mit vertrauenswürdigem Subsystem)

Anstatt den Director-Benutzern Berechtigungen für die Desktopmaschinen zu erteilen, können Sie Director so konfigurieren, dass WinRM-Verbindungen mit einer Dienstidentität hergestellt werden, und ausschließlich dieser Dienstidentität die entsprechenden Berechtigungen erteilen.

Bei diesem Modell sind die Benutzer von Director nicht berechtigt, selbst WinRM-Aufrufe zu tätigen. Sie können nur mit Director auf die Daten zugreifen.

Der Director-Anwendungspool in IIS ist für die Ausführung als Dienstidentität konfiguriert. Dies ist standardmäßig das virtuelle Konto “APPPOOL\Director”. Beim Herstellen von Remoteverbindungen wird dieses Konto als das Active Directory-Computerkonto des Servers angezeigt, z. B. MyDomain\DirectorServer$. Sie müssen dieses Konto mit den entsprechenden Berechtigungen konfigurieren.

Wenn mehrere Director-Websites bereitgestellt werden, müssen Sie das Computerkonto jedes Webservers in eine Active Directory-Sicherheitsgruppe setzen, die entsprechende Berechtigungen hat.

Um Director so einzustellen, dass anstelle der Benutzeridentität die Dienstidentität für WinRM verwendet wird, konfigurieren Sie die folgende Einstellung, wie unter Erweiterte Konfiguration beschrieben:

Service.Connector.WinRM.Identity = Service

Sie haben zwei Möglichkeiten, diese Berechtigungen zu konfigurieren:

  1. Hinzufügen des Dienstkontos zur lokalen Administratorgruppe auf der Desktopmaschine.
  2. Erteilen Sie dem Dienstkonto die für Director erforderlichen Berechtigungen (siehe weiter unten). So kann eine Erteilung von Volladministratorrechten für das Dienstkonto auf der Maschine vermieden werden.

Zuweisen Sie von Berechtigungen zu einem Benutzer oder einer Gruppe

Die folgenden Berechtigungen sind erforderlich, damit Director auf die von der Desktopmaschine benötigten Informationen über WinRM zugreifen kann:

  • Lese- und Ausführberechtigungen in WinRM RootSDDL
  • WMI-Namespace-Berechtigungen:
    • root/cimv2 – Remotezugriff
    • root/citrix – Remotezugriff
    • root/RSOP – Remotezugriff und Ausführen
  • Zugehörigkeit zu diesen lokalen Gruppen:
    • Systemmonitorbenutzer
    • Ereignisprotokollleser

Das ConfigRemoteMgmt.exe-Tool, das zum automatischen Erteilen dieser Berechtigungen verwendet wird, befindet sich auf dem Installationsmedium in den Ordnern x86\Virtual Desktop Agent und x64\Virtual Desktop Agent und auf dem Installationsmedium im Ordner C:\inetpub\wwwroot\Director\tools. Sie müssen allen Director-Benutzern Berechtigungen erteilen.

Um einer Active Directory-Sicherheitsgruppe, einem Benutzer oder einem Computerkonto Berechtigungen zu erteilen, oder um Aktionen auszuführen wie “Anwendung beenden und “Prozess beenden”, führen Sie das Tool mit Administratorrechten an einer Eingabeaufforderung mit den folgenden Argumenten aus:

ConfigRemoteMgmt.exe /configwinrmuser domain\name

wobei “Name” eine Sicherheitsgruppe, ein Benutzer oder ein Computerkonto ist.

Erteilen der erforderlichen Berechtigungen für eine Benutzersicherheitsgruppe:

ConfigRemoteMgmt.exe /configwinrmuser domain\HelpDeskUsers

Erteilen von Berechtigungen für ein bestimmtes Computerkonto:

ConfigRemoteMgmt.exe /configwinrmuser domain\DirectorServer$

Für die Aktionen “Prozess beenden”, “Anwendung beenden” und “Spiegeln”:

ConfigRemoteMgmt.exe /configwinrmuser domain\name /all

Erteilen von Berechtigungen für eine Benutzergruppe:

ConfigRemoteMgmt.exe /configwinrmuser domain\HelpDeskUsers /all

Anzeigen der Hilfe für das Tool:

ConfigRemoteMgmt.exe