-
-
-
-
Berechtigungen für VDAs vor XenDesktop 7 konfigurieren
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
Berechtigungen für VDAs vor XenDesktop® 7 konfigurieren
Wenn Benutzer VDAs vor XenDesktop 7 haben, ergänzt Director Informationen aus der Bereitstellung mit Echtzeitstatus und Metriken über Windows Remote Management (WinRM).
Verwenden Sie dieses Verfahren außerdem, um WinRM für die Verwendung mit Remote PC in XenDesktop 5.6 Feature Pack 1 zu konfigurieren.
Standardmäßig haben nur lokale Administratoren des Desktopcomputers (typischerweise Domänenadministratoren und andere privilegierte Benutzer) die erforderlichen Berechtigungen, um die Echtzeitdaten anzuzeigen.
Informationen zur Installation und Konfiguration von WinRM finden Sie unter CTX125243.
Um anderen Benutzern die Anzeige der Echtzeitdaten zu ermöglichen, müssen Sie ihnen Berechtigungen erteilen. Angenommen, es gibt mehrere Director-Benutzer (HelpDeskUserA, HelpDeskUserB usw.), die Mitglieder einer Active Directory-Sicherheitsgruppe namens HelpDeskUsers sind. Der Gruppe wurde in Studio die Rolle des Helpdesk-Administrators zugewiesen, wodurch sie die erforderlichen Delivery Controller™-Berechtigungen erhalten. Die Gruppe benötigt jedoch auch Zugriff auf die Informationen vom Desktopcomputer.
Um den erforderlichen Zugriff zu ermöglichen, können Sie die erforderlichen Berechtigungen auf eine von zwei Arten konfigurieren:
- Berechtigungen für die Director-Benutzer erteilen (Impersonationsmodell)
- Berechtigungen für den Director-Dienst erteilen (vertrauenswürdiges Subsystemmodell)
So erteilen Sie Berechtigungen für die Director-Benutzer (Impersonationsmodell)
Standardmäßig verwendet Director ein Impersonationsmodell: Die WinRM-Verbindung zum Desktopcomputer wird unter Verwendung der Identität des Director-Benutzers hergestellt. Es ist daher der Benutzer, der die entsprechenden Berechtigungen auf dem Desktop haben muss.
Sie können diese Berechtigungen auf eine von zwei Arten konfigurieren (später in diesem Dokument beschrieben):
- Benutzer zur lokalen Administratorengruppe auf dem Desktopcomputer hinzufügen.
- Benutzern die von Director benötigten spezifischen Berechtigungen erteilen. Diese Option vermeidet es, den Director-Benutzern (z. B. der Gruppe HelpDeskUsers) vollständige administrative Berechtigungen auf dem Computer zu geben.
So erteilen Sie Berechtigungen für den Director-Dienst (vertrauenswürdiges Subsystemmodell)
Anstatt den Director-Benutzern Berechtigungen auf den Desktop-Maschinen zu gewähren, können Sie Director so konfigurieren, dass WinRM-Verbindungen über eine Dienstidentität hergestellt werden, und nur dieser Dienstidentität die entsprechenden Berechtigungen erteilen.
Bei diesem Modell haben die Benutzer von Director keine Berechtigungen, um selbst WinRM-Aufrufe zu tätigen. Sie können nur über Director auf die Daten zugreifen.
Der Director-Anwendungspool in IIS ist so konfiguriert, dass er als Dienstidentität ausgeführt wird. Standardmäßig ist dies das virtuelle Konto APPPOOL\Director. Beim Herstellen von Remote-Verbindungen erscheint dieses Konto als das Active Directory-Computerkonto des Servers; zum Beispiel MyDomain\DirectorServer$. Sie müssen dieses Konto mit den entsprechenden Berechtigungen konfigurieren.
Wenn mehrere Director-Websites bereitgestellt werden, müssen Sie das Computerkonto jedes Webservers in eine Active Directory-Sicherheitsgruppe aufnehmen, die mit den entsprechenden Berechtigungen konfiguriert ist.
Um Director so einzustellen, dass die Dienstidentität für WinRM anstelle der Benutzeridentität verwendet wird, konfigurieren Sie die folgende Einstellung, wie unter Erweiterte Konfiguration beschrieben:
Service.Connector.WinRM.Identity = Service
<!--NeedCopy-->
Sie können diese Berechtigungen auf zwei Arten konfigurieren:
- Fügen Sie das Dienstkonto der lokalen Administratorengruppe auf der Desktop-Maschine hinzu.
- Erteilen Sie dem Dienstkonto die spezifischen Berechtigungen, die von Director benötigt werden (im Folgenden beschrieben). Diese Option vermeidet es, dem Dienstkonto vollständige Administratorberechtigungen auf der Maschine zu geben.
So weisen Sie einem bestimmten Benutzer oder einer Gruppe Berechtigungen zu
Die folgenden Berechtigungen sind erforderlich, damit Director über WinRM auf die benötigten Informationen von der Desktop-Maschine zugreifen kann:
- Lese- und Ausführungsberechtigungen im WinRM RootSDDL
- WMI-Namespace-Berechtigungen:
- root/cimv2 – Remotezugriff
- root/citrix – Remotezugriff
- root/RSOP – Remotezugriff und Ausführung
- Mitgliedschaft in diesen lokalen Gruppen:
- Leistungsüberwachungsbenutzer
- Ereignisprotokollleser
Das Tool ConfigRemoteMgmt.exe, das zum automatischen Erteilen dieser Berechtigungen verwendet wird, befindet sich auf dem Installationsmedium in den Ordnern x86\Virtual Desktop Agent und x64\Virtual Desktop Agent sowie auf dem Installationsmedium im Ordner C:\inetpub\wwwroot\Director\tools. Sie müssen allen Director-Benutzern Berechtigungen erteilen.
Um die Berechtigungen einer Active Directory-Sicherheitsgruppe, einem Benutzer, einem Computerkonto oder für Aktionen wie „Anwendung beenden“ und „Prozess beenden“ zu erteilen, führen Sie das Tool mit Administratorrechten über eine Eingabeaufforderung mit den folgenden Argumenten aus:
ConfigRemoteMgmt.exe /configwinrmuser domain\name
<!--NeedCopy-->
wobei name eine Sicherheitsgruppe, ein Benutzer oder ein Computerkonto ist.
Um die erforderlichen Berechtigungen einer Benutzer-Sicherheitsgruppe zu erteilen:
ConfigRemoteMgmt.exe /configwinrmuser domain\HelpDeskUsers
<!--NeedCopy-->
Um die Berechtigungen einem bestimmten Computerkonto zu erteilen:
ConfigRemoteMgmt.exe /configwinrmuser domain\DirectorServer$
<!--NeedCopy-->
Für die Aktionen „Prozess beenden“, „Anwendung beenden“ und „Shadow“:
ConfigRemoteMgmt.exe /configwinrmuser domain\name /all
<!--NeedCopy-->
Um die Berechtigungen einer Benutzergruppe zu erteilen:
ConfigRemoteMgmt.exe /configwinrmuser domain\HelpDeskUsers /all
<!--NeedCopy-->
Um die Hilfe für das Tool anzuzeigen:
ConfigRemoteMgmt.exe
<!--NeedCopy-->
Teilen
Teilen
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.