Produktdokumentation
XenApp and XenDesktop
7.15 LTSR
PDF anzeigen

Delegierte Administration

June 10, 2026
Beitrag von: 
C

Das Modell der delegierten Administration bietet die Flexibilität, die Art und Weise anzupassen, wie Ihre Organisation Verwaltungsaufgaben delegieren möchte, unter Verwendung einer rollen- und objektbasierten Steuerung. Die delegierte Administration unterstützt Bereitstellungen jeder Größe und ermöglicht es Ihnen, eine feinere Berechtigungsgranularität zu konfigurieren, wenn Ihre Bereitstellung komplexer wird. Die delegierte Administration verwendet drei Konzepte: Administratoren, Rollen und Bereiche.

  • Administratoren – Ein Administrator repräsentiert eine einzelne Person oder eine Gruppe von Personen, die durch ihr Active Directory-Konto identifiziert werden. Jeder Administrator ist einem oder mehreren Rollen- und Bereichspaaren zugeordnet.

  • Rollen – Eine Rolle repräsentiert eine Aufgabenfunktion und hat definierte Berechtigungen, die damit verbunden sind. Zum Beispiel hat die Rolle des Delivery Group-Administrators Berechtigungen wie „Delivery Group erstellen“ und „Desktop aus Delivery Group entfernen“. Ein Administrator kann mehrere Rollen für eine Site haben, sodass eine Person ein Delivery Group-Administrator und ein Maschinenkatalog-Administrator sein könnte. Rollen können integriert oder benutzerdefiniert sein.

    Die integrierten Rollen sind:

    Rolle Berechtigungen
    Volladministrator Kann alle Aufgaben und Operationen ausführen. Ein Volladministrator ist immer mit dem Bereich „Alle“ kombiniert.
    Schreibgeschützter Administrator Kann alle Objekte in den angegebenen Bereichen sowie globale Informationen sehen, aber nichts ändern. Zum Beispiel kann ein schreibgeschützter Administrator mit Bereich=London alle globalen Objekte (wie Konfigurationsprotokollierung) und alle Objekte im Bereich London (zum Beispiel London Delivery Groups) sehen. Dieser Administrator kann jedoch keine Objekte im Bereich New York sehen (vorausgesetzt, die Bereiche London und New York überschneiden sich nicht).
    Helpdesk-Administrator Kann Delivery Groups anzeigen und die Sitzungen und Maschinen verwalten, die diesen Gruppen zugeordnet sind. Kann den Maschinenkatalog und Hostinformationen für die überwachten Delivery Groups sehen und kann auch Sitzungsverwaltung und Maschinen-Energieverwaltungsoperationen für die Maschinen in diesen Delivery Groups durchführen.
    Maschinenkatalog-Administrator Kann Maschinenkataloge erstellen und verwalten und die Maschinen darin bereitstellen. Kann Maschinenkataloge aus der Virtualisierungsinfrastruktur, Provisioning Services und physischen Maschinen erstellen. Diese Rolle kann Basis-Images verwalten und Software installieren, aber keine Anwendungen oder Desktops Benutzern zuweisen.
    Administrator für Bereitstellungsgruppen Kann Anwendungen, Desktops und Maschinen bereitstellen; kann auch die zugehörigen Sitzungen verwalten. Kann auch Anwendungs- und Desktopkonfigurationen wie Richtlinien und Energieverwaltungseinstellungen verwalten.
    Host-Administrator Kann Hostverbindungen und die zugehörigen Ressourceneinstellungen verwalten. Kann Benutzern keine Maschinen, Anwendungen oder Desktops bereitstellen.

    In bestimmten Produkteditionen können Sie benutzerdefinierte Rollen erstellen, um die Anforderungen Ihrer Organisation zu erfüllen, und Berechtigungen detaillierter delegieren. Sie können benutzerdefinierte Rollen verwenden, um Berechtigungen auf der Granularität einer Aktion oder Aufgabe in einer Konsole zuzuweisen.

  • Bereiche — Ein Bereich stellt eine Sammlung von Objekten dar. Bereiche werden verwendet, um Objekte auf eine für Ihre Organisation relevante Weise zu gruppieren (z. B. die Gruppe von Bereitstellungsgruppen, die vom Vertriebsteam verwendet werden). Objekte können in mehr als einem Bereich enthalten sein; Sie können sich Objekte so vorstellen, als wären sie mit einem oder mehreren Bereichen gekennzeichnet. Es gibt einen integrierten Bereich: „Alle“, der alle Objekte enthält. Die Rolle „Vollständiger Administrator“ ist immer mit dem Bereich „Alle“ gekoppelt.

Beispiel

Die Firma XYZ beschloss, Anwendungen und Desktops basierend auf ihrer Abteilung (Buchhaltung, Vertrieb und Lager) und ihrem Desktop-Betriebssystem (Windows 7 oder Windows 8) zu verwalten. Der Administrator erstellte fünf Bereiche und kennzeichnete dann jede Bereitstellungsgruppe mit zwei Bereichen: einen für die Abteilung, in der sie verwendet werden, und einen für das verwendete Betriebssystem.

Die folgenden Administratoren wurden erstellt:

Administrator Rollen Bereiche
domain/fred Vollständiger Administrator Alle (die Rolle „Vollständiger Administrator“ hat immer den Bereich „Alle“)
domain/rob Nur-Lese-Administrator Alle
domain/heidi Nur-Lese-Administrator, Helpdesk-Administrator Gesamter Vertrieb
domain/warehouseadmin Helpdesk-Administrator Lager
domain/peter Bereitstellungsgruppen-Administrator, Maschinenkatalog-Administrator Win7
  • Fred ist ein Volladministrator und kann alle Objekte im System anzeigen, bearbeiten und löschen.
  • Rob kann alle Objekte in der Site anzeigen, aber sie nicht bearbeiten oder löschen.
  • Heidi kann alle Objekte anzeigen und Helpdesk-Aufgaben für Bereitstellungsgruppen im Vertriebsbereich ausführen. Dies ermöglicht ihr die Verwaltung der Sitzungen und Maschinen, die diesen Gruppen zugeordnet sind; sie kann keine Änderungen an der Bereitstellungsgruppe vornehmen, wie z. B. das Hinzufügen oder Entfernen von Maschinen.
  • Jeder, der Mitglied der Active Directory-Sicherheitsgruppe warehouseadmin ist, kann Helpdesk-Aufgaben auf Maschinen im Warehouse-Bereich anzeigen und ausführen.
  • Peter ist ein Windows 7-Spezialist und kann alle Windows 7-Maschinenkataloge verwalten sowie Windows 7-Anwendungen, -Desktops und -Maschinen bereitstellen, unabhängig davon, welchem Abteilungsbereich sie angehören. Der Administrator erwog, Peter zum Volladministrator für den Win7-Bereich zu ernennen; sie entschied sich jedoch dagegen, da ein Volladministrator auch volle Rechte über alle Objekte hat, die nicht bereichsbezogen sind, wie z. B. „Site“ und „Administrator“.

Verwenden der delegierten Administration

Im Allgemeinen hängt die Anzahl der Administratoren und die Granularität ihrer Berechtigungen von der Größe und Komplexität der Bereitstellung ab.

  • In kleinen Bereitstellungen oder Machbarkeitsstudien erledigen ein oder wenige Administratoren alles; es gibt keine Delegation. In diesem Fall erstellen Sie jeden Administrator mit der integrierten Rolle „Volladministrator“, die den Bereich „Alle“ hat.
  • In größeren Bereitstellungen mit mehr Maschinen, Anwendungen und Desktops ist mehr Delegation erforderlich. Mehrere Administratoren haben möglicherweise spezifischere funktionale Verantwortlichkeiten (Rollen). Zum Beispiel sind zwei Volladministratoren und andere Helpdesk-Administratoren. Zusätzlich kann ein Administrator nur bestimmte Objektgruppen (Bereiche) verwalten, wie z. B. Maschinenkataloge. In diesem Fall erstellen Sie neue Bereiche sowie Administratoren mit einer der integrierten Rollen und den entsprechenden Bereichen.
  • Noch größere Bereitstellungen erfordern möglicherweise mehr (oder spezifischere) Bereiche sowie verschiedene Administratoren mit unkonventionellen Rollen. In diesem Fall bearbeiten oder erstellen Sie zusätzliche Bereiche, erstellen benutzerdefinierte Rollen und erstellen jeden Administrator mit einer integrierten oder benutzerdefinierten Rolle sowie vorhandenen und neuen Bereichen.

Für Flexibilität und einfache Konfiguration können Sie neue Bereiche erstellen, wenn Sie einen Administrator erstellen. Sie können Bereiche auch beim Erstellen oder Bearbeiten von Maschinenkatalogen oder Verbindungen angeben.

Administratoren erstellen und verwalten

Wenn Sie eine Site als lokaler Administrator erstellen, wird Ihr Benutzerkonto automatisch zu einem Volladministrator mit vollen Berechtigungen über alle Objekte. Nach der Erstellung einer Site haben lokale Administratoren keine besonderen Privilegien.

Die Rolle „Volladministrator“ hat immer den Bereich „Alle“; dies kann nicht geändert werden.

Standardmäßig ist ein Administrator aktiviert. Das Deaktivieren eines Administrators kann erforderlich sein, wenn Sie den neuen Administrator jetzt erstellen, diese Person aber erst später mit den Verwaltungsaufgaben beginnt. Bei vorhandenen aktivierten Administratoren möchten Sie möglicherweise mehrere von ihnen deaktivieren, während Sie Ihre Objekte/Bereiche neu organisieren, und sie dann wieder aktivieren, wenn Sie bereit sind, die aktualisierte Konfiguration in Betrieb zu nehmen. Sie können einen Volladministrator nicht deaktivieren, wenn dies dazu führen würde, dass kein aktivierter Volladministrator mehr vorhanden ist. Das Kontrollkästchen zum Aktivieren/Deaktivieren ist verfügbar, wenn Sie einen Administrator erstellen, kopieren oder bearbeiten.

Wenn Sie ein Rollen-/Bereichspaar beim Kopieren, Bearbeiten oder Löschen eines Administrators löschen, wird nur die Beziehung zwischen der Rolle und dem Bereich für diesen Administrator gelöscht; weder die Rolle noch der Bereich werden gelöscht, noch wird ein anderer Administrator betroffen, der mit diesem Rollen-/Bereichspaar konfiguriert ist.

Um Administratoren zu verwalten, klicken Sie im Navigationsbereich von Studio auf Konfiguration > Administratoren und dann im oberen mittleren Bereich auf die Registerkarte Administratoren.

  • Um einen Administrator zu erstellen, klicken Sie im Bereich „Aktionen“ auf „Neuen Administrator erstellen“. Geben Sie den Benutzernamen ein oder suchen Sie ihn, wählen oder erstellen Sie einen Bereich und wählen Sie eine Rolle aus. Der neue Administrator ist standardmäßig aktiviert; Sie können dies ändern.
  • Um einen Administrator zu kopieren, wählen Sie den Administrator im mittleren Bereich aus und klicken Sie dann im Aktionsbereich auf „Administrator kopieren“. Geben Sie den Benutzernamen ein oder suchen Sie danach. Sie können beliebige Rollen-/Bereichspaare auswählen und dann bearbeiten oder löschen sowie neue hinzufügen. Der neue Administrator ist standardmäßig aktiviert; Sie können dies ändern.
  • Um einen Administrator zu bearbeiten, wählen Sie den Administrator im mittleren Bereich aus und klicken Sie dann im Aktionsbereich auf „Administrator bearbeiten“. Sie können beliebige Rollen-/Bereichspaare bearbeiten oder löschen sowie neue hinzufügen.
  • Um einen Administrator zu löschen, wählen Sie den Administrator im mittleren Bereich aus und klicken Sie dann im Aktionsbereich auf „Administrator löschen“. Sie können keinen Volladministrator löschen, wenn dies dazu führen würde, dass kein aktivierter Volladministrator mehr vorhanden ist.

Rollen erstellen und verwalten

Rollennamen dürfen bis zu 64 Unicode-Zeichen enthalten; sie dürfen die folgenden Zeichen nicht enthalten: \ (Backslash), / (Schrägstrich), ; (Semikolon), : (Doppelpunkt), # (Rautezeichen), , (Komma), * (Sternchen), ? (Fragezeichen), = (Gleichheitszeichen), < (linke Pfeilspitze), > (rechte Pfeilspitze), | (Pipe), [ ] (linke oder rechte Klammer), ( ) (linke oder rechte runde Klammer), " (Anführungszeichen) und ‘ (Apostroph). Beschreibungen dürfen bis zu 256 Unicode-Zeichen enthalten.

Sie können eine integrierte Rolle nicht bearbeiten oder löschen. Sie können eine benutzerdefinierte Rolle nicht löschen, wenn sie von einem Administrator verwendet wird.

Hinweis: Nur bestimmte Produkteditionen unterstützen benutzerdefinierte Rollen. Editionen, die keine benutzerdefinierten Rollen unterstützen, haben keine entsprechenden Einträge im Aktionsbereich.

Um Rollen zu verwalten, klicken Sie im Navigationsbereich von Studio auf „Konfiguration“ > „Administratoren“ und dann im oberen mittleren Bereich auf die Registerkarte „Rollen“.

  • Um Rollendetails anzuzeigen, wählen Sie die Rolle im mittleren Bereich aus. Der untere Teil des mittleren Bereichs listet die Objekttypen und die zugehörigen Berechtigungen für die Rolle auf. Klicken Sie im unteren Bereich auf die Registerkarte „Administratoren“, um eine Liste der Administratoren anzuzeigen, die diese Rolle derzeit innehaben.
  • Um eine benutzerdefinierte Rolle zu erstellen, klicken Sie im Aktionsbereich auf „Neue Rolle erstellen“. Geben Sie einen Namen und eine Beschreibung ein. Wählen Sie die Objekttypen und Berechtigungen aus.
  • Um eine Rolle zu kopieren, wählen Sie die Rolle im mittleren Bereich aus und klicken Sie dann im Aktionsbereich auf „Rolle kopieren“. Ändern Sie den Namen, die Beschreibung, die Objekttypen und die Berechtigungen nach Bedarf.
  • Um eine benutzerdefinierte Rolle zu bearbeiten, wählen Sie die Rolle im mittleren Bereich aus und klicken Sie dann im Aktionsbereich auf „Rolle bearbeiten“. Ändern Sie den Namen, die Beschreibung, die Objekttypen und die Berechtigungen nach Bedarf.
  • Um eine benutzerdefinierte Rolle zu löschen, wählen Sie die Rolle im mittleren Bereich aus und klicken Sie dann im Aktionsbereich auf „Rolle löschen“. Bestätigen Sie die Löschung, wenn Sie dazu aufgefordert werden.

Bereiche erstellen und verwalten

Wenn Sie eine Site erstellen, ist der einzige verfügbare Bereich der Bereich „Alle“, der nicht gelöscht werden kann.

Sie können Bereiche mit dem unten beschriebenen Verfahren erstellen. Sie können auch Bereiche erstellen, wenn Sie einen Administrator erstellen; jeder Administrator muss mindestens einem Rollen- und Bereichspaar zugeordnet sein. Wenn Sie Desktops, Maschinenkataloge, Anwendungen oder Hosts erstellen oder bearbeiten, können Sie diese einem vorhandenen Bereich hinzufügen; wenn Sie sie keinem Bereich hinzufügen, bleiben sie Teil des Bereichs „Alle“.

Die Site-Erstellung kann nicht bereichsbezogen erfolgen, ebenso wenig wie Objekte der delegierten Administration (Bereiche und Rollen). Objekte, die Sie nicht bereichsbezogen festlegen können, sind jedoch im Bereich „Alle“ enthalten. (Vollständige Administratoren haben immer den Bereich „Alle“.) Maschinen, Energieaktionen, Desktops und Sitzungen sind nicht direkt bereichsbezogen; Administratoren können Berechtigungen für diese Objekte über die zugehörigen Maschinenkataloge oder Bereitstellungsgruppen zugewiesen werden.

Bereichsnamen können bis zu 64 Unicode-Zeichen enthalten; sie dürfen die folgenden Zeichen nicht enthalten: \ (Backslash), / (Schrägstrich), ; (Semikolon), : (Doppelpunkt), # (Raute) , (Komma), * (Sternchen), ? (Fragezeichen), = (Gleichheitszeichen), < (linke spitze Klammer), > (rechte spitze Klammer), | (Pipe), [ ] (linke oder rechte eckige Klammer), ( ) (linke oder rechte Klammer), “ (Anführungszeichen) und ‘ (Apostroph). Beschreibungen können bis zu 256 Unicode-Zeichen enthalten.

Wenn Sie einen Bereich kopieren oder bearbeiten, beachten Sie, dass das Entfernen von Objekten aus dem Bereich diese Objekte für den Administrator unzugänglich machen kann. Wenn der bearbeitete Bereich mit einer oder mehreren Rollen gekoppelt ist, stellen Sie sicher, dass die von Ihnen vorgenommenen Bereichsaktualisierungen kein Rollen-/Bereichspaar unbrauchbar machen.

Um Bereiche zu verwalten, klicken Sie im Navigationsbereich von Studio auf Konfiguration > Administratoren und dann im oberen mittleren Bereich auf die Registerkarte Bereiche.

  • Um einen Bereich zu erstellen, klicken Sie im Bereich „Aktionen“ auf Neuen Bereich erstellen. Geben Sie einen Namen und eine Beschreibung ein. Um alle Objekte eines bestimmten Typs (z. B. Bereitstellungsgruppen) einzuschließen, wählen Sie den Objekttyp aus. Um bestimmte Objekte einzuschließen, erweitern Sie den Typ und wählen Sie dann einzelne Objekte aus (z. B. Bereitstellungsgruppen, die vom Vertriebsteam verwendet werden).
  • Um einen Bereich zu kopieren, wählen Sie den Bereich im mittleren Bereich aus und klicken Sie dann im Bereich „Aktionen“ auf Bereich kopieren. Geben Sie einen Namen und eine Beschreibung ein. Ändern Sie die Objekttypen und Objekte nach Bedarf.
  • Um einen Bereich zu bearbeiten, wählen Sie den Bereich im mittleren Bereich aus und klicken Sie dann im Bereich „Aktionen“ auf Bereich bearbeiten. Ändern Sie den Namen, die Beschreibung, die Objekttypen und Objekte nach Bedarf.
  • Um einen Bereich zu löschen, wählen Sie den Bereich im mittleren Bereich aus und klicken Sie dann im Bereich „Aktionen“ auf Bereich löschen. Bestätigen Sie die Löschung, wenn Sie dazu aufgefordert werden.

Berichte erstellen

Sie können zwei Arten von Berichten zur delegierten Administration erstellen:

  • Ein HTML-Bericht, der die einem Administrator zugeordneten Rollen-/Bereichspaare sowie die einzelnen Berechtigungen für jeden Objekttyp (z. B. Bereitstellungsgruppen und Maschinenkataloge) auflistet. Sie generieren diesen Bericht aus Studio.

    Um diesen Bericht zu erstellen, klicken Sie im Navigationsbereich auf Konfiguration > Administratoren. Wählen Sie einen Administrator im mittleren Bereich aus und klicken Sie dann im Bereich „Aktionen“ auf Bericht erstellen.

    Sie können diesen Bericht auch anfordern, wenn Sie einen Administrator erstellen, kopieren oder bearbeiten.

  • Ein HTML- oder CSV-Bericht, der alle integrierten und benutzerdefinierten Rollen Berechtigungen zuordnet. Sie generieren diesen Bericht, indem Sie ein PowerShell-Skript namens OutputPermissionMapping.ps1 ausführen.

    Um dieses Skript auszuführen, müssen Sie ein vollständiger Administrator, ein schreibgeschützter Administrator oder ein benutzerdefinierter Administrator mit der Berechtigung zum Lesen von Rollen sein. Das Skript befindet sich unter: Program Files\Citrix\DelegatedAdmin\SnapIn\Citrix.DelegatedAdmin.Admin.V1\Scripts\

    Syntax:

    OutputPermissionMapping.ps1 [-Hilfe] [-Csv] [-Pfad <string>] [-AdminAdresse <string>] [-Anzeigen] [<AllgemeineParameter>]

    Parameter Beschreibung
    -Help Zeigt die Skript-Hilfe an.
    -Csv Gibt die CSV-Ausgabe an. Standard = HTML
    -Pfad Wohin die Ausgabe geschrieben werden soll. Standard = stdout
    -Administratoradresse IP-Adresse oder Hostname des Delivery Controllers, mit dem eine Verbindung hergestellt werden soll. Standard = localhost
    -Show (Nur gültig, wenn auch der Parameter -Path angegeben ist) Wenn Sie die Ausgabe in eine Datei schreiben, bewirkt -Show, dass die Ausgabe in einem geeigneten Programm, z. B. einem Webbrowser, geöffnet wird.
    Verbose, Debug, ErrorAction, ErrorVariable, WarningAction, WarningVariable, OutBuffer und OutVariable. Weitere Informationen finden Sie in der Microsoft-Dokumentation.

Das folgende Beispiel schreibt eine HTML-Tabelle in eine Datei namens Roles.html und öffnet die Tabelle in einem Webbrowser.

& "$env:ProgramFiles\Citrix\DelegatedAdmin\SnapIn\
Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1"
-Path Roles.html –Show
<!--NeedCopy-->

Das folgende Beispiel schreibt eine CSV-Tabelle in eine Datei namens Roles.csv. Die Tabelle wird nicht angezeigt.

& "$env:ProgramFiles\Citrix\DelegatedAdmin\SnapIn\
Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1"
–CSV -Path Roles.csv
<!--NeedCopy-->

Von einer Windows-Eingabeaufforderung aus lautet der vorhergehende Beispielbefehl:

powershell -command "& '%ProgramFiles%\Citrix\DelegatedAdmin\SnapIn\
Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1'
-CSV -Path Roles.csv"
<!--NeedCopy-->
Delegierte Administration
June 10, 2026
Beitrag von: 
C
June 10, 2026
Beitrag von: 
C

In diesem Artikel

Feedback zur Site | Your privacy choices footer linkIhre Datenschutzauswahl | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.