Documentación de productos
Citrix Virtual Apps and Desktops 7 2203 LTSR
Ver PDF

Administración delegada

May 30, 2026
Contribución de: 
C C

El modelo de administración delegada ofrece la flexibilidad de adaptarse a la forma en que su organización desea delegar las actividades de administración, utilizando el control basado en roles y objetos. La administración delegada se adapta a implementaciones de todos los tamaños y le permite configurar una mayor granularidad de permisos a medida que su implementación crece en complejidad. La administración delegada utiliza tres conceptos: administradores, roles y ámbitos.

  • Administradores: Un administrador representa a una persona individual o a un grupo de personas identificadas por su cuenta de Active Directory. Cada administrador está asociado con uno o más pares de rol y ámbito.

  • Roles: Un rol representa una función de trabajo y tiene permisos definidos asociados a él. Por ejemplo, el rol de Administrador de grupos de entrega tiene permisos como ‘Crear grupo de entrega’ y ‘Eliminar escritorio de grupo de entrega’. Un administrador puede tener varios roles para un sitio, por lo que una persona puede ser Administrador de grupos de entrega y Administrador de catálogos de máquinas. Los roles pueden ser integrados o personalizados.

    Los roles integrados son:

    Rol Permisos
    Administrador completo Puede realizar todas las tareas y operaciones. Un Administrador completo siempre se combina con el ámbito Todo.
    Administrador de solo lectura Puede ver todos los objetos en los ámbitos especificados, además de la información global, pero no puede cambiar nada. Por ejemplo, un Administrador de solo lectura con Ámbito=Londres puede ver todos los objetos globales (como el Registro de configuración) y cualquier objeto con ámbito de Londres (por ejemplo, Grupos de entrega de Londres). Sin embargo, ese administrador no puede ver objetos en el ámbito de Nueva York (suponiendo que los ámbitos de Londres y Nueva York no se superponen).
    Administrador de soporte técnico Puede ver los Grupos de entrega y administrar las sesiones y máquinas asociadas a esos grupos. Puede ver la información del Catálogo de máquinas y del host para los Grupos de entrega que se están supervisando. También puede realizar operaciones de administración de sesiones y de energía de máquinas para las máquinas de esos Grupos de entrega.
    Administrador de catálogos de máquinas Puede crear y administrar Catálogos de máquinas y aprovisionar las máquinas en ellos. Puede crear Catálogos de máquinas a partir de la infraestructura de virtualización, Provisioning Services y máquinas físicas. Este rol puede administrar imágenes base e instalar software, pero no puede asignar aplicaciones o escritorios a los usuarios.
    Administrador de Delivery Group Puede entregar aplicaciones, escritorios y máquinas; también puede administrar las sesiones asociadas. También puede administrar las configuraciones de aplicaciones y escritorios, como las directivas y la configuración de administración de energía.
    Administrador de host Puede administrar las conexiones de host y su configuración de recursos asociada. No puede entregar máquinas, aplicaciones o escritorios a los usuarios.

    En ciertas ediciones del producto, puede crear roles personalizados para satisfacer los requisitos de su organización y delegar permisos con más detalle. Puede usar roles personalizados para asignar permisos con la granularidad de una acción o tarea en una consola.

  • Ámbitos: Un ámbito representa una colección de objetos. Los ámbitos se utilizan para agrupar objetos de una manera relevante para su organización (por ejemplo, el conjunto de Delivery Groups utilizado por el equipo de Ventas). Los objetos pueden estar en más de un ámbito; puede pensar en los objetos como etiquetados con uno o más ámbitos. Hay un ámbito integrado: ‘Todos’, que contiene todos los objetos. El rol de Administrador completo siempre se empareja con el ámbito Todos.

Ejemplo

La empresa XYZ decidió administrar las aplicaciones y los escritorios en función de su departamento (Contabilidad, Ventas y Almacén) y su sistema operativo de escritorio (Windows 7 o Windows 8). El administrador creó cinco ámbitos y luego etiquetó cada Delivery Group con dos ámbitos: uno para el departamento donde se utilizan y otro para el sistema operativo que utilizan.

Se crearon los siguientes administradores:

Administrador Roles Ámbitos
domain/fred Administrador completo Todos (el rol de Administrador completo siempre tiene el ámbito Todos)
domain/rob Administrador de solo lectura Todo
domain/heidi Administrador de solo lectura, Administrador de asistencia técnica Todas las ventas
domain/warehouseadmin Administrador de asistencia técnica Almacén
domain/peter Administrador de grupos de entrega, Administrador de catálogos de máquinas Win7
  • Fred es un Administrador completo y puede ver, editar y eliminar todos los objetos del sistema.
  • Rob puede ver todos los objetos del sitio, pero no puede editarlos ni eliminarlos.
  • Heidi puede ver todos los objetos y realizar tareas de asistencia técnica en los grupos de entrega dentro del ámbito de ventas. Esto le permite administrar las sesiones y las máquinas asociadas a esos grupos; no puede realizar cambios en el grupo de entrega, como añadir o quitar máquinas.
  • Cualquier persona que sea miembro del grupo de seguridad de Active Directory warehouseadmin puede ver y realizar tareas de asistencia técnica en las máquinas del ámbito Warehouse.
  • Peter es un especialista en Windows 7 y puede administrar todos los catálogos de máquinas de Windows 7 y entregar aplicaciones, escritorios y máquinas de Windows 7, independientemente del ámbito de departamento al que pertenezcan. La administradora consideró nombrar a Peter Administrador completo para el ámbito Win7. Sin embargo, lo descartó, porque un Administrador completo también tiene derechos completos sobre todos los objetos que no están dentro de un ámbito, como ‘Sitio’ y ‘Administrador’.

Cómo usar la administración delegada

Por lo general, el número de administradores y la granularidad de sus permisos dependen del tamaño y la complejidad de la implementación.

  • En implementaciones pequeñas o de prueba de concepto, uno o unos pocos administradores lo hacen todo. No hay delegación. En este caso, cree cada administrador con el rol integrado de Administrador completo, que tiene el ámbito Todos.
  • En implementaciones más grandes con más máquinas, aplicaciones y escritorios, se necesita más delegación. Varios administradores pueden tener responsabilidades funcionales más específicas (roles). Por ejemplo, dos son Administradores completos y otros son Administradores de asistencia técnica. Además, un administrador puede gestionar solo ciertos grupos de objetos (ámbitos), como catálogos de máquinas. En este caso, cree nuevos ámbitos, además de administradores con uno de los roles integrados y los ámbitos adecuados.
  • Las implementaciones aún más grandes pueden requerir más ámbitos (o más específicos), además de diferentes administradores con roles no convencionales. En este caso, edite o cree más ámbitos, cree roles personalizados y cree cada administrador con un rol integrado o personalizado, además de los ámbitos existentes y nuevos.

Para mayor flexibilidad y facilidad de configuración, puede crear ámbitos al crear un administrador. También puede especificar ámbitos al crear o editar catálogos de máquinas o conexiones.

Crear y administrar administradores

Cuando crea un sitio como administrador local, su cuenta de usuario se convierte automáticamente en un Administrador completo con permisos completos sobre todos los objetos. Una vez creado un sitio, los administradores locales no tienen privilegios especiales.

El rol de Administrador completo siempre tiene el ámbito Todos; no puede cambiar esto.

De forma predeterminada, un administrador está habilitado. Deshabilitar un administrador puede ser necesario si lo está creando ahora, pero esa persona no comenzará las tareas de administración hasta más tarde. Para los administradores habilitados existentes, es posible que desee deshabilitar varios de ellos mientras reorganiza sus objetos/ámbitos, y luego volver a habilitarlos cuando esté listo para implementar la configuración actualizada. No puede deshabilitar un Administrador completo si esto resultaría en que no hubiera ningún Administrador completo habilitado. La casilla de verificación habilitar/deshabilitar está disponible al crear, copiar o editar un administrador.

Cuando elimina un par rol/ámbito al copiar, editar o eliminar un administrador, solo se elimina la relación entre el rol y el ámbito para ese administrador. No se elimina ni el rol ni el ámbito. Tampoco afecta a ningún otro administrador configurado con ese par rol/ámbito.

Para administrar administradores, haga clic en Configuración > Administradores en el panel de navegación de Studio y, a continuación, haga clic en la ficha Administradores en el panel central superior.

  • Crear un administrador: Haga clic en Crear nuevo administrador en el panel Acciones. Escriba o busque el nombre de la cuenta de usuario, seleccione o cree un ámbito y seleccione un rol. El nuevo administrador está habilitado de forma predeterminada; puede cambiar esto.
  • Copiar un administrador: Seleccione el administrador en el panel central y, a continuación, haga clic en Copiar administrador en el panel Acciones. Escriba o busque el nombre de la cuenta de usuario. Puede seleccionar y, a continuación, modificar o eliminar cualquiera de los pares de rol/ámbito, y añadir otros nuevos. El nuevo administrador está habilitado de forma predeterminada; puede cambiar esto.
  • Modificar un administrador: Seleccione el administrador en el panel central y, a continuación, haga clic en Modificar administrador en el panel Acciones. Puede modificar o eliminar cualquiera de los pares de rol/ámbito, y añadir otros nuevos.
  • Eliminar un administrador: Seleccione el administrador en el panel central y, a continuación, haga clic en Eliminar administrador en el panel Acciones. No puede eliminar un Administrador completo si esto resultara en que no hubiera ningún Administrador completo habilitado.

El panel superior muestra los administradores que ha creado. Seleccione un administrador para ver sus detalles en el panel inferior. La columna Advertencias indica si los pares de rol y ámbito asociados al administrador contienen roles o ámbitos no utilizables. El siguiente mensaje de advertencia aparece si un par de rol y ámbito asociado contiene roles o ámbitos no utilizables:

  • Rol o ámbito asociado no utilizable
    • Quite el par de rol y ámbito del administrador.

Importante:

Un mensaje de advertencia aparece solo cuando un par de rol y ámbito asociado contiene roles o ámbitos no utilizables, o ambos.

Para quitar el par de rol y ámbito del administrador, siga uno de estos pasos:

  • Elimine el par de rol y ámbito.
    1. En el panel Acciones, haga clic en Modificar administrador.
    2. En la ventana Modificar administrador, seleccione el par de rol y ámbito y, a continuación, haga clic en Eliminar.
    3. Haga clic en Aceptar para salir.
  • Elimine el administrador.
    1. En el panel Acciones, haga clic en Eliminar administrador.
    2. En la ventana de Studio, haga clic en Eliminar.

Crear y administrar roles

Cuando los administradores crean o editan un rol, solo pueden habilitar los permisos que ellos mismos tienen. Esto evita que los administradores creen un rol con más permisos de los que tienen actualmente y luego se lo asignen a sí mismos (o editen un rol que ya tienen asignado).

Los nombres de los roles pueden contener hasta 64 caracteres Unicode; no pueden contener: barra invertida, barra diagonal, punto y coma, dos puntos, signo de almohadilla, coma, asterisco, signo de interrogación, signo igual, flecha izquierda o derecha, barra vertical, corchete izquierdo o derecho, paréntesis izquierdo o derecho, comillas o apóstrofo. Las descripciones pueden contener hasta 256 caracteres Unicode.

No puede editar ni eliminar un rol integrado. No puede eliminar un rol personalizado si algún administrador lo está utilizando.

Nota:

Solo ciertas ediciones del producto admiten roles personalizados. Solo las ediciones que admiten roles personalizados tienen entradas relacionadas en el panel Acciones.

Para administrar roles, haga clic en Configuración > Administradores en el panel de navegación de Studio y, a continuación, haga clic en la ficha Roles en el panel central superior.

  • Ver detalles del rol: Seleccione el rol en el panel central. La parte inferior del panel central enumera los tipos de objeto y los permisos asociados para el rol. Haga clic en la ficha Administradores en el panel inferior para mostrar una lista de los administradores que tienen este rol actualmente.
  • Crear un rol personalizado: Haga clic en Crear nuevo rol en el panel Acciones. Introduzca un nombre y una descripción. Seleccione los tipos de objeto y los permisos.
  • Copiar un rol: Seleccione el rol en el panel central y, a continuación, haga clic en Copiar rol en el panel Acciones. Cambie el nombre, la descripción, los tipos de objeto y los permisos, según sea necesario.
  • Modificar un rol personalizado: Seleccione el rol en el panel central y, a continuación, haga clic en Modificar rol en el panel Acciones. Cambie el nombre, la descripción, los tipos de objeto y los permisos, según sea necesario.
  • Eliminar un rol personalizado: Seleccione el rol en el panel central y, a continuación, haga clic en Eliminar rol en el panel Acciones. Cuando se le solicite, confirme la eliminación.

Crear y administrar ámbitos

Cuando se crea un sitio, el único ámbito disponible es el ámbito ‘Todos’, que no se puede eliminar.

Puede crear ámbitos siguiendo el siguiente procedimiento. También puede crear ámbitos al crear un administrador; cada administrador debe estar asociado con al menos un par de rol y ámbito. Al crear o editar escritorios, catálogos de máquinas, aplicaciones u hosts, puede agregarlos a un ámbito existente. Si no los agrega a un ámbito, seguirán formando parte del ámbito ‘Todos’.

La creación de sitios no puede tener ámbito, ni tampoco los objetos de administración delegada (ámbitos y roles). Sin embargo, los objetos a los que no puede asignar un ámbito se incluyen en el ámbito ‘Todos’. (Los administradores completos siempre tienen el ámbito Todos). Las máquinas, las acciones de energía, los escritorios y las sesiones no tienen un ámbito directo. Se pueden asignar permisos a los administradores sobre estos objetos a través de los catálogos de máquinas o grupos de entrega asociados.

Los nombres de ámbito pueden contener hasta 64 caracteres Unicode. Los nombres de ámbito no pueden incluir: barra invertida, barra diagonal, punto y coma, dos puntos, signo de almohadilla, coma, asterisco, signo de interrogación, signo igual, flecha izquierda, flecha derecha, barra vertical, corchete izquierdo o derecho, paréntesis izquierdo o derecho, comillas o apóstrofo. Las descripciones pueden contener hasta 256 caracteres Unicode.

Al copiar o editar un ámbito, tenga en cuenta que la eliminación de objetos del ámbito puede hacer que esos objetos sean inaccesibles para el administrador. Si el ámbito editado está emparejado con uno o más roles, asegúrese de que las actualizaciones del ámbito no inutilicen ningún par de rol/ámbito.

Para administrar ámbitos, haga clic en Configuración > Administradores en el panel de navegación de Studio y, a continuación, haga clic en la ficha Ámbitos en el panel central superior.

  • Crear un ámbito: Haga clic en Crear nuevo ámbito en el panel Acciones. Introduzca un nombre y una descripción. Para incluir todos los objetos de un tipo particular (por ejemplo, Grupos de entrega), seleccione el tipo de objeto. Para incluir objetos específicos, expanda el tipo y, a continuación, seleccione objetos individuales (por ejemplo, Grupos de entrega utilizados por el equipo de ventas).
  • Copiar un ámbito: Seleccione el ámbito en el panel central y, a continuación, haga clic en Copiar ámbito en el panel Acciones. Introduzca un nombre y una descripción. Cambie los tipos de objeto y los objetos, según sea necesario.
  • Editar un ámbito: Seleccione el ámbito en el panel central y, a continuación, haga clic en Editar ámbito en el panel Acciones. Cambie el nombre, la descripción, los tipos de objeto y los objetos, según sea necesario.
  • Eliminar un ámbito: Seleccione el ámbito en el panel central y, a continuación, haga clic en Eliminar ámbito en el panel Acciones. Cuando se le solicite, confirme la eliminación.

Crear informes

Puede crear dos tipos de informes de administración delegada:

  • Un informe HTML que enumera los pares de rol/ámbito asociados a un administrador, además de los permisos individuales para cada tipo de objeto (por ejemplo, Grupos de entrega y Catálogos de máquinas). Este informe se genera desde Studio.

    Para crear este informe, haga clic en Configuración > Administradores en el panel de navegación de Studio. Seleccione un administrador en el panel central y, a continuación, haga clic en Crear informe en el panel Acciones.

    También puede solicitar este informe al crear, copiar o editar un administrador.

  • Un informe HTML o CSV que asigna todos los roles integrados y personalizados a los permisos. Este informe se genera ejecutando un script de PowerShell llamado OutputPermissionMapping.ps1.

    Para ejecutar este script, debe ser un Administrador completo, un Administrador de solo lectura o un administrador personalizado con permiso para leer roles. El script se encuentra en: Program Files\Citrix\DelegatedAdmin\SnapIn\Citrix.DelegatedAdmin.Admin.V1\Scripts.

    Sintaxis:

    OutputPermissionMapping.ps1 [-Help] [-Csv] [-Path string] [-AdminAddress string] [-Show] [CommonParameters]

    Parámetro Descripción
    -Help Muestra la ayuda del script.
    -Csv Especifica la salida CSV. Predeterminado = HTML
    -Path string Dónde escribir la salida. Predeterminado = stdout
    -AdminAddress string Dirección IP o nombre de host del Delivery Controller™ al que conectarse. Predeterminado = localhost
    -Show (Válido solo cuando también se especifica el parámetro -Path) Cuando se escribe la salida en un archivo, -Show hace que la salida se abra en un programa adecuado, como un explorador web.
    CommonParameters Verbose, Debug, ErrorAction, ErrorVariable, WarningAction, WarningVariable, OutBuffer y OutVariable. Para obtener más información, consulte la documentación de Microsoft.

El siguiente ejemplo escribe una tabla HTML en un archivo llamado Roles.html y abre la tabla en un navegador web.

& "$env:ProgramFiles\Citrix\DelegatedAdmin\SnapIn\
Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1"
-Path Roles.html –Show
<!--NeedCopy-->

El siguiente ejemplo escribe una tabla CSV en un archivo llamado Roles.csv. La tabla no se muestra.

& "$env:ProgramFiles\Citrix\DelegatedAdmin\SnapIn\
Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1"
–CSV -Path Roles.csv
<!--NeedCopy-->

Desde un símbolo del sistema de Windows, el comando de ejemplo anterior es:

powershell -command "& '%ProgramFiles%\Citrix\DelegatedAdmin\SnapIn\
Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1'
-CSV -Path Roles.csv"
<!--NeedCopy-->
Administración delegada
May 30, 2026
Contribución de: 
C C
May 30, 2026
Contribución de: 
C C

En este artículo

Comentarios sobre el sitio | Your privacy choices footer linkSus opciones de privacidad | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.