Documentación de productos
Citrix Virtual Apps and Desktops 7 2311
Ver PDF

Administración delegada

May 31, 2026
Contribución de: 
C C

Nota:

Puede administrar su implementación de Citrix Virtual Apps and Desktops™ mediante dos consolas de administración: Web Studio (basado en web) y Citrix Studio (basado en Windows). Este artículo solo cubre Web Studio. Para obtener información sobre Citrix Studio, consulte el artículo equivalente en Citrix Virtual Apps and Desktops 7 2212 o anterior.

El modelo de administración delegada ofrece la flexibilidad de adaptarse a la forma en que su organización desea delegar las actividades de administración, utilizando el control basado en roles y objetos. La administración delegada se adapta a implementaciones de todos los tamaños y le permite configurar una mayor granularidad de permisos a medida que su implementación crece en complejidad. La administración delegada utiliza tres conceptos: administradores, roles y ámbitos.

  • Administradores: Un administrador representa a una persona o un grupo de personas identificadas por su cuenta de Active Directory. Cada administrador está asociado con uno o más pares de rol y ámbito.

  • Roles: Un rol representa una función de trabajo y tiene permisos definidos asociados a él. Por ejemplo, el rol de Administrador de grupos de entrega tiene permisos como ‘Crear grupo de entrega’ y ‘Eliminar escritorio del grupo de entrega’. Un administrador puede tener varios roles para un sitio, por lo que una persona puede ser Administrador de grupos de entrega y Administrador de catálogos de máquinas. Los roles pueden ser integrados o personalizados.

    Los roles integrados son:

    Rol Permisos
    Administrador completo Puede realizar todas las tareas y operaciones. Un Administrador completo siempre se combina con el ámbito Todos.
    Administrador de solo lectura Puede ver todos los objetos en los ámbitos especificados, además de la información global, pero no puede cambiar nada. Por ejemplo, un Administrador de solo lectura con Ámbito=Londres puede ver todos los objetos globales (como el Registro de configuración) y cualquier objeto con ámbito de Londres (por ejemplo, Grupos de entrega de Londres). Sin embargo, ese administrador no puede ver objetos en el ámbito de Nueva York (suponiendo que los ámbitos de Londres y Nueva York no se superpongan).
    Administrador de asistencia técnica Puede ver los grupos de entrega y administrar las sesiones y máquinas asociadas a esos grupos. Puede ver el catálogo de máquinas y la información del host para los grupos de entrega que se están supervisando. También puede realizar operaciones de administración de sesiones y administración de energía de máquinas para las máquinas de esos grupos de entrega.
    Administrador de catálogos de máquinas Puede crear y administrar catálogos de máquinas y aprovisionar las máquinas en ellos. Puede crear catálogos de máquinas a partir de la infraestructura de virtualización, Provisioning Services y máquinas físicas. Esta función puede administrar imágenes base e instalar software, pero no puede asignar aplicaciones ni escritorios a los usuarios.
    Administrador de grupos de entrega Puede entregar aplicaciones, escritorios y máquinas; también puede administrar las sesiones asociadas. También puede administrar las configuraciones de aplicaciones y escritorios, como las directivas y la configuración de administración de energía.
    Administrador de host Puede administrar las conexiones de host y su configuración de recursos asociada. No puede entregar máquinas, aplicaciones ni escritorios a los usuarios.

    En algunas ediciones del producto, puede crear roles personalizados para satisfacer los requisitos de su organización y delegar permisos con más detalle. Puede usar roles personalizados para asignar permisos con la granularidad de una acción o tarea en una consola.

  • Ámbitos: Un ámbito representa una colección de objetos. Los ámbitos se utilizan para agrupar objetos de una manera relevante para su organización (por ejemplo, el conjunto de grupos de entrega utilizados por el equipo de ventas). Los objetos pueden estar en más de un ámbito; puede pensar en los objetos como etiquetados con uno o más ámbitos. Hay un ámbito integrado: ‘Todos’, que contiene todos los objetos. El rol de administrador completo siempre se empareja con el ámbito Todos.

Ejemplo

La empresa XYZ decidió administrar las aplicaciones y los escritorios en función de su departamento (Contabilidad, Ventas y Almacén) y su sistema operativo de escritorio (Windows 7 o Windows 8). El administrador creó cinco ámbitos y luego etiquetó cada grupo de entrega con dos ámbitos: uno para el departamento donde se utilizan y otro para el sistema operativo que utilizan.

Se crearon los siguientes administradores:

Administrador Roles Ámbitos
domain/fred Administrador completo Todo (el rol de Administrador completo siempre tiene el ámbito Todo)
domain/rob Administrador de solo lectura Todo
domain/heidi Administrador de solo lectura, Administrador de asistencia técnica Todas las ventas
domain/warehouseadmin Administrador de asistencia técnica Almacén
domain/peter Administrador de grupos de entrega, Administrador de catálogos de máquinas Win7
  • Fred es un Administrador completo y puede ver, editar y eliminar todos los objetos del sistema.
  • Rob puede ver todos los objetos del sitio, pero no puede editarlos ni eliminarlos.
  • Heidi puede ver todos los objetos y realizar tareas de soporte técnico en los grupos de entrega del ámbito de ventas. Esto le permite administrar las sesiones y las máquinas asociadas a esos grupos; no puede realizar cambios en el grupo de entrega, como añadir o quitar máquinas.
  • Cualquier miembro del grupo de seguridad de Active Directory warehouseadmin puede ver y realizar tareas de soporte técnico en las máquinas del ámbito de almacén.
  • Peter es un especialista en Windows 7 y puede administrar todos los catálogos de máquinas de Windows 7 y entregar aplicaciones, escritorios y máquinas de Windows 7, independientemente del ámbito de departamento al que pertenezcan. La administradora consideró nombrar a Peter Administrador completo para el ámbito Win7. Sin embargo, lo descartó, porque un Administrador completo también tiene todos los derechos sobre todos los objetos que no están dentro de un ámbito, como ‘Sitio’ y ‘Administrador’.

Cómo usar la administración delegada

Por lo general, el número de administradores y la granularidad de sus permisos dependen del tamaño y la complejidad de la implementación.

  • En implementaciones pequeñas o de prueba de concepto, uno o unos pocos administradores lo hacen todo. No hay delegación. En este caso, cree cada administrador con el rol integrado de Administrador completo, que tiene el ámbito Todos.
  • En implementaciones más grandes con más máquinas, aplicaciones y escritorios, se necesita más delegación. Varios administradores pueden tener responsabilidades funcionales (roles) más específicas. Por ejemplo, dos son Administradores completos y otros son Administradores de soporte técnico. Además, un administrador puede gestionar solo ciertos grupos de objetos (ámbitos), como los catálogos de máquinas. En este caso, cree nuevos ámbitos, además de administradores con uno de los roles integrados y los ámbitos adecuados.
  • Las implementaciones aún más grandes pueden requerir más ámbitos (o más específicos), además de diferentes administradores con roles no convencionales. En este caso, edite o cree más ámbitos, cree roles personalizados y cree cada administrador con un rol integrado o personalizado, además de los ámbitos existentes y nuevos.

Para mayor flexibilidad y facilidad de configuración, puede crear ámbitos al crear un administrador. También puede especificar ámbitos al crear o editar catálogos de máquinas o conexiones.

Crear y administrar administradores

Cuando crea un sitio como administrador local, su cuenta de usuario se convierte automáticamente en un Administrador completo con permisos totales sobre todos los objetos. Una vez creado un sitio, los administradores locales no tienen privilegios especiales.

El rol de Administrador completo siempre tiene el ámbito Todos; no puede cambiar esto.

De forma predeterminada, un administrador está habilitado. Deshabilitar un administrador puede ser necesario si lo está creando ahora, pero esa persona no comenzará las tareas de administración hasta más tarde. Para los administradores habilitados existentes, es posible que desee deshabilitar varios de ellos mientras reorganiza sus objetos/ámbitos, y luego volver a habilitarlos cuando esté listo para implementar la configuración actualizada. No puede deshabilitar un Administrador completo si esto resultaría en que no hubiera ningún Administrador completo habilitado. La casilla de verificación habilitar/deshabilitar está disponible cuando crea, copia o edita un administrador.

Cuando elimina un par rol/ámbito al copiar, editar o eliminar un administrador, solo se elimina la relación entre el rol y el ámbito para ese administrador. No se elimina ni el rol ni el ámbito. Tampoco afecta a ningún otro administrador configurado con ese par rol/ámbito.

Para crear y administrar administradores, siga estos pasos:

  1. Inicie sesión en Web Studio, haga clic en Administradores en el panel izquierdo y, a continuación, haga clic en la ficha Administradores.

  2. Siga las instrucciones para la tarea que desea completar:

    • Crear un administrador: Haga clic en Crear administrador en la barra de acciones. Escriba o busque el nombre de la cuenta de usuario, seleccione o cree un ámbito y, a continuación, seleccione un rol. El nuevo administrador está habilitado de forma predeterminada; puede cambiar esto.
    • Copiar un administrador: Seleccione el administrador y, a continuación, haga clic en Copiar administrador en la barra de acciones. Escriba o busque el nombre de la cuenta de usuario. Puede seleccionar y, a continuación, modificar o eliminar cualquiera de los pares de rol/ámbito, y agregar otros nuevos. El nuevo administrador está habilitado de forma predeterminada; puede cambiar esto.
    • Modificar un administrador: Seleccione el administrador y, a continuación, haga clic en Modificar administrador en la barra de acciones. Puede modificar o eliminar cualquiera de los pares de rol/ámbito, y agregar otros nuevos.
    • Eliminar un administrador: Seleccione el administrador y, a continuación, haga clic en Eliminar administrador en la barra de acciones. No puede eliminar un administrador con todos los permisos si esto resultara en que no hubiera ningún administrador con todos los permisos habilitado.

El panel superior muestra los administradores que ha creado. Seleccione un administrador para ver sus detalles en el panel inferior. La columna Advertencias indica si los pares de rol y ámbito asociados al administrador contienen roles o ámbitos inutilizables. El siguiente mensaje de advertencia aparece si un par de rol y ámbito asociado contiene roles o ámbitos inutilizables:

  • Rol o ámbito asociado no utilizable

Importante:

Un mensaje de advertencia aparece solo cuando un par de rol y ámbito asociado contiene roles o ámbitos inutilizables, o ambos.

Para quitar el par de rol y ámbito del administrador, complete uno de los siguientes pasos:

  • Elimine el par de rol y ámbito.
    1. En la barra de acciones, haga clic en Modificar administrador.
    2. En la ventana Nombre y detalles del administrador, seleccione el par de rol y ámbito y, a continuación, haga clic en Eliminar.
    3. Haga clic en Guardar para salir.
  • Eliminar el administrador.
    1. En la barra de acciones, haga clic en Eliminar administrador.
    2. En la ventana de confirmación, haga clic en Eliminar.

Crear y administrar roles

Cuando los administradores crean o editan un rol, solo pueden habilitar los permisos que ellos mismos tienen. Esto evita que los administradores creen un rol con más permisos de los que tienen actualmente y luego se lo asignen a sí mismos (o editen un rol que ya tienen asignado).

Los nombres de los roles pueden contener hasta 64 caracteres Unicode; no pueden contener: barra invertida, barra diagonal, punto y coma, dos puntos, signo de almohadilla, coma, asterisco, signo de interrogación, signo igual, flecha izquierda o derecha, barra vertical, corchete izquierdo o derecho, paréntesis izquierdo o derecho, comillas o apóstrofo. Las descripciones pueden contener hasta 256 caracteres Unicode.

No se puede editar ni eliminar un rol integrado. No se puede eliminar un rol personalizado si algún administrador lo está utilizando.

Nota:

Solo algunas ediciones del producto admiten roles personalizados. Solo las ediciones que admiten roles personalizados tienen entradas relacionadas en la barra de acciones.

Para crear y administrar roles, siga estos pasos:

  1. Inicie sesión en Web Studio, haga clic en Administradores en el panel izquierdo y, a continuación, haga clic en la ficha Roles.

  2. Siga las instrucciones para la tarea que desea completar:

    • Ver detalles del rol: Seleccione el rol. El panel inferior enumera los tipos de objetos y los permisos asociados para el rol. Haga clic en la ficha Administradores en el panel inferior para ver una lista de los administradores que tienen este rol actualmente.
    • Crear un rol personalizado: Haga clic en Crear rol en el panel de acciones. Introduzca un nombre y una descripción. Seleccione los tipos de objetos y los permisos.
    • Copiar un rol: Seleccione el rol y, a continuación, haga clic en Copiar rol en la barra de acciones. Cambie el nombre, la descripción, los tipos de objeto y los permisos, según sea necesario.
    • Modificar un rol personalizado: Seleccione el rol y, a continuación, haga clic en Modificar rol en la barra de acciones. Cambie el nombre, la descripción, los tipos de objeto y los permisos, según sea necesario.
    • Eliminar un rol personalizado: Seleccione el rol y, a continuación, haga clic en Eliminar rol en la barra de acciones. Cuando se le solicite, confirme la eliminación.

Crear y administrar ámbitos

Cuando se crea un sitio, el único ámbito disponible es el ámbito ‘Todos’, que no se puede eliminar.

Puede crear ámbitos mediante el siguiente procedimiento. También puede crear ámbitos al crear un administrador; cada administrador debe estar asociado a al menos un par de rol y ámbito. Al crear o modificar escritorios, catálogos de máquinas, aplicaciones o hosts, puede agregarlos a un ámbito existente. Si no los agrega a un ámbito, seguirán formando parte del ámbito ‘Todos’.

La creación de sitios no se puede limitar a un ámbito, ni tampoco los objetos de administración delegada (ámbitos y roles). Sin embargo, los objetos que no se pueden limitar a un ámbito se incluyen en el ámbito ‘Todos’. (Los administradores con todos los permisos siempre tienen el ámbito Todos). Las máquinas, las acciones de energía, los escritorios y las sesiones no tienen un ámbito directo. Se pueden asignar permisos a los administradores sobre estos objetos a través de los catálogos de máquinas o grupos de entrega asociados.

Reglas para crear y administrar ámbitos:

  • Los nombres de ámbito pueden contener hasta 64 caracteres Unicode. Los nombres de ámbito no pueden incluir: barra invertida, barra diagonal, punto y coma, dos puntos, signo de almohadilla, coma, asterisco, signo de interrogación, signo igual, flecha izquierda, flecha derecha, barra vertical, corchete izquierdo o derecho, paréntesis izquierdo o derecho, comillas o apóstrofo.

  • Las descripciones de ámbito pueden contener hasta 256 caracteres Unicode.

  • Al copiar o modificar un ámbito, tenga en cuenta que la eliminación de objetos del ámbito puede hacer que esos objetos sean inaccesibles para el administrador. Si el ámbito modificado se empareja con uno o varios roles, asegúrese de que las actualizaciones del ámbito no hagan que ningún par de rol/ámbito sea inutilizable.

Para crear y administrar ámbitos, siga estos pasos:

  1. Inicie sesión en Web Studio, haga clic en Administradores en el panel izquierdo y, a continuación, haga clic en la ficha Ámbitos.

  2. Siga las instrucciones de la tarea que desea completar:

    • Crear un ámbito: Haga clic en Crear nuevo ámbito en la barra de acciones. Introduzca un nombre y una descripción. Para incluir todos los objetos de un tipo determinado (por ejemplo, grupos de entrega), seleccione el tipo de objeto. Para incluir objetos específicos, expanda el tipo y, a continuación, seleccione objetos individuales (por ejemplo, grupos de entrega utilizados por el equipo de ventas).
    • Copiar un ámbito: Seleccione el ámbito y, a continuación, haga clic en Copiar ámbito en la barra de acciones. Introduzca un nombre y una descripción. Cambie los tipos de objetos y los objetos, según sea necesario.
    • Modificar un ámbito: Seleccione el ámbito y, a continuación, haga clic en Modificar ámbito en la barra de acciones. Cambie el nombre, la descripción, los tipos de objetos y los objetos, según sea necesario.
    • Eliminar un ámbito: Seleccione el ámbito y, a continuación, haga clic en Eliminar ámbito en la barra de acciones. Cuando se le solicite, confirme la eliminación.

Crear informes

Puede crear dos tipos de informes de administración delegada:

  • Un informe HTML que enumera los pares de rol/ámbito asociados a un administrador, además de los permisos individuales para cada tipo de objeto (por ejemplo, grupos de entrega y catálogos de máquinas). Este informe se genera desde Web Studio.

    Para crear este informe, siga estos pasos:

    1. Inicie sesión en Web Studio, haga clic en Administradores en el panel izquierdo
    2. Seleccione un administrador y, a continuación, haga clic en Crear informe en la barra de acciones.

    También puede solicitar este informe al crear, copiar o modificar un administrador.

  • Un informe HTML o CSV que asigna todos los roles integrados y personalizados a los permisos. Este informe se genera ejecutando un script de PowerShell llamado OutputPermissionMapping.ps1.

    Para ejecutar este script, debe ser un administrador con todos los permisos, un administrador de solo lectura o un administrador personalizado con permiso para leer roles. El script se encuentra en: Program Files\Citrix\DelegatedAdmin\SnapIn\Citrix.DelegatedAdmin.Admin.V1\Scripts.

    Sintaxis:

    OutputPermissionMapping.ps1 [-Help] [-Csv] [-Path string] [-AdminAddress string] [-Show] [CommonParameters]

    Parámetro Descripción
    -Help Muestra la ayuda del script.
    -Csv Especifica la salida CSV. Predeterminado = HTML
    -Path string Dónde escribir la salida. Predeterminado = stdout
    -AdminAddress string Dirección IP o nombre de host del Delivery Controller™ al que conectarse. Predeterminado = localhost
    -Show (Válido solo cuando también se especifica el parámetro -Path) Cuando se escribe la salida en un archivo, -Show hace que la salida se abra en un programa adecuado, como un navegador web.
    Parámetros comunes Verbose, Debug, ErrorAction, ErrorVariable, WarningAction, WarningVariable, OutBuffer y OutVariable. Para obtener más información, consulte la documentación de Microsoft.

El siguiente ejemplo escribe una tabla HTML en un archivo llamado Roles.html y abre la tabla en un navegador web.

& "$env:ProgramFiles\Citrix\DelegatedAdmin\SnapIn\
Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1"
-Path Roles.html –Show
<!--NeedCopy-->

El siguiente ejemplo escribe una tabla CSV en un archivo llamado Roles.csv. La tabla no se muestra.

& "$env:ProgramFiles\Citrix\DelegatedAdmin\SnapIn\
Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1"
–CSV -Path Roles.csv
<!--NeedCopy-->

Desde un símbolo del sistema de Windows, el comando de ejemplo anterior es:

powershell -command "& '%ProgramFiles%\Citrix\DelegatedAdmin\SnapIn\
Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1'
-CSV -Path Roles.csv"
<!--NeedCopy-->
Administración delegada
May 31, 2026
Contribución de: 
C C
May 31, 2026
Contribución de: 
C C

En este artículo

Comentarios sobre el sitio | Your privacy choices footer linkSus opciones de privacidad | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.