Documentación de productos

Administración delegada

May 30, 2026
Contribución de: 
C

Nota:

Puede administrar su implementación de Citrix Virtual Apps and Desktops™ mediante dos consolas de administración: Web Studio (basada en web) y Citrix Studio (basada en Windows). Este artículo solo trata sobre Web Studio. Para obtener información sobre Citrix Studio, consulte el artículo equivalente en Citrix Virtual Apps and Desktops 7 2212 o anterior.

El modelo de administración delegada ofrece la flexibilidad de adaptarse a cómo su organización desea delegar las actividades de administración, utilizando el control basado en roles y objetos. La administración delegada se adapta a implementaciones de todos los tamaños y le permite configurar una mayor granularidad de permisos a medida que su implementación aumenta en complejidad. La administración delegada utiliza tres conceptos: administradores, roles y ámbitos.

  • Administradores: Un administrador representa a una persona o un grupo de personas identificadas por su cuenta de Active Directory. Cada administrador está asociado a uno o varios pares de rol y ámbito.

  • Roles: Un rol representa una función de trabajo y tiene permisos definidos asociados a él. Por ejemplo, el rol de Administrador de grupo de entrega tiene permisos como ‘Crear grupo de entrega’ y ‘Quitar escritorio del grupo de entrega’. Un administrador puede tener varios roles para un sitio, por lo que una persona puede ser Administrador de grupo de entrega y Administrador de catálogo de máquinas. Los roles pueden ser integrados o personalizados.

    Los roles integrados son:

    Rol Permisos
    Administrador total Puede realizar todas las tareas y operaciones. Un Administrador total siempre se combina con el ámbito Todos.
    Administrador de solo lectura Puede ver todos los objetos en los ámbitos especificados, además de la información global, pero no puede cambiar nada. Por ejemplo, un Administrador de solo lectura con Ámbito=Londres puede ver todos los objetos globales (como el registro de configuración) y cualquier objeto con ámbito de Londres (por ejemplo, grupos de entrega de Londres). Sin embargo, ese administrador no puede ver objetos en el ámbito de Nueva York (suponiendo que los ámbitos de Londres y Nueva York no se superpongan).
    Administrador de asistencia técnica Puede ver los grupos de entrega y administrar las sesiones y máquinas asociadas a esos grupos. Puede ver el catálogo de máquinas y la información del host para los grupos de entrega que se están supervisando. También puede realizar operaciones de administración de sesiones y administración de energía de máquinas para las máquinas de esos grupos de entrega.
    Administrador de catálogos de máquinas Puede crear y administrar catálogos de máquinas y aprovisionar las máquinas en ellos. Puede crear catálogos de máquinas a partir de la infraestructura de virtualización, Provisioning Services y máquinas físicas. Esta función puede administrar imágenes base e instalar software, pero no puede asignar aplicaciones o escritorios a los usuarios.
    Administrador de grupos de entrega Puede entregar aplicaciones, escritorios y máquinas; también puede administrar las sesiones asociadas. También puede administrar configuraciones de aplicaciones y escritorios, como directivas y configuraciones de administración de energía.
    Administrador de host Puede administrar las conexiones de host y sus configuraciones de recursos asociadas. No puede entregar máquinas, aplicaciones o escritorios a los usuarios.

    En algunas ediciones del producto, puede crear roles personalizados para satisfacer los requisitos de su organización y delegar permisos con más detalle. Puede usar roles personalizados para asignar permisos con la granularidad de una acción o tarea en una consola.

  • Ámbitos: Un ámbito representa una colección de objetos. Los ámbitos se utilizan para agrupar objetos de una manera relevante para su organización (por ejemplo, el conjunto de grupos de entrega utilizados por el equipo de ventas). Los objetos pueden estar en más de un ámbito; puede considerar que los objetos están etiquetados con uno o más ámbitos. Hay un ámbito integrado: ‘Todos’, que contiene todos los objetos. El rol de Administrador completo siempre se empareja con el ámbito Todos.

Ejemplo

La empresa XYZ decidió administrar las aplicaciones y los escritorios en función de su departamento (Contabilidad, Ventas y Almacén) y su sistema operativo de escritorio (Windows 7 o Windows 8). El administrador creó cinco ámbitos y luego etiquetó cada grupo de entrega con dos ámbitos: uno para el departamento donde se utilizan y otro para el sistema operativo que utilizan.

Se crearon los siguientes administradores:

Administrador Roles Ámbitos
domain/fred Administrador completo Todo (el rol de Administrador completo siempre tiene el ámbito Todo)
domain/rob Administrador de solo lectura Todo
domain/heidi Administrador de solo lectura, Administrador de soporte técnico Todas las ventas
domain/warehouseadmin Administrador de soporte técnico Almacén
domain/peter Administrador de grupos de entrega, Administrador de catálogos de máquinas Win7
  • Fred es un Administrador completo y puede ver, editar y eliminar todos los objetos del sistema.
  • Rob puede ver todos los objetos del sitio, pero no puede editarlos ni eliminarlos.
  • Heidi puede ver todos los objetos y realizar tareas de asistencia técnica en los grupos de entrega del ámbito de ventas. Esto le permite administrar las sesiones y las máquinas asociadas a esos grupos; no puede realizar cambios en el grupo de entrega, como añadir o quitar máquinas.
  • Cualquier miembro del grupo de seguridad de Active Directory warehouseadmin puede ver y realizar tareas de asistencia técnica en las máquinas del ámbito de almacén.
  • Peter es un especialista en Windows 7 y puede administrar todos los catálogos de máquinas de Windows 7 y entregar aplicaciones, escritorios y máquinas de Windows 7, independientemente del ámbito de departamento al que pertenezcan. La administradora consideró la posibilidad de convertir a Peter en administrador completo para el ámbito de Win7. Sin embargo, lo descartó, porque un administrador completo también tiene derechos completos sobre todos los objetos que no tienen ámbito, como ‘Sitio’ y ‘Administrador’.

Cómo usar la administración delegada

Por lo general, el número de administradores y la granularidad de sus permisos dependen del tamaño y la complejidad de la implementación.

  • En implementaciones pequeñas o de prueba de concepto, uno o varios administradores lo hacen todo. No hay delegación. En este caso, cree cada administrador con el rol integrado de administrador completo, que tiene el ámbito Todos.
  • En implementaciones más grandes con más máquinas, aplicaciones y escritorios, se necesita más delegación. Varios administradores pueden tener responsabilidades funcionales (roles) más específicas. Por ejemplo, dos son administradores completos y otros son administradores de asistencia técnica. Además, un administrador puede gestionar solo ciertos grupos de objetos (ámbitos), como los catálogos de máquinas. En este caso, cree nuevos ámbitos, además de administradores con uno de los roles integrados y los ámbitos adecuados.
  • Las implementaciones aún más grandes pueden requerir más ámbitos (o más específicos), además de diferentes administradores con roles poco convencionales. En este caso, edite o cree más ámbitos, cree roles personalizados y cree cada administrador con un rol integrado o personalizado, además de los ámbitos existentes y nuevos.

Para mayor flexibilidad y facilidad de configuración, puede crear ámbitos al crear un administrador. También puede especificar ámbitos al crear o editar catálogos de máquinas o conexiones.

Crear y administrar administradores

Cuando crea un sitio como administrador local, su cuenta de usuario se convierte automáticamente en un administrador completo con permisos completos sobre todos los objetos. Una vez creado un sitio, los administradores locales no tienen privilegios especiales.

El rol de administrador completo siempre tiene el ámbito Todos; no puede cambiar esto.

De forma predeterminada, un administrador está habilitado. Puede ser necesario inhabilitar a un administrador si lo está creando ahora, pero esa persona no comenzará las tareas de administración hasta más tarde. Para los administradores habilitados existentes, es posible que desee inhabilitar a varios de ellos mientras reorganiza sus objetos/ámbitos, y luego volver a habilitarlos cuando esté listo para poner en marcha la configuración actualizada. No puede inhabilitar a un administrador completo si esto resultara en que no hubiera ningún administrador completo habilitado. La casilla de verificación de habilitar/inhabilitar está disponible al crear, copiar o editar un administrador.

Cuando elimina un par rol/ámbito al copiar, editar o eliminar un administrador, solo se elimina la relación entre el rol y el ámbito para ese administrador. No se elimina ni el rol ni el ámbito. Tampoco afecta a ningún otro administrador configurado con ese par rol/ámbito.

Para crear y administrar administradores, siga estos pasos:

  1. Inicie sesión en Web Studio, haga clic en Administradores en el panel izquierdo y, a continuación, haga clic en la ficha Administradores.

  2. Siga las instrucciones para la tarea que desea completar:

    • Crear un administrador: Haga clic en Crear administrador en la barra de acciones. Escriba o busque el nombre de la cuenta de usuario, seleccione o cree un ámbito y, a continuación, seleccione un rol. El nuevo administrador está habilitado de forma predeterminada; puede cambiar esto.
    • Copiar un administrador: Seleccione el administrador y, a continuación, haga clic en Copiar administrador en la barra de acciones. Escriba o busque el nombre de la cuenta de usuario. Puede seleccionar y, a continuación, modificar o eliminar cualquiera de los pares de rol/ámbito, y añadir otros nuevos. El nuevo administrador está habilitado de forma predeterminada; puede cambiar esto.
    • Modificar un administrador: Seleccione el administrador y, a continuación, haga clic en Modificar administrador en la barra de acciones. Puede modificar o eliminar cualquiera de los pares de rol/ámbito, y añadir otros nuevos.
    • Eliminar un administrador: Seleccione el administrador y, a continuación, haga clic en Eliminar administrador en la barra de acciones. No puede eliminar un administrador con todos los permisos si esto resultara en que no hubiera ningún administrador con todos los permisos habilitado.

El panel superior muestra los administradores que ha creado. Seleccione un administrador para ver sus detalles en el panel inferior. La columna Advertencias indica si los pares de rol y ámbito asociados al administrador contienen roles o ámbitos inutilizables. El siguiente mensaje de advertencia aparece si un par de rol y ámbito asociado contiene roles o ámbitos inutilizables:

  • Rol o ámbito asociado no utilizable

Importante:

Un mensaje de advertencia aparece solo cuando un par de rol y ámbito asociado contiene roles o ámbitos inutilizables, o ambos.

Para quitar el par de rol y ámbito del administrador, complete uno de los siguientes pasos:

  • Elimine el par de rol y ámbito.
    1. En la barra de acciones, haga clic en Modificar administrador.
    2. En la ventana Nombre y detalles del administrador, seleccione el par de rol y ámbito y, a continuación, haga clic en Eliminar.
    3. Haga clic en Guardar para salir.
  • Elimine al administrador.
    1. En la barra de acciones, haga clic en Eliminar administrador.
    2. En la ventana de confirmación, haga clic en Eliminar.

Crear y administrar roles

Cuando los administradores crean o modifican un rol, solo pueden habilitar los permisos que ellos mismos tienen. Esto evita que los administradores creen un rol con más permisos de los que tienen actualmente y luego se lo asignen a sí mismos (o modifiquen un rol que ya tienen asignado).

Los nombres de los roles pueden contener hasta 64 caracteres Unicode; no pueden contener: barra invertida, barra diagonal, punto y coma, dos puntos, signo de almohadilla, coma, asterisco, signo de interrogación, signo igual, flecha izquierda o derecha, barra vertical, corchete izquierdo o derecho, paréntesis izquierdo o derecho, comillas o apóstrofo. Las descripciones pueden contener hasta 256 caracteres Unicode.

No se puede modificar ni eliminar un rol integrado. No se puede eliminar un rol personalizado si algún administrador lo está utilizando.

Nota:

Solo ciertas ediciones del producto admiten roles personalizados. Solo las ediciones que admiten roles personalizados tienen entradas relacionadas en la barra de acciones.

Para crear y administrar roles, siga estos pasos:

  1. Inicie sesión en Web Studio, haga clic en Administradores en el panel izquierdo y, a continuación, haga clic en la ficha Roles.

  2. Siga las instrucciones para la tarea que desea completar:

    • Ver detalles del rol: Seleccione el rol. El panel inferior muestra los tipos de objeto y los permisos asociados para el rol. Haga clic en la ficha Administradores en el panel inferior para ver una lista de los administradores que tienen este rol actualmente.
    • Crear un rol personalizado: Haga clic en Crear rol en el panel de acciones. Introduzca un nombre y una descripción. Seleccione los tipos de objeto y los permisos.
    • Copiar un rol: Seleccione el rol y, a continuación, haga clic en Copiar rol en la barra de acciones. Cambie el nombre, la descripción, los tipos de objeto y los permisos, según sea necesario.
    • Modificar un rol personalizado: Seleccione el rol y, a continuación, haga clic en Modificar rol en la barra de acciones. Cambie el nombre, la descripción, los tipos de objeto y los permisos, según sea necesario.
    • Eliminar un rol personalizado: Seleccione el rol y, a continuación, haga clic en Eliminar rol en la barra de acciones. Cuando se le solicite, confirme la eliminación.

Crear y administrar ámbitos

Cuando se crea un sitio, el único ámbito disponible es el ámbito ‘Todos’, que no se puede eliminar.

Puede crear ámbitos mediante el siguiente procedimiento. También puede crear ámbitos al crear un administrador; cada administrador debe estar asociado a al menos un par de rol y ámbito. Al crear o modificar escritorios, catálogos de máquinas, aplicaciones o hosts, puede agregarlos a un ámbito existente. Si no los agrega a un ámbito, seguirán formando parte del ámbito ‘Todos’.

La creación de sitios no puede tener un ámbito, ni tampoco los objetos de administración delegada (ámbitos y roles). Sin embargo, los objetos que no puede incluir en un ámbito se incluyen en el ámbito ‘Todos’. (Los administradores con todos los permisos siempre tienen el ámbito Todos). Las máquinas, las acciones de energía, los escritorios y las sesiones no tienen un ámbito directo. Se pueden asignar permisos a los administradores sobre estos objetos a través de los catálogos de máquinas o los grupos de entrega asociados.

Reglas para crear y administrar ámbitos:

  • Los nombres de ámbito pueden contener hasta 64 caracteres Unicode. Los nombres de ámbito no pueden incluir: barra invertida, barra diagonal, punto y coma, dos puntos, signo de almohadilla, coma, asterisco, signo de interrogación, signo igual, flecha izquierda, flecha derecha, barra vertical, corchete izquierdo o derecho, paréntesis izquierdo o derecho, comillas o apóstrofo.

  • Las descripciones de ámbito pueden contener hasta 256 caracteres Unicode.

  • Al copiar o modificar un ámbito, tenga en cuenta que la eliminación de objetos del ámbito puede hacer que esos objetos sean inaccesibles para el administrador. Si el ámbito modificado se empareja con uno o varios roles, asegúrese de que las actualizaciones del ámbito no hagan que ningún par de rol/ámbito sea inutilizable.

Para crear y administrar ámbitos, siga estos pasos:

  1. Inicie sesión en Web Studio, haga clic en Administradores en el panel izquierdo y, a continuación, haga clic en la ficha Ámbitos.

  2. Siga las instrucciones de la tarea que quiera completar:

    • Crear un ámbito: Haga clic en Crear nuevo ámbito en la barra de acciones. Introduzca un nombre y una descripción. Para incluir todos los objetos de un tipo determinado (por ejemplo, Grupos de entrega), seleccione el tipo de objeto. Para incluir objetos específicos, expanda el tipo y, a continuación, seleccione objetos individuales (por ejemplo, Grupos de entrega utilizados por el equipo de ventas).
    • Copiar un ámbito: Seleccione el ámbito y, a continuación, haga clic en Copiar ámbito en la barra de acciones. Introduzca un nombre y una descripción. Cambie los tipos de objetos y los objetos, según sea necesario.
    • Editar un ámbito: Seleccione el ámbito y, a continuación, haga clic en Editar ámbito en la barra de acciones. Cambie el nombre, la descripción, los tipos de objetos y los objetos, según sea necesario.
    • Eliminar un ámbito: Seleccione el ámbito y, a continuación, haga clic en Eliminar ámbito en la barra de acciones. Cuando se le solicite, confirme la eliminación.

Configurar la administración de inquilinos

Configure la administración de inquilinos para crear particiones de administración dentro de un único sitio de Citrix Virtual Apps and Desktops. Cada inquilino tiene recursos y configuraciones segregados, como catálogos de máquinas y grupos de entrega. Los administradores con acceso a un inquilino específico solo pueden administrar los recursos y las configuraciones asociados a ese inquilino. Los casos de uso de ejemplo incluyen empresas con diferentes silos de negocio (divisiones independientes o equipos de administración de TI separados) en un único sitio.

A grandes rasgos, el flujo de trabajo para configurar la administración de inquilinos incluye:

  1. Crear inquilinos
  2. Agregar administradores para inquilinos

Crear inquilinos

Cree un inquilino creando un ámbito de inquilino. Los pasos detallados son los siguientes:

  1. Inicie sesión en Web Studio, haga clic en Administradores en el panel izquierdo y, a continuación, haga clic en la ficha Ámbitos.
  2. Haga clic en *Crear ámbito** para iniciar la creación del inquilino.
  3. Introduzca los siguientes detalles para el ámbito del inquilino:
    1. Escriba un nombre descriptivo para el ámbito. Este nombre también sirve como identificador del inquilino.
    2. (Opcional) Introduzca una breve descripción.
    3. Seleccione Ámbito de inquilino.
    4. Si es necesario, seleccione los objetos asociados al inquilino. También puede añadir objetos a los ámbitos de inquilino al crear o administrar objetos.
    5. Haga clic en Aceptar para completar la creación.

Una vez completado, puede ver:

  • El nuevo registro de ámbito de inquilino aparece en la lista de ámbitos, identificado como Inquilino en la columna Tipo.
  • El nombre del ámbito se muestra en la lista desplegable Todos los inquilinos situada en la esquina superior derecha de Web Studio.

Al trabajar con un ámbito de inquilino, tenga en cuenta estas consideraciones:

  • La propiedad de inquilino sigue un orden de asignación jerárquico: Alojamiento > Catálogos de máquinas > Grupos de entrega > Aplicaciones. Los objetos de nivel inferior heredan la propiedad de inquilino de los objetos de nivel superior. Por ejemplo, al seleccionar un grupo de entrega para un ámbito de inquilino, asegúrese de seleccionar también el alojamiento y el catálogo de máquinas asociados. De lo contrario, el grupo de entrega no podrá heredar la propiedad del inquilino.
  • Después de crear un ámbito de inquilino, puede editar las asignaciones de inquilinos modificando objetos. Cuando se cambia una asignación de inquilino, sigue estando sujeta a la restricción de que debe asignarse a los mismos inquilinos o a un subconjunto de esos inquilinos. Sin embargo, los objetos de nivel inferior no se reevalúan cuando cambian las asignaciones de inquilinos. Asegúrese de que los objetos estén correctamente restringidos cuando cambie las asignaciones de inquilinos. Por ejemplo, si un catálogo de máquinas está disponible para TenantA y TenantB, puede crear un grupo de entrega para TenantA y otro para TenantB. (TenantA y TenantB están asociados a ese catálogo de máquinas.) A continuación, puede cambiar el catálogo de máquinas para que se asocie solo con TenantA. Como resultado, el grupo de entrega asociado con TenantB deja de ser válido.

Añadir administradores para inquilinos

Añada administradores para un inquilino asignando cuentas de usuario con roles de administrador e inquilinos.

Para añadir un administrador para un inquilino, siga estos pasos:

  1. Inicie sesión en Web Studio, haga clic en Administradores en el panel izquierdo y, a continuación, haga clic en la ficha Administradores.
  2. Haga clic en Agregar administrador y siga estos pasos para completar:
    1. Escriba o busque el nombre de la cuenta de usuario y haga clic en Siguiente.
    2. Seleccione Acceso personalizado y, a continuación, seleccione uno o varios roles (por ejemplo, Administrador de catálogos de máquinas) según sea necesario.
    3. Haga clic en Modificar ámbitos junto a cada rol, cambie el ámbito de Todos al ámbito de inquilino deseado y, a continuación, haga clic en Guardar.
  3. Haga clic en Siguiente.
  4. En la página Revisar y confirmar, haga clic en Enviar invitación.

Crear informes

Puede crear dos tipos de informes de administración delegada:

  • Un informe HTML que enumera los pares de rol/ámbito asociados a un administrador, además de los permisos individuales para cada tipo de objeto (por ejemplo, grupos de entrega y catálogos de máquinas). Este informe se genera desde Web Studio.

    Para crear este informe, siga estos pasos:

    1. Inicie sesión en Web Studio, haga clic en Administradores en el panel izquierdo.
    2. Seleccione un administrador y, a continuación, haga clic en Crear informe en la barra de acciones.

    También puede solicitar este informe al crear, copiar o modificar un administrador.

  • Un informe HTML o CSV que asigna todos los roles integrados y personalizados a los permisos. Este informe se genera ejecutando un script de PowerShell llamado OutputPermissionMapping.ps1.

    Para ejecutar este script, debe ser un administrador con todos los permisos, un administrador de solo lectura o un administrador personalizado con permiso para leer roles. El script se encuentra en: Program Files\Citrix\DelegatedAdmin\SnapIn\Citrix.DelegatedAdmin.Admin.V1\Scripts.

    Sintaxis:

    OutputPermissionMapping.ps1 [-Help] [-Csv] [-Path string] [-AdminAddress string] [-Show] [CommonParameters]

    Parámetro Descripción
    -Help Muestra la ayuda del script.
    -Csv Especifica la salida CSV. Predeterminado = HTML
    -Path string Dónde escribir la salida. Predeterminado = stdout
    -AdminAddress string Dirección IP o nombre de host del Delivery Controller™ al que conectarse. Predeterminado = localhost
    -Show (Válido solo cuando también se especifica el parámetro -Path) Cuando se escribe la salida en un archivo, -Show hace que la salida se abra en un programa adecuado, como un explorador web.
    Parámetros comunes Verbose, Debug, ErrorAction, ErrorVariable, WarningAction, WarningVariable, OutBuffer y OutVariable. Para obtener más información, consulte la documentación de Microsoft.

El siguiente ejemplo escribe una tabla HTML en un archivo llamado Roles.html y abre la tabla en un explorador web.

& "$env:ProgramFiles\Citrix\DelegatedAdmin\SnapIn\
Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1"
-Path Roles.html –Show
<!--NeedCopy-->

El siguiente ejemplo escribe una tabla CSV en un archivo llamado Roles.csv. La tabla no se muestra.

& "$env:ProgramFiles\Citrix\DelegatedAdmin\SnapIn\
Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1"
–CSV -Path Roles.csv
<!--NeedCopy-->

Desde un símbolo del sistema de Windows, el comando de ejemplo anterior es:

powershell -command "& '%ProgramFiles%\Citrix\DelegatedAdmin\SnapIn\
Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1'
-CSV -Path Roles.csv"
<!--NeedCopy-->
Administración delegada
May 30, 2026
Contribución de: 
C
May 30, 2026
Contribución de: 
C

En este artículo

Comentarios sobre el sitio | Your privacy choices footer linkSus opciones de privacidad | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.