Administración delegada

El modelo de administración delegada ofrece flexibilidad para adaptarse al modo en que la organización desee delegar actividades de administración. Para ello, utiliza el control basado en los roles y los objetos. La administración delegada se adapta a implementaciones de todos los tamaños y permite configurar permisos con mucho más detalle a medida que la implementación adquiere complejidad. La administración delegada utiliza tres conceptos: los administradores, los roles y los ámbitos.

  • Administradores: Un administrador representa una persona o un grupo de usuarios identificados por su cuenta de Active Directory. Cada administrador está asociado a uno o varios pares de rol y ámbito.

  • Roles: Un rol representa una función de trabajo para la que se han definido y asociado permisos. Por ejemplo, el rol del administrador de grupos de entrega tiene permisos tales como “Crear grupo de entrega” y “Eliminar escritorio del grupo de entrega”. Un administrador puede tener varios roles en un sitio, de modo que una persona puede ser un administrador de grupos de entrega y un administrador de catálogos de máquinas. Los roles pueden ser integrados o personalizados.

    Los roles integrados son:

    Rol Permisos
    Administrador total Puede realizar todas las tareas y operaciones. Un administrador total siempre se combina con Todos los ámbitos.
    Administrador de solo lectura Puede ver todos los objetos en los ámbitos especificados e información global, pero no puede modificar nada. Por ejemplo, un administrador de solo lectura con Ámbito = Londres puede ver todos los objetos globales (como, por ejemplo, el registro de configuración) y todos los objetos del ámbito Londres (por ejemplo, grupos de entrega de Londres). No obstante, ese administrador no puede ver los objetos del ámbito de Nueva York (a menos que los ámbitos de Londres y Nueva York se superpongan).
    Administrador de asistencia técnica Puede ver los grupos de entrega y administrar las sesiones y las máquinas asociadas a dichos grupos. Puede ver el catálogo de máquinas y la información del host de los grupos de entrega que están bajo supervisión. También puede realizar tareas de administración de sesiones y de administración de energía en las máquinas de esos grupos de entrega.
    Administrador de catálogos de máquinas Puede crear y administrar catálogos de máquinas y aprovisionar máquinas en ellos. Puede crear catálogos de máquinas a partir de la infraestructura de virtualización, Provisioning Services y máquinas físicas. Este rol puede administrar las imágenes base e instalar software, pero no puede asignar las aplicaciones o los escritorios a los usuarios.
    Administrador de grupos de entrega Puede entregar aplicaciones, escritorios y máquinas, además de administrar las sesiones asociadas. También puede administrar las configuraciones de aplicaciones y escritorios, tales como las configuraciones de directivas y de administración de energía.
    Administrador de host Puede administrar conexiones de host y sus parámetros de recursos asociados. No puede entregar máquinas, aplicaciones ni escritorios a los usuarios.

    En algunas ediciones de producto, se pueden crear roles personalizados (para que coincidan con los requisitos de la empresa) y delegar permisos con mayor flexibilidad. Puede usar los roles personalizados para asignar permisos a la granularidad de una acción o tarea en una consola.

  • Ámbitos: Un ámbito representa una colección de objetos. Los ámbitos se usan para agrupar objetos de una manera que sea relevante para la organización (por ejemplo, el conjunto de grupos de entrega utilizado por el equipo de ventas). Los objetos pueden estar en más de un ámbito; es como si estuvieran etiquetados con uno o más ámbitos. Hay un ámbito integrado: ‘Todo’, que contiene todos los objetos. El rol de administrador total siempre va asociado al ámbito Todo.

Ejemplo

La compañía XYZ ha decidido administrar aplicaciones y escritorios según el departamento (Cuentas, Ventas, y Almacén) y el sistema operativo de escritorio (Windows 7 o Windows 8). El administrador creó cinco ámbitos. Luego, etiquetó cada grupo de entrega con dos ámbitos: una para el departamento en el que se utilizan y otra para el sistema operativo.

Se crearon los siguientes administradores:

Administrador Roles Ámbitos
dominio/Fred Administrador total Todo (el rol de administrador total siempre tiene el ámbito Todo)
dominio/Rob Administrador de solo lectura Todas
dominio/Heidi Administrador de solo lectura, administrador de asistencia técnica Todo Ventas
dominio/adminalmacén Administrador de asistencia técnica Almacén
dominio/Miguel Administrador de grupos de entrega, administrador de catálogos de máquinas Win7
  • Fred es un administrador total y puede ver, modificar y eliminar todos los objetos del sistema.
  • Rob puede ver todos los objetos del sitio, pero no los puede modificar ni eliminar.
  • Heidi puede ver todos los objetos y puede realizar tareas de asistencia técnica en grupos de entrega del ámbito Ventas. De esta manera, ella puede administrar las sesiones y las máquinas asociadas a esos grupos, pero no puede realizar cambios en el grupo de entrega, tales como agregar o eliminar máquinas.
  • Todos los miembros del grupo de seguridad de Active Directory Adminalmacén pueden ver y realizar tareas de asistencia técnica en las máquinas del ámbito Almacén.
  • Miguel es un especialista de Windows 7, por lo que puede administrar todos los catálogos de máquinas de Windows 7 y puede entregar aplicaciones, escritorios y máquinas de Windows 7, independientemente de si se encuentran dentro del ámbito del departamento o no. El administrador se planteó si convertir a Miguel en administrador completo para el ámbito Win7. Sin embargo, descartó esa opción porque un administrador total también tiene derechos totales sobre todos los objetos no incluidos en ningún ámbito, como “sitio” y “administrador”.

Uso de la administración delegada

Por lo general, el número de administradores y la granularidad de sus permisos dependen del tamaño y la complejidad de la implementación.

  • En implementaciones pequeñas o de prueba de concepto, un administrador o un número reducido de ellos puede hacer cualquier cosa. No hay delegación. En este caso, cree a cada administrador con el rol integrado de administrador total, cuyo ámbito es Todo.
  • Las implementaciones grandes con más máquinas, aplicaciones y escritorios implican mayor delegación. Varios administradores pueden tener responsabilidades funcionales más específicas (roles). Por ejemplo, dos son administradores totales y los demás son administradores de asistencia técnica. Además, un administrador puede gestionar solamente grupos determinados de objetos (ámbitos), como los catálogos de máquinas. En este caso, cree nuevos ámbitos y administradores con uno de los roles integrados y los ámbitos correspondientes.
  • Incluso las implementaciones de gran envergadura pueden necesitar más ámbitos (o más específicos), además de diferentes administradores con roles poco comunes. En este caso, modifique o cree más ámbitos, cree roles personalizados y asocie a cada administrador con un rol personalizado o integrado, además de los ámbitos existentes y nuevos.

Para ofrecer mayor flexibilidad y facilidad de configuración, puede crear ámbitos al crear un administrador. También puede especificar los ámbitos al crear o modificar catálogos de máquinas o conexiones.

Crear y gestionar administradores

Cuando un administrador local crea un sitio, la cuenta de usuario de ese administrador se convierte automáticamente en administrador total con permisos completos sobre todos los objetos. Después de crear un sitio, los administradores locales no tienen privilegios especiales.

El rol de administrador total siempre tiene el ámbito Todo y esto no se puede cambiar.

De manera predeterminada, hay un administrador habilitado. Inhabilitar un administrador puede ser necesario si se va a crear un administrador, pero esa persona no comenzará a desempeñar sus tareas de administración hasta más adelante. En el caso de administradores existentes ya habilitados, es posible que quiera inhabilitar algunos de ellos mientras reorganiza sus objetos y ámbitos, para volver a habilitarlos de nuevo cuando la nueva configuración esté lista para aplicarse en el entorno. No se puede inhabilitar un administrador total si se trata del único administrador total habilitado en ese momento. La casilla de verificación para habilitar o inhabilitar está activa al crear, copiar o modificar un administrador.

Cuando se elimina un rol y su ámbito correspondiente al copiar, modificar o eliminar un administrador, se elimina solamente la relación entre el rol y el ámbito de ese administrador. No elimina ni el rol ni el ámbito. Tampoco afecta a ningún otro administrador que esté configurado con ese par de rol y ámbito.

Para administrar a los administradores, haga clic en Configuración > Administradores en el panel de navegación de Studio y, a continuación, haga clic en la ficha Administradores del panel central superior.

  • Crear un administrador: Haga clic en Crear administrador en el panel Acciones. Escriba o vaya al nombre de la cuenta de usuario, seleccione o cree un ámbito, y seleccione un rol. El nuevo administrador se habilita de forma predeterminada, aunque puede modificar este valor.
  • Copiar un administrador: Seleccione el administrador en el panel central y, a continuación, haga clic en Copiar administrador en el panel Acciones. Escriba o vaya al nombre de la cuenta de usuario. Puede seleccionar y, a continuación, modificar o eliminar las parejas de rol y ámbito, así como agregar otras nuevas. El nuevo administrador se habilita de forma predeterminada, aunque puede modificar este valor.
  • Modificar un administrador: Seleccione el administrador en el panel central y, a continuación, haga clic en Modificar administrador en el panel Acciones. Puede modificar o eliminar las parejas de rol y ámbito, así como agregar otras nuevas.
  • Eliminar un administrador: Seleccione el administrador en el panel central y, a continuación, haga clic en Eliminar administrador en el panel Acciones. No se puede eliminar un administrador total si se trata del único administrador total habilitado en ese momento.

Crear y gestionar roles

Cuando los administradores crean o editan un rol, solo pueden habilitar los permisos que ellos mismos tienen. Esto impide que los administradores creen un rol con más permisos de los que tienen actualmente y luego se lo asignen a sí mismos (o modifiquen un rol que ya tienen asignado).

Los nombres de rol pueden contener un máximo de 64 caracteres Unicode y no pueden incluir los siguientes caracteres: barra diagonal inversa, barra diagonal, punto y coma, dos puntos, almohadilla, coma, asterisco, signo de interrogación, signo igual, flecha izquierda o derecha, barra vertical, corchete izquierdo o derecho, paréntesis izquierdo o derecho, comillas dobles ni apóstrofe. Las descripciones pueden contener un máximo de 256 caracteres Unicode.

Los roles integrados no se pueden modificar ni eliminar. No se puede eliminar un rol personalizado si algún administrador lo está usando.

Nota:

Solo algunas ediciones de producto admiten los roles personalizados. Solamente las ediciones que admiten roles personalizados contienen entradas relacionadas en el panel Acciones.

Para administrar los roles, haga clic en Configuración > Administradores en el panel de navegación de Studio y, a continuación, haga clic en la ficha Roles del panel central superior.

  • Ver información detallada de un rol: selecciónelo en el panel central. La parte inferior del panel central muestra los tipos de objeto y los permisos asociados con el rol. Haga clic en la ficha Administradores en el panel inferior para mostrar una lista de los administradores que actualmente tienen ese rol.
  • Crear un rol personalizado: haga clic en Crear nuevo rol en el panel Acciones. Escriba un nombre y una descripción. Seleccione los tipos de objeto y los permisos pertinentes.
  • Copiar un rol: selecciónelo en el panel central y, a continuación, haga clic en Copiar rol en el panel Acciones. Cambie el nombre, la descripción, los tipos de objeto y los permisos, según sea necesario.
  • Modificar un rol personalizado: selecciónelo en el panel central y, a continuación, haga clic en Modificar rol en el panel Acciones. Cambie el nombre, la descripción, los tipos de objeto y los permisos, según sea necesario.
  • Eliminar un rol personalizado: selecciónelo en el panel central y, a continuación, haga clic en Eliminar rol en el panel Acciones. Cuando se le solicite, confirme la eliminación.

Crear y gestionar ámbitos

Cuando se crea un sitio, el único ámbito disponible es el ámbito ‘Todo’, que no se puede eliminar.

Puede crear ámbitos mediante el procedimiento siguiente. También puede crear ámbitos al tiempo que crea un administrador; cada administrador debe estar asociado a al menos un par rol/ámbito. Al crear o modificar escritorios, catálogos de máquinas, aplicaciones o hosts, es posible agregarlos a un ámbito existente. Si no se agregan a un ámbito específico, forman parte del ámbito “Todo”.

En la creación de sitios no se puede aplicar ámbitos. Tampoco se puede aplicar ámbitos a los objetos de la administración delegada, es decir, a los propios ámbitos y roles. Los objetos que no pueden incluirse en ámbitos específicos se integran en el ámbito “Todo” (los administradores totales siempre disponen del ámbito Todo). Las máquinas, las acciones de energía, los escritorios y las sesiones no tienen un ámbito directo. Se pueden asignar permisos a los administradores sobre estos objetos a través de los catálogos de máquinas o grupos de entrega asociados.

Los nombres de los ámbitos pueden contener un máximo de 64 caracteres Unicode. Sin embargo, los nombres de los ámbitos no pueden contener estos caracteres: barra diagonal inversa, barra diagonal, punto y coma, dos puntos, almohadilla, coma, asterisco, signo de interrogación, signo igual, flecha izquierda o derecha, barra vertical, corchete izquierdo o derecho, paréntesis izquierdo o derecho, comillas dobles ni apóstrofe. Las descripciones pueden contener un máximo de 256 caracteres Unicode.

Al copiar o modificar un ámbito, tenga en cuenta que eliminar objetos del ámbito puede tener como consecuencia que el administrador no pueda acceder a ellos. Si el ámbito modificado está emparejado con uno o varios roles, compruebe que los cambios que haga en el ámbito no hagan que la pareja de rol y ámbito quede inutilizable.

Para administrar ámbitos, haga clic en Configuración > Administradores en el panel de navegación de Studio y, a continuación, haga clic en la ficha Ámbitos del panel central superior.

  • Crear un ámbito: haga clic en Crear ámbito en el panel Acciones. Escriba un nombre y una descripción. Para incluir todos los objetos de un tipo concreto (por ejemplo, grupos de entrega), seleccione el tipo de objeto. Para incluir objetos concretos, expanda el tipo y, a continuación, seleccione objetos individualmente (por ejemplo, grupos de entrega individuales utilizados por el equipo de Ventas).
  • Para copiar un ámbito: Selecciónelo en el panel central y, a continuación, haga clic en Copiar ámbito en el panel Acciones. Escriba un nombre y una descripción. Cambie los objetos y los tipos de objeto, según sea necesario.
  • Para modificar un ámbito: Selecciónelo en el panel central y, a continuación, haga clic en Modificar ámbito en el panel Acciones. Cambie el nombre, la descripción, los tipos de objeto y los objetos, según sea necesario.
  • Para eliminar un ámbito: Selecciónelo en el panel central y, a continuación, haga clic en Eliminar ámbito en el panel Acciones. Cuando se le solicite, confirme la eliminación.

Crear informes

Puede generar dos tipos de informes de administración delegada:

  • Un informe HTML que ofrece una lista de las parejas de rol y ámbito asociadas a un administrador, además de los permisos individuales de cada tipo de objeto (por ejemplo, grupos de entrega y catálogos de máquinas). Este informe se genera desde Studio.

    Para crear este informe, haga clic en Configuración > Administradores en el panel de navegación de Studio. Seleccione un administrador en el panel central y, a continuación, haga clic en Crear informe en el panel Acciones.

    También puede solicitar este informe al crear, copiar o modificar un administrador.

  • Un informe HTML o CSV donde figuran todas las asignaciones de roles integrados y personalizados con sus correspondientes permisos. Este informe se genera al ejecutar un script de PowerShell denominado OutputPermissionMapping.ps1.

    Para ejecutar este script, es necesario ser un administrador total, un administrador de solo lectura, o un administrador personalizado que cuente con permiso para leer roles. El script se encuentra en: Archivos de programa\Citrix\DelegatedAdmin\SnapIn\Citrix.DelegatedAdmin.Admin.V1\Scripts.

    Sintaxis:

    OutputPermissionMapping.ps1 [-Help] [-Csv] [-Path string] [-AdminAddress string] [-Show] [CommonParameters]

    Parámetro Descripción
    -Help Muestra la ayuda del script.
    -Csv Especifica el archivo CSV resultante. Valor predeterminado = HTML
    -Path string Destino de escritura de los resultados. Valor predeterminado = stdout
    -AdminAddress string La dirección IP o el nombre de host del Delivery Controller con el que hay que establecer conexión. Predeterminado = localhost
    -Show (Válido solamente cuando el parámetro -Path también se especifica) Cuando se escribe el resultado en un archivo, -Show hace que dicho archivo se abra con el programa adecuado como, por ejemplo, un explorador web.
    CommonParameters Verbose, Debug, ErrorAction, ErrorVariable, WarningAction, WarningVariable, OutBuffer y OutVariable. Para obtener más información, consulte la documentación de Microsoft.

El siguiente ejemplo escribe una tabla HTML en un archivo denominado Roles.html y abre la tabla en un explorador web.

& "$env:ProgramFiles\Citrix\DelegatedAdmin\SnapIn\
Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1"
-Path Roles.html –Show

El siguiente ejemplo escribe una tabla CSV en un archivo denominado Roles.csv. La tabla no se muestra.

& "$env:ProgramFiles\Citrix\DelegatedAdmin\SnapIn\
Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1"
–CSV -Path Roles.csv

En una ventana de símbolo de sistema de Windows, el comando para el ejemplo anterior es:

powershell -command "& '%ProgramFiles%\Citrix\DelegatedAdmin\SnapIn\
Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1'
-CSV -Path Roles.csv"