Product Documentation

Administración delegada

Nov 18, 2015
El modelo de administración delegada ofrece flexibilidad para adaptarse al modo en que la organización desee delegar actividades de administración. Para ello, utiliza el control basado en los roles y los objetos. La administración delegada se adapta a implementaciones de todos los tamaños y permite configurar permisos con mucho más detalle a medida que la implementación adquiere complejidad. La administración delegada utiliza tres conceptos: los administradores, los roles y los ámbitos.
  • Administradores. Un administrador representa una persona o un grupo de usuarios identificados por su cuenta de Active Directory. Cada administrador está asociado a uno o más roles y pares de ámbito.
  • Roles. Un rol representa una función de trabajo para la que se han definido y asociado permisos. Por ejemplo, el rol del administrador del grupo de entrega tiene permisos tales como "Crear grupo de entrega" y "Eliminar escritorio del grupo de entrega". Un administrador puede tener varios roles en un sitio, de modo que una persona puede ser un administrador del grupo de entrega y un administrador del catálogo de máquinas. Los roles pueden ser integrados o personalizados.
    Los roles integrados son:
    Rol Permisos
    Administrador total Puede realizar todas las tareas y operaciones. Un administrador total siempre se combina con Todos los ámbitos.
    Administrador de solo lectura Puede ver todos los objetos en los ámbitos especificados, así como información global, pero no puede modificar nada. Por ejemplo, un administrador de solo lectura con Ámbito = Londres puede ver todos los objetos globales (como, por ejemplo, el registro de configuración) y todos los objetos del ámbito Londres (por ejemplo, grupos de entrega de Londres). No obstante, ese administrador no puede ver los objetos del ámbito de Nueva York (a menos que los ámbitos de Londres y Nueva York se superpongan).
    Administrador de asistencia técnica Puede ver los grupos de entrega y administrar las sesiones y las máquinas asociadas con dichos grupos. Puede ver el catálogo de máquinas y la información del host de los grupos de entrega que están bajo supervisión. También puede realizar tareas de administración de sesiones y de administración de energía de las máquinas de esos grupos de entrega.
    Administrador de catálogo de máquinas Puede crear y administrar catálogos de máquinas y aprovisionar máquinas en ellos. Puede crear catálogos de máquinas a partir de la infraestructura de virtualización, Provisioning Services y máquinas físicas. Este rol puede administrar las imágenes base e instalar software, pero no puede asignar las aplicaciones o los escritorios a los usuarios.
    Administrador del grupo de entrega Puede entregar aplicaciones, escritorios y máquinas, además de administrar las sesiones asociadas. También puede administrar las configuraciones de aplicaciones y escritorios, tales como las configuraciones de directivas y de administración de energía.
    Administrador de host Puede administrar conexiones de host y sus parámetros de recursos asociados. No puede entregar máquinas, aplicaciones ni escritorios a los usuarios.

    En algunas ediciones de XenDesktop, se pueden crear roles personalizados (para que coincidan con los requisitos de la organización) y delegar permisos con mayor flexibilidad. Puede usar los roles personalizados para asignar permisos a la granularidad de una acción o tarea en una consola.

  • Ámbitos. Un ámbito representa una colección de objetos. Los ámbitos se usan para agrupar objetos de una manera que sea relevante para la organización (por ejemplo, el conjunto de grupos de entrega utilizado por el equipo de ventas). Los objetos pueden estar en más de un ámbito; es como si estuvieran etiquetados con uno o más ámbitos. Hay un ámbito integrado: 'Todo', que contiene todos los objetos. El rol de administrador total siempre va asociado al ámbito Todo.

Ejemplo

La compañía XYZ ha decidido administrar aplicaciones y escritorios según el departamento (Cuentas, Ventas, y Almacén) y el sistema operativo de escritorio (Windows 7 o Windows 8). El administrador creó cinco ámbitos. Luego, etiquetó cada grupo de entrega con dos ámbitos: una para el departamento en el que se utilizan y otra para el sistema operativo.

Se crearon los siguientes administradores:
Administrador Roles Ámbitos

dominio/Fred

Administrador total

Todo (el rol de administrador total siempre tiene el ámbito Todo)

dominio/Rob

Administrador de solo lectura

All

dominio/Heidi

Administrador de solo lectura

Administrador de asistencia técnica

All

Ventas

dominio/adminalmacén

Administrador de asistencia técnica

Almacén

dominio/Peter

Administrador del grupo de entrega y administrador del catálogo de máquinas

Win7

  • Fred es un administrador total y puede ver, modificar y eliminar todos los objetos del sistema.
  • Rob puede ver todos los objetos del sitio, pero no los puede modificar ni eliminar.
  • Heidi puede ver todos los objetos y puede realizar tareas de asistencia técnica en grupos de entrega del ámbito Ventas. De esta manera, ella puede administrar las sesiones y las máquinas asociadas a esos grupos, pero no puede realizar cambios en el grupo de entrega, tales como agregar o eliminar máquinas.
  • Todos los miembros del grupo de seguridad de Active Directory Adminalmacén pueden ver y realizar tareas de asistencia técnica en las máquinas del ámbito Almacén.
  • Miguel es un especialista de Windows 7, por lo que puede administrar todos los catálogos de máquinas de Windows 7 y puede entregar aplicaciones, escritorios y máquinas de Windows 7, independientemente de si se encuentran dentro del ámbito del departamento o no. El administrador se planteó si convertir a Miguel en administrador total del ámbito Win7; sin embargo, descartó esa opción porque un administrador total también tiene derechos totales sobre todos los objetos no incluidos en ningún ámbito, como "sitio" y "administrador".

Uso de la administración delegada

Por lo general, el número de administradores y la granularidad de sus permisos dependen del tamaño y la complejidad de la implementación.
  • En implementaciones pequeñas o de prueba de concepto, todas las tareas recaen en un administrador o un número reducido de ellos; no se delega nada. En este caso, cree a cada administrador con el rol integrado de administrador total, cuyo ámbito es Todo.
  • Las implementaciones grandes con más máquinas, aplicaciones y escritorios implican mayor delegación. Varios administradores pueden tener responsabilidades funcionales más específicas (roles). Por ejemplo, dos son administradores totales y los demás son administradores de asistencia técnica. Además, un administrador puede gestionar solamente grupos determinados de objetos (ámbitos), como los catálogos de máquinas. En este caso, cree nuevos ámbitos y administradores con uno de los roles integrados y los ámbitos correspondientes.
  • Incluso las implementaciones de gran envergadura pueden necesitar más ámbitos (o más específicos), además de diferentes administradores con roles poco comunes. En este caso, modifique o cree ámbitos adicionales, cree roles personalizados y asocie a cada administrador con un rol personalizado o integrado, además de los ámbitos existentes y nuevos.

Para ofrecer mayor flexibilidad y facilidad de configuración, puede crear nuevos ámbitos al crear un administrador. También puede especificar los ámbitos al crear o modificar catálogos de máquinas o hosts.