Product Documentation

Configuración de permisos para VDA anteriores a XenDesktop 7

Nov 18, 2015

Si los usuarios tienen VDA anteriores a XenDesktop 7 instalados en sus dispositivos, Director complementa la información de la implementación con estados y mediciones en tiempo real a través de la Administración remota de Windows (WinRM).

Además, use este procedimiento para configurar WinRM para su uso con Remote PC en XenDesktop 5.6 Feature Pack 1.

De forma predeterminada, solo los administradores locales de la máquina de escritorio (por lo general, los administradores de dominio y otros usuarios con privilegios) tienen los permisos necesarios para ver los datos en tiempo real.

Para obtener más información acerca de la instalación y la configuración de WinRM, consulte CTX125243.

Para permitir que otros usuarios vean los datos en tiempo real, debe concederles permisos. Por ejemplo, supongamos que hay varios usuarios de Director (HelpDeskUserA, HelpDeskUserB, etc.) que son miembros de un grupo de seguridad de Active Directory denominado HelpDeskUsers. Al grupo se le ha asignado el rol de administrador del servicio de asistencia de Studio, por lo que los miembros obtienen los permisos necesarios de Delivery Controller. Sin embargo, el grupo necesita además obtener acceso a la información desde la máquina de escritorio.

Para otorgar el acceso necesario, puede configurar los permisos requeridos mediante uno de los siguientes métodos:
  • Concesión de permisos a los usuarios de Director (modelo de suplantación)
  • Concesión de permisos al servicio de Director (modelo de subsistema de confianza)

Concesión de permisos a los usuarios de Director (modelo de suplantación)

De forma predeterminada, Director utiliza un modelo de suplantación: la conexión de WinRM con la máquina de escritorio se realiza mediante la identidad del usuario de Director. De este modo, el usuario debe tener los permisos correspondientes en el escritorio.

Puede configurar estos permisos en uno de los dos modos (descritos más adelante en este tema):

  1. Agregar usuarios al grupo de administradores local en la máquina de escritorio.
  2. Conceder a los usuarios los permisos específicos requeridos por Director. Esta opción impide conceder permisos administrativos completos en la máquina a los usuarios de Director (por ejemplo, el grupo HelpDeskUsers).

Concesión de permisos al servicio de Director (modelo de subsistema de confianza)

En lugar de proporcionar a los usuarios de Director permisos en las máquinas de escritorio, puede configurar Director para que realice las conexiones de WinRM mediante una identidad de servicio y que conceda los permisos adecuados solo a esa identidad de servicio.

Con este modelo, los usuarios de Director no tienen permisos para realizar llamadas de WinRM por sí mismos. Solo pueden obtener acceso a los datos mediante Director.

El grupo de aplicaciones Director en IIS está configurado para que se ejecute como la identidad de servicio. De forma predeterminada, esta es la cuenta virtual APPPOOL\Director. Cuando establece conexiones remotas, esta cuenta aparece como la cuenta del equipo de Active Directory del servidor, por ejemplo, MyDomain\DirectorServer$. Debe configurar esta cuenta con los permisos adecuados.

Si se implementan varios sitios Web de Director, debe colocar cada cuenta de equipo del servidor Web en un grupo de seguridad de Active Directory configurado con los permisos adecuados.

Para configurar Director de modo que utilice la identidad de servicio para WinRM en lugar de la identidad del usuario, configure el siguiente parámetro como se describe en Configuración avanzada:

Service.Connector.WinRM.Identity = Service

Puede configurar estos permisos de una de las siguientes maneras:

  1. Agregar la cuenta del servicio al grupo de administradores local en la máquina de escritorio.
  2. Conceda a la cuenta de servicio los permisos específicos requeridos por Director (descritos a continuación). Esta opción impide conceder permisos administrativos completos a la cuenta de servicio en la máquina.

Para asignar permisos a un usuario o grupo específico

Los siguientes permisos son obligatorios para que Director acceda a la información que requiere desde la máquina de escritorio a través de WinRM:

  • Permisos de lectura y ejecución en RootSDDL de WinRM
  • Permisos de espacio de nombres WMI:
    • root/cimv2: acceso remoto
    • root/citrix: acceso remoto
    • root/RSOP: acceso remoto y ejecución
  • Pertenencia a estos grupos locales:
    • Usuarios de Performance Monitor
    • Lectores de registros de sucesos

La herramienta ConfigRemoteMgmt.exe se utiliza para conceder automáticamente estos permisos. En los medios de instalación de XenDesktop, se encuentra en las carpetas x86\Virtual Desktop Agent y x64\Virtual Desktop Agent y en la carpeta de herramientas de los medios de instalación. Debe conceder permisos a todos los usuarios de Director.

Para conceder permisos a un grupo de seguridad, usuario o cuenta de equipo de Active Directory, ejecute la herramienta con privilegios administrativos desde un símbolo del sistema con los siguientes argumentos:

ConfigRemoteMgmt.exe /configwinrmuser domain\name

donde name es un grupo de seguridad, usuario o cuenta de equipo.

Por ejemplo, para conceder los permisos necesarios a un grupo de seguridad de usuarios:

ConfigRemoteMgmt.exe /configwinrmuser MyDomain\HelpDeskUsers

O bien, para conceder los permisos a una cuenta de equipo específica:

ConfigRemoteMgmt.exe /configwinrmuser MyDomain\DirectorServer$