Administración delegada

El modelo de administración delegada ofrece flexibilidad para adaptarse al modo en que la organización desee delegar actividades de administración. Para ello, utiliza el control basado en los roles y los objetos. La administración delegada se adapta a implementaciones de todos los tamaños y permite configurar permisos con mucho más detalle a medida que la implementación adquiere complejidad. La administración delegada utiliza tres conceptos: los administradores, los roles y los ámbitos.

  • Administradores. Un administrador representa una persona o un grupo de usuarios identificados por su cuenta de Active Directory. Cada administrador está asociado a uno o varios pares de rol y ámbito.

  • Roles. Un rol representa una función de trabajo para la que se han definido y asociado permisos. Por ejemplo, el rol del administrador del grupo de entrega tiene permisos tales como “Crear grupo de entrega” y “Eliminar escritorio del grupo de entrega”. Un administrador puede tener varios roles en un sitio, de modo que una persona puede ser un administrador del grupo de entrega y un administrador del catálogo de máquinas. Los roles pueden ser integrados o personalizados.

    Los roles integrados son:

    Rol Permisos
    Administrador total Puede realizar todas las tareas y operaciones. Un administrador total siempre se combina con Todos los ámbitos.
    Administrador de solo lectura Puede ver todos los objetos en los ámbitos especificados, así como información global, pero no puede modificar nada. Por ejemplo, un administrador de solo lectura con Ámbito = Londres puede ver todos los objetos globales (como, por ejemplo, el registro de configuración) y todos los objetos del ámbito Londres (por ejemplo, grupos de entrega de Londres). No obstante, ese administrador no puede ver los objetos del ámbito de Nueva York (a menos que los ámbitos de Londres y Nueva York se superpongan).
    Administrador de asistencia técnica Puede ver los grupos de entrega y administrar las sesiones y las máquinas asociadas con dichos grupos. Puede ver el catálogo de máquinas y la información del host de los grupos de entrega que están bajo supervisión. También puede realizar tareas de administración de sesiones y de administración de energía de las máquinas de esos grupos de entrega.
    Administrador de catálogo de máquinas Puede crear y administrar catálogos de máquinas y aprovisionar máquinas en ellos. Puede crear catálogos de máquinas a partir de la infraestructura de virtualización, Provisioning Services y máquinas físicas. Este rol puede administrar las imágenes base e instalar software, pero no puede asignar las aplicaciones o los escritorios a los usuarios.
    Administrador de grupo de entrega Puede entregar aplicaciones, escritorios y máquinas, además de administrar las sesiones asociadas. También puede administrar las configuraciones de aplicaciones y escritorios, tales como las configuraciones de directivas y de administración de energía.
    Administrador de host Puede administrar conexiones de host y sus parámetros de recursos asociados. No puede entregar máquinas, aplicaciones ni escritorios a los usuarios.

    En algunas ediciones de producto, se pueden crear roles personalizados (para que coincidan con los requisitos de la empresa) y delegar permisos con mayor flexibilidad. Puede usar los roles personalizados para asignar permisos a la granularidad de una acción o tarea en una consola.

  • Ámbitos. Un ámbito representa una colección de objetos. Los ámbitos se usan para agrupar objetos de una manera que sea relevante para la organización (por ejemplo, el conjunto de grupos de entrega utilizado por el equipo de ventas). Los objetos pueden estar en más de un ámbito; es como si estuvieran etiquetados con uno o más ámbitos. Hay un ámbito integrado: ‘Todo’, que contiene todos los objetos. El rol de administrador total siempre va asociado al ámbito Todo.

Ejemplo

La compañía XYZ ha decidido administrar aplicaciones y escritorios según el departamento (Cuentas, Ventas, y Almacén) y el sistema operativo de escritorio (Windows 7 o Windows 8). El administrador creó cinco ámbitos. Luego, etiquetó cada grupo de entrega con dos ámbitos: una para el departamento en el que se utilizan y otra para el sistema operativo.

Se crearon los siguientes administradores:

Administrador Roles Ámbitos
dominio/Fred Administrador total Todo (el rol de administrador total siempre tiene el ámbito Todo)
dominio/Rob Administrador de solo lectura Todos
dominio/Heidi Administrador de solo lectura, administrador de asistencia técnica Todo Ventas
dominio/adminalmacén Administrador de asistencia técnica Almacén
dominio/Miguel Administrador del grupo de entrega, administrador del catálogo de máquinas Win7
  • Fred es un administrador total y puede ver, modificar y eliminar todos los objetos del sistema.
  • Rob puede ver todos los objetos del sitio, pero no los puede modificar ni eliminar.
  • Heidi puede ver todos los objetos y puede realizar tareas de asistencia técnica en grupos de entrega del ámbito Ventas. De esta manera, ella puede administrar las sesiones y las máquinas asociadas a esos grupos, pero no puede realizar cambios en el grupo de entrega, tales como agregar o eliminar máquinas.
  • Todos los miembros del grupo de seguridad de Active Directory Adminalmacén pueden ver y realizar tareas de asistencia técnica en las máquinas del ámbito Almacén.
  • Miguel es un especialista de Windows 7, por lo que puede administrar todos los catálogos de máquinas de Windows 7 y puede entregar aplicaciones, escritorios y máquinas de Windows 7, independientemente de si se encuentran dentro del ámbito del departamento o no. El administrador se planteó si convertir a Miguel en administrador total del ámbito Win7; sin embargo, descartó esa opción porque un administrador total también tiene derechos totales sobre todos los objetos no incluidos en ningún ámbito, como “sitio” y “administrador”.

Uso de la administración delegada

Por lo general, el número de administradores y la granularidad de sus permisos dependen del tamaño y la complejidad de la implementación.

  • En implementaciones pequeñas o de prueba de concepto, todas las tareas recaen en un administrador o un número reducido de ellos; no se delega nada. En este caso, cree a cada administrador con el rol integrado de administrador total, cuyo ámbito es Todo.
  • Las implementaciones grandes con más máquinas, aplicaciones y escritorios implican mayor delegación. Varios administradores pueden tener responsabilidades funcionales más específicas (roles). Por ejemplo, dos son administradores totales y los demás son administradores de asistencia técnica. Además, un administrador puede gestionar solamente grupos determinados de objetos (ámbitos), como los catálogos de máquinas. En este caso, cree nuevos ámbitos y administradores con uno de los roles integrados y los ámbitos correspondientes.
  • Incluso las implementaciones de gran envergadura pueden necesitar más ámbitos (o más específicos), además de diferentes administradores con roles poco comunes. En este caso, modifique o cree ámbitos adicionales, cree roles personalizados y asocie a cada administrador con un rol personalizado o integrado, además de los ámbitos existentes y nuevos.

Para ofrecer mayor flexibilidad y facilidad de configuración, puede crear nuevos ámbitos al crear un administrador. También puede especificar los ámbitos al crear o modificar catálogos de máquinas o conexiones.

Crear y gestionar administradores

Cuando un administrador local crea un sitio, la cuenta de usuario de ese administrador se convierte automáticamente en administrador total con permisos completos sobre todos los objetos. Después de crear un sitio, los administradores locales no tienen privilegios especiales.

El rol de administrador total siempre tiene el ámbito Todo y esto no se puede cambiar.

De manera predeterminada, hay un administrador habilitado. Inhabilitar un administrador puede ser necesario si se va a crear un nuevo administrador pero esa persona no comenzará a desempeñar sus tareas de administración hasta más adelante. En el caso de administradores existentes ya habilitados, es posible que quiera inhabilitar algunos de ellos mientras reorganiza sus objetos y ámbitos, para volver a habilitarlos de nuevo cuando la nueva configuración esté lista para aplicarse en el entorno. No se puede inhabilitar un administrador si se trata del único administrador total habilitado en ese momento. La casilla de verificación para habilitar o inhabilitar está activa al crear, copiar o modificar un administrador.

Cuando se elimina un rol y su ámbito correspondiente al copiar, modificar o eliminar un administrador, se elimina solamente la relación entre el rol y el ámbito de ese administrador. Es decir, no se elimina el rol o el ámbito, ni tampoco afecta a ningún otro administrador configurado con esa pareja de rol y ámbito.

Para administrar a los administradores, haga clic en Configuración > Administradores en el panel de navegación de Studio y, a continuación, haga clic en la ficha Administradores en el panel central superior.

  • Para crear un administrador, haga clic en Crear nuevo administrador en el panel Acciones. Escriba o vaya al nombre de la cuenta de usuario, seleccione o cree un ámbito, y seleccione un rol. El nuevo administrador se habilita de forma predeterminada, aunque puede modificar este valor.
  • Para copiar un administrador, selecciónelo en el panel central y, a continuación, haga clic en Copiar administrador en el panel Acciones. Escriba o vaya al nombre de la cuenta de usuario. Puede seleccionar y, a continuación, modificar o eliminar las parejas de rol y ámbito, así como agregar otras nuevas. El nuevo administrador se habilita de forma predeterminada, aunque puede modificar este valor.
  • Para modificar un administrador, selecciónelo en el panel central y, a continuación, haga clic en Modificar administrador en el panel Acciones. Puede modificar o eliminar las parejas de rol y ámbito, así como agregar otras nuevas.
  • Para eliminar un administrador, selecciónelo en el panel central y, a continuación, haga clic en Eliminar administrador en el panel Acciones. No se puede eliminar un administrador si se trata del único administrador total habilitado en ese momento.

Crear y gestionar roles

Los nombres de rol puede contener un máximo de 64 caracteres Unicode; no pueden incluir los siguientes caracteres: \ (barra diagonal inversa), / (barra diagonal), ; (punto y coma), : (dos puntos), # (almohadilla) , (coma), * (asterisco), ? (signo de interrogación), = (signo igual), < (flecha izquierda), > (flecha derecha), | (barra vertical, [] (corchete izquierdo o derecho), () (paréntesis izquierdo o derecho), “ (comillas dobles) y ‘ (apóstrofe). Las descripciones pueden contener un máximo de 256 caracteres Unicode.

Los roles integrados no se pueden modificar ni eliminar. No se puede eliminar un rol personalizado si algún administrador lo está usando.

Nota: Solo algunas ediciones admiten los roles personalizados. Las ediciones donde no se respaldan los roles personalizados no contienen las opciones correspondientes en el panel Acciones.

Para administrar los roles, haga clic en Configuración > Administradores en el panel de navegación de Studio y, a continuación, haga clic en la ficha Roles en el panel central superior.

  • Para ver información detallada de un rol, selecciónelo en el panel central. La parte inferior del panel central muestra los tipos de objeto y los permisos asociados con el rol. Haga clic en la ficha Administradores en el panel inferior para mostrar una lista de los administradores que actualmente tienen ese rol.
  • Para crear un rol personalizado, haga clic en Crear nuevo rol en el panel Acciones. Escriba un nombre y una descripción. Seleccione los tipos de objeto y los permisos pertinentes.
  • Para copiar un rol, selecciónelo en el panel central y, a continuación, haga clic en Copiar rol en el panel Acciones. Cambie el nombre, la descripción, los tipos de objeto y los permisos, según sea necesario.
  • Para modificar un rol personalizado, selecciónelo en el panel central y, a continuación, haga clic en Modificar rol en el panel Acciones. Cambie el nombre, la descripción, los tipos de objeto y los permisos, según sea necesario.
  • Para eliminar un rol personalizado, selecciónelo en el panel central y, a continuación, haga clic en Eliminar rol en el panel Acciones. Cuando se le solicite, confirme la eliminación.

Crear y gestionar ámbitos

Cuando se crea un sitio, el único ámbito disponible es el ámbito ‘Todo’, que no se puede eliminar.

Puede crear ámbitos mediante el siguiente procedimiento. También puede crear ámbitos al tiempo que crea un administrador; cada administrador debe estar asociado con al menos un par rol/ámbito. Al crear o modificar escritorios, catálogos de máquinas, aplicaciones o hosts, es posible agregarlos a un ámbito existente; si no se agregan a un ámbito específico, forman parte del ámbito ‘Todo’.

En la creación de sitios no se puede aplicar ámbitos. Tampoco se puede aplicar ámbitos a los objetos de la administración delegada, es decir, a los propios ámbitos y roles. Los objetos no incluibles en ámbitos específicos se incluyen en el ámbito ‘Todo’. (Los administradores totales siempre tienen asociado el ámbito Todo.) Las máquinas, las acciones de energía, los escritorios y las sesiones no se pueden incluir directamente en un ámbito; se puede asignar permisos sobre estos objetos a los administradores a través de los catálogos de máquinas o grupos de entrega asociados.

Los nombres de ámbito puede contener un máximo de 64 caracteres Unicode; no puede incluir los siguientes caracteres: \ (barra diagonal inversa), / (barra diagonal), ; (punto y coma), : (dos puntos), # (almohadilla) , (coma), * (asterisco), ? (signo de interrogación), = (signo igual), < (flecha izquierda), > (flecha derecha), | (barra vertical, [] (corchete izquierdo o derecho), () (paréntesis izquierdo o derecho), “ (comillas dobles) y ‘ (apóstrofe). Las descripciones pueden contener un máximo de 256 caracteres Unicode.

Al copiar o modificar un ámbito, tenga en cuenta que eliminar objetos del ámbito puede tener como consecuencia que el administrador no pueda acceder a ellos. Si el ámbito modificado está emparejado con uno o varios roles, compruebe que los cambios que haga en el ámbito no hagan que la pareja de rol y ámbito quede inutilizable.

Para administrar ámbitos, haga clic en Configuración > Administradores en el panel de navegación de Studio y, a continuación, haga clic en la ficha Ámbitos en el panel central superior.

  • Para crear un ámbito, haga clic en Crear nuevo ámbito en el panel Acciones. Escriba un nombre y una descripción. Para incluir todos los objetos de un tipo concreto (por ejemplo, grupos de entrega), seleccione el tipo de objeto. Para incluir objetos concretos, expanda el tipo y, a continuación, seleccione objetos individualmente (por ejemplo, grupos de entrega individuales utilizados por el equipo de Ventas).
  • Para copiar un ámbito, selecciónelo en el panel central y, a continuación, haga clic en Copiar ámbito en el panel Acciones. Escriba un nombre y una descripción. Cambie los objetos y los tipos de objeto, según sea necesario.
  • Para modificar un ámbito, selecciónelo en el panel central y, a continuación, haga clic en Modificar ámbito en el panel Acciones. Cambie el nombre, la descripción, los tipos de objeto y los objetos, según sea necesario.
  • Para eliminar un ámbito, selecciónelo en el panel central y, a continuación, haga clic en Eliminar ámbito en el panel Acciones. Cuando se le solicite, confirme la eliminación.

Crear informes

Puede generar dos tipos de informes de administración delegada:

  • Un informe HTML que ofrece una lista de las parejas de rol y ámbito asociadas con un administrador, además de los permisos individuales de cada tipo de objeto (por ejemplo, grupos de entrega y catálogos de máquinas). Este informe se genera desde Studio.

    Para crear este informe, haga clic en Configuración > Administradores en el panel de navegación. Seleccione un administrador en el panel central y, a continuación, haga clic en Crear informe en el panel Acciones.

    También puede solicitar este informe al crear, copiar o modificar un administrador.

  • Un informe HTML o CSV donde figuran todas las asignaciones de roles integrados y personalizados con sus correspondientes permisos. Este informe se genera al ejecutar un script de PowerShell denominado OutputPermissionMapping.ps1.

    Para ejecutar este script, es necesario ser un administrador total, un administrador de solo lectura, o un administrador personalizado que cuente con permiso para leer roles. El script se encuentra en: Archivos de programa\Citrix\DelegatedAdmin\SnapIn\Citrix.DelegatedAdmin.Admin.V1\Scripts\.

    Sintaxis:

    OutputPermissionMapping.ps1 [-Help] [-Csv] [-Path <cadena>] [-AdminAddress <cadena>] [-Show] [\]

    Parámetro Descripción
    -Help Muestra la ayuda del script.
    -Csv Especifica la salida CSV. Valor predeterminado = HTML
    -Path <cadena> Destino de escritura de los resultados. Valor predeterminado = stdout
    -AdminAddress <cadena> La dirección IP o el nombre de host del Delivery Controller con el que hay que establecer conexión. Predeterminado = localhost
    -Show (Válido solamente cuando el parámetro -Path también se especifica.) Cuando se escribe el resultado en un archivo, -Show hace que dicho archivo se abra con el programa adecuado como, por ejemplo, un explorador Web.
    Verbose, Debug, ErrorAction, ErrorVariable, WarningAction, WarningVariable, OutBuffer, y OutVariable. Para obtener más información, consulte la documentación de Microsoft.

El siguiente ejemplo escribe una tabla HTML en un archivo denominado Roles.html y abre la tabla en un explorador Web.

& "$env:ProgramFiles\Citrix\DelegatedAdmin\SnapIn\
Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1"
-Path Roles.html –Show

El siguiente ejemplo escribe una tabla CSV en un archivo denominado Roles.csv. La tabla no se muestra.

& "$env:ProgramFiles\Citrix\DelegatedAdmin\SnapIn\
Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1"
–CSV -Path Roles.csv

En una ventana de símbolo de sistema de Windows, el comando para el ejemplo anterior es:

powershell -command "& '%ProgramFiles%\Citrix\DelegatedAdmin\SnapIn\
Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1'
-CSV -Path Roles.csv"