Administration déléguée
Grâce à l’utilisation d’un contrôle basé sur des objets et des rôles, le modèle d’administration déléguée vous offre une souplesse permettant d’adapter les activités d’administration déléguée aux besoins de votre entreprise. L’administration déléguée prend en charge les déploiements de toutes les tailles et vous permet d’affiner la granularité des autorisations à mesure que votre déploiement gagne en complexité. L’administration déléguée utilise trois concepts : les administrateurs, les rôles et les étendues.
-
Administrateurs : un administrateur représente une personne ou un groupe de personnes identifié par leur compte Active Directory. Chaque administrateur est associé à une ou plusieurs paires rôle/étendue.
-
Rôles : un rôle représente une fonction de tâche à laquelle des permissions sont associées. Par exemple, le rôle Administrateur du groupe de mise à disposition possède des autorisations telles que « Créer un groupe de mise à disposition » et « Supprimer le bureau d’un groupe de mise à disposition ». Un administrateur peut avoir plusieurs rôles pour un même site, donc une personne peut être administrateur du groupe de mise à disposition et administrateur du catalogue de machines. Les rôles peuvent être intégrés ou personnalisés.
Les rôles intégrés sont :
Rôle Autorisations Administrateur complet Peut effectuer toutes les tâches et toutes les opérations. Un administrateur complet est toujours associé à l’étendue Tout. Administrateur en lecture seule Peut afficher tous les objets dans les étendues spécifiées ainsi que les informations générales, mais ne peut rien modifier. Par exemple, un administrateur en lecture seule avec l’étendue = Londres peut voir tous les objets globaux (tels que la journalisation de la configuration) et les objets associés à Londres (par exemple, les groupes de mise à disposition Londres). Toutefois, cet administrateur ne peut pas afficher d’objets dans l’étendue New York (en supposant que les étendues Londres et New York ne se chevauchent pas). Administrateur du support technique Peut afficher des groupes de mise à disposition et gérer les sessions et les machines associées à ces groupes. Peut afficher le catalogue de machines et les informations d’hôte des groupes de mise à disposition en cours de surveillance. Peut également effectuer des opérations de gestion de session et de gestion de l’alimentation de la machine pour les machines figurant dans ces groupes de mise à disposition. Administrateur du catalogue de machines Peut créer et de gérer des catalogues de machines et y provisionner des machines. Peut créer des catalogues de machines à partir de l’infrastructure de virtualisation, Provisioning Services et des machines physiques. Ce rôle peut gérer les images de base et installer le logiciel, mais ne peut pas assigner les applications ou bureaux aux utilisateurs. Administrateur de groupe de mise à disposition Peut mettre à disposition des applications, bureaux et machines ; peut également gérer les sessions associées. Il peut également gérer les configurations d’applications et de bureaux, telles que les stratégies et les paramètres de gestion de l’alimentation. Administrateur d’hôte Peut gérer les connexions hôtes et leurs paramètres de ressources associés. Impossible de mettre à disposition des machines, applications ou bureaux aux utilisateurs. Dans certaines éditions du produit, vous pouvez créer des rôles personnalisés correspondants aux besoins de votre organisation, et déléguer des autorisations avec plus de détails. Vous pouvez utiliser les rôles personnalisés pour allouer des autorisations à la précision d’une action ou d’une tâche dans la console.
-
Étendues : une étendue représente une collection d’objets. Les étendues sont utilisées pour grouper les objets de manière pertinente pour votre organisation (par exemple, l’ensemble de groupes de mise à disposition utilisé par l’équipe des ventes). Les objets peuvent appartenir à plus d’une étendue ; par exemple, un objet peut être marqué comme appartenant à une ou plusieurs étendues. Il existe une étendue intégrée appelée « Tout » qui contient tous les objets. Le rôle d’administrateur complet est toujours associé à l’étendue Tout.
Exemple
La société XYZ a décidé de gérer les applications et bureaux en fonction de leur département (Comptabilité, Ventes et Production) et de leur système d’exploitation de bureau (Windows 7 ou Windows 8). L’administrateur a créé cinq étendues, puis a attribué deux étendues à chaque groupe de mise à disposition : une pour le département où ils sont utilisés et une pour le système d’exploitation qu’ils utilisent.
Les administrateurs suivants ont été créés :
Administrateur | Rôles | Étendues |
---|---|---|
domaine/fred | Administrateur complet | Tous (le rôle Administrateur complet a toujours la portée Tout) |
domaine/rob | Administrateur en lecture seule | Tous |
domaine/heidi | Administrateur en lecture seule, Administrateur du service d’assistance | Toutes les ventes |
domaine/warehouseadmin | Administrateur du support technique | Distribution |
domaine/peter | Administrateur du groupe de mise à disposition, Administrateur du catalogue de machines | Win7 |
- Fred est un administrateur complet qui peut afficher, modifier et supprimer tous les objets dans le système.
- Rob peut afficher tous les objets dans le site mais ne peut pas les modifier ou les supprimer.
- Heidi peut afficher tous les objets et peut effectuer des tâches de support technique sur les groupes de mise à disposition dans l’étendue Ventes. Cela lui permet de gérer les sessions et les machines associées à ces groupes ; elle ne peut pas effectuer de modifications dans le groupe de mise à disposition, telles que l’ajout ou la suppression de machines.
- Toute personne qui est membre du groupe de sécurité Active Directory warehouseadmin peut afficher et effectuer des tâches d’assistance sur des machines dans l’étendue Distribution.
- Peter est un spécialiste Windows 7 et peut gérer tous les catalogues de machines Windows 7 et mettre à disposition des applications, bureaux et machines Windows 7, quelle que soit l’étendue du département auquel elles appartiennent. L’administrateur a envisagé de donner à Peter le rôle d’administrateur complet pour l’étendue Win7. Elle en a décidé autrement, car un administrateur complet a également des droits complets sur tous les objets qui ne sont pas inclus dans l’étendue, tels que « Site » et « Administrateur ».
Comment utiliser l’administration déléguée
En général, le nombre d’administrateurs et la granularité de leurs autorisations dépendent de la taille et de la complexité du déploiement.
- Dans les déploiements de petite taille ou de preuve de concept, toutes les tâches sont effectuées par un ou plusieurs administrateurs. Il n’y a pas de délégation. Dans ce cas, créez chaque administrateur avec le rôle Administrateur complet intégré, qui a la portée Tout.
- Dans les déploiements plus importants avec plus d’ordinateurs, d’applications et de bureaux, une plus grande délégation est nécessaire. Plusieurs administrateurs ont peut-être des responsabilités fonctionnelles plus spécifiques (rôles). Par exemple, deux sont des administrateurs complets et les autres sont des administrateurs du service d’assistance. En outre, un administrateur peut ne gérer que certains groupes d’objets (étendues), tels que des catalogues de machines. Dans ce cas, créez de nouvelles étendues, ainsi que des administrateurs avec l’un des rôles intégrés et les étendues appropriées.
- Même les déploiements plus importants peuvent nécessiter plus (ou plus spécifiques) d’étendues, ainsi que des administrateurs différents dotés de rôles non conventionnels. Dans ce cas, modifiez ou créez des étendues supplémentaires, créez des rôles personnalisés et créez chaque administrateur avec un rôle personnalisé ou intégré, ainsi que des étendues existantes et nouvelles.
Pour garantir une souplesse et facilité de configuration, vous pouvez créer des étendues lorsque vous créez un administrateur. Vous pouvez également spécifier des étendues lors de la création ou de la modification de catalogues de machines ou de connexions.
Créer et gérer des administrateurs
Lorsque vous créez un site en tant qu’administrateur local, votre compte d’utilisateur devient automatiquement un administrateur complet avec autorisations complètes sur tous les objets. Après la création d’un site, les administrateurs locaux n’ont pas de privilèges spéciaux.
Le rôle administrateur complet a toujours l’étendue Tout ; vous ne pouvez pas le modifier.
Par défaut, un administrateur est activé. La désactivation d’un administrateur peut être nécessaire si vous créez l’administrateur maintenant, mais cette personne ne possèdera des droits d’administration que bien plus tard. Pour les administrateurs activés existants, il se peut que vous souhaitiez désactiver plusieurs d’entre eux pendant que vous réorganisez vos objets/étendues, puis les réactiver lorsque vous êtes prêt à utiliser la configuration mise à jour dans votre environnement de production. Vous ne pouvez pas désactiver un administrateur complet si cela a pour conséquence qu’il n’existe plus d’administrateur complet activé. La case à cocher activer/désactiver est disponible lors de la création, de la copie ou de la modification d’un administrateur.
Lorsque vous supprimez une paire rôle/étendue lors de la copie, la modification ou la suppression d’un administrateur, il supprime uniquement la relation entre le rôle et l’étendue de cet administrateur. Il ne peut pas supprimer le rôle ou l’étendue. Il n’affecte aucun autre administrateur qui est configuré avec cette paire rôle/étendue.
Pour gérer des administrateurs, cliquez sur Configuration > Administrateurs dans le panneau de navigation de Studio, puis cliquez sur l’onglet Administrateurs dans la partie supérieure du panneau central.
- Créer un administrateur : cliquez sur Créer un nouvel administrateur dans le volet Actions. Entrez le nom ou recherchez le nom du compte d’utilisateur, sélectionnez ou créez une étendue, et sélectionnez un rôle. Le nouvel administrateur est activé par défaut, vous pouvez le modifier.
- Copier un administrateur : sélectionnez l’administrateur dans le panneau du milieu, puis cliquez sur Copier l’administrateur dans le volet Actions. Entrez le nom ou recherchez le nom de compte de l’utilisateur. Vous pouvez sélectionner puis modifier les paires rôle/étendue et vous pouvez en ajouter de nouvelles. Le nouvel administrateur est activé par défaut, vous pouvez le modifier.
- Modifier un administrateur : sélectionnez l’administrateur dans le panneau du milieu, puis cliquez sur Modifier l’administrateur dans le volet Actions. Vous pouvez modifier ou supprimer les paires rôle/étendue et en ajouter de nouvelles.
- Supprimer un administrateur : sélectionnez l’administrateur dans le panneau du milieu, puis cliquez sur Supprimer l’administrateur dans le volet Actions. Vous ne pouvez pas supprimer un administrateur complet si cela a pour conséquence qu’il n’existe plus d’administrateur complet.
Le volet supérieur affiche les administrateurs que vous avez créés. Sélectionnez un administrateur pour afficher ses détails dans le volet inférieur. La colonne Avertissements indique si les paires rôle/étendue associées à l’administrateur contiennent des rôles ou des étendues inutilisables. Le message d’avertissement suivant s’affiche si une paire rôle/étendue associée contient des rôles ou des étendues inutilisables :
- Rôle ou étendue associée inutilisable
- Supprimez la paire rôle/étendue de l’administrateur.
Important :
Un message d’avertissement s’affiche uniquement si une paire rôle/étendue associée contient des rôles ou des étendues inutilisables.
Pour supprimer la paire rôle/étendue de l’administrateur, effectuez l’une des étapes suivantes :
- Supprimez la paire rôle/étendue.
- Dans le volet Actions, cliquez sur Modifier l’administrateur.
- Dans la fenêtre Modifier l’administrateur, sélectionnez la paire rôle/étendue, puis cliquez sur Supprimer.
- Cliquez sur OK pour quitter.
- Supprimez l’administrateur.
- Dans le volet Actions, cliquez sur Supprimer un administrateur.
- Dans la fenêtre Studio, cliquez sur Supprimer.
Créer et gérer les rôles
Lorsque les administrateurs créent ou modifient un rôle, ils ne peuvent activer que les autorisations dont ils disposent eux-mêmes. Cela empêche les administrateurs de créer un rôle avec plus d’autorisations qu’ils ne disposent actuellement, puis de l’attribuer à eux-mêmes (ou de modifier un rôle qui leur est déjà attribué).
Les noms de rôles peuvent contenir jusqu’à 64 caractères Unicode ; ils ne peuvent pas contenir les caractères suivants : barre oblique inverse, barre oblique, point-virgule, deux-points, symbole de la livre, virgule, astérisque, point d’interrogation, signe égal, flèche gauche, flèche droite, barre verticale, crochet gauche ou droit, parenthèse gauche ou droite, guillemets et apostrophe. Les descriptions peuvent contenir jusqu’à 256 caractères unicode.
Vous ne pouvez pas modifier ou supprimer un rôle intégré. Vous ne pouvez pas supprimer un rôle personnalisé si un administrateur l’utilise.
Remarque :
Seules certaines éditions de produit prennent en charge les rôles personnalisés. Seules les éditions qui prennent en charge les rôles personnalisés n’ont aucune entrée dans le volet Actions.
Pour gérer les rôles, cliquez sur Configuration > Administrateurs dans le panneau de navigation de Studio, puis cliquez sur l’onglet Rôles en haut du panneau central.
- Afficher les détails d’un rôle : sélectionnez le rôle dans le volet central. La partie inférieure du panneau central répertorie les types d’objets et les autorisations associées pour le rôle. Cliquez sur l’onglet Administrateurs dans le volet inférieur pour afficher une liste des administrateurs qui détiennent actuellement ce rôle.
- Créer un rôle personnalisé : cliquez sur Créer un nouveau rôle dans le volet Actions. Entrez un nom et une description. Sélectionnez les types d’objets et les autorisations.
- Copier un rôle : sélectionnez le rôle dans le volet central, puis cliquez sur Copier rôle dans le volet Actions. Modifiez le nom, la description, les types d’objet et les autorisations nécessaires.
- Modifier un rôle personnalisé : sélectionnez le rôle dans le volet central, puis cliquez sur Modifier un rôle dans le volet Actions. Modifiez le nom, la description, les types d’objet et les autorisations nécessaires.
- Supprimer un rôle personnalisé : sélectionnez le rôle dans le volet central, puis cliquez sur Supprimer un rôle dans le volet Actions. Lorsque vous y êtes invité, confirmez la suppression.
Créer et gérer des étendues
Lorsque vous créez un site, la seule étendue disponible est l’étendue ‘Tout’, qui ne peut pas être supprimée.
Vous pouvez créer des étendues à l’aide de la procédure suivante. Vous pouvez également créer des étendues lorsque vous créez un administrateur ; chaque administrateur doit être associé à au moins une paire de un rôle/étendue. Lorsque vous créez ou modifiez des bureaux, des catalogues de machines, des applications ou des hôtes, vous pouvez les ajouter à une étendue existante. Si vous ne les ajoutez pas à une étendue, ils restent dans l’étendue ‘Toute’.
La création d’un site ne peut faire être incluse à une étendue, ni les objets d’administration déléguée (étendues et rôles). Cependant, les objets ne pouvant pas être inclus à une étendue sont inclus dans l’étendue « Tout ». (Les administrateurs complets ont toujours l’étendue Tous.) Les machines, les actions d’alimentation, les bureaux et les sessions ne sont pas ajoutés directement à une étendue. Les administrateurs peuvent se voir attribuer des autorisations sur ces objets via les catalogues de machines ou les groupes de mise à disposition associés.
Les noms d’étendue peuvent contenir jusqu’à 64 caractères Unicode. Les étendues ne peuvent pas contenir les caractères suivants : barre oblique inverse, barre oblique, point-virgule, deux-points, symbole de la livre, virgule, astérisque, point d’interrogation, signe égal, flèche gauche ou droite, barre verticale, crochet gauche ou droit, parenthèse gauche ou droite, guillemets et apostrophe. Les descriptions peuvent contenir jusqu’à 256 caractères unicode.
Lorsque vous copiez ou modifier une étendue, n’oubliez pas que la suppression des objets dans l’étendue peut rendre ces objets inaccessibles à l’administrateur. Si l’étendue modifiée est associée à un ou plusieurs rôles, assurez-vous que les mises à jour que vous apportez à l’étendue ne rendent pas une paire rôle/étendue inutilisable.
Pour gérer des étendues, cliquez sur Configuration > Administrateurs dans le panneau de navigation de Studio, puis cliquez sur l’onglet Étendues dans la partie supérieure du panneau central.
- Créer une étendue : cliquez sur Créer une étendue dans le volet Actions. Entrez un nom et une description. Pour inclure tous les objets d’un type particulier (par exemple, les groupes de mise à disposition), sélectionnez le type d’objet. Pour inclure des objets spécifiques, développez le type, puis sélectionnez les objets individuels (par exemple, les groupes de mise à disposition individuels utilisés par l’équipe des Ventes).
- Copier une étendue : sélectionnez l’étendue dans le volet central, puis cliquez sur Copier étendue dans le volet Actions. Entrez un nom et une description. Modifiez les types d’objets et les objets, si nécessaire.
- Modifier une étendue : sélectionnez l’étendue dans le volet central, puis cliquez sur Modifier l’étendue dans le volet Actions. Modifiez le nom, la description, les types d’objet et les objets, si nécessaire.
- Supprimer une étendue : sélectionnez l’étendue dans le volet central, puis cliquez sur Supprimer l’étendue dans le volet Actions. Lorsque vous y êtes invité, confirmez la suppression.
Créer des rapports
Vous pouvez créer deux types de rapports d’administration déléguée :
-
Ce rapport HTML indique les paires rôle/étendue associées à un administrateur et dresse la liste des autorisations individuelles pour chaque type d’objet (par exemple, les groupes de mise à disposition et les catalogues de machines). Vous pouvez générer ce rapport à partir de Studio.
Pour créer ce rapport, cliquez sur Configuration > Administrateurs dans le volet de navigation Studio. Sélectionnez un administrateur dans le panneau du milieu, puis cliquez sur Créer un rapport dans le volet Actions.
Vous pouvez également demander ce rapport lors de la création, de la copie ou de la modification d’un administrateur.
-
Un rapport HTML ou CSV qui mappe tous les rôles personnalisés et intégrés à des autorisations. Vous pouvez générer ce rapport en exécutant le script PowerShell nommé OutputPermissionMapping.ps1.
Pour exécuter ce script, vous devez être un administrateur complet, un administrateur en lecture seule ou un administrateur personnalisé avec autorisation de lecture des rôles. Le script se trouve dans : Program Files\Citrix\DelegatedAdmin\SnapIn\Citrix.DelegatedAdmin.Admin.V1\Scripts.
Syntaxe :
OutputPermissionMapping.ps1 [-Help] [-Csv] [-Path string] [-AdminAddress string] [-Show] [CommonParameters]
Paramètre Description -Help
Affiche l’aide du script. -Csv
Spécifie le fichier CSV de sortie. Valeur par défaut = HTML -Path string
Où écrire la sortie. Valeur par défaut = stdout -AdminAddress string
Adresse IP ou nom d’hôte du Delivery Controller auquel se connecter. Valeur par défaut = XA -Show
(Valide uniquement lorsque le paramètre -Path
est également spécifié). Lorsque vous écrivez la sortie vers un fichier,-Show
entraîne l’ouverture de la sortie dans un programme approprié, tel qu’un navigateur Web.CommonParameters Verbose
,Debug
,ErrorAction
,ErrorVariable
,WarningAction
,WarningVariable
,OutBuffer
etOutVariable
. Pour plus d’informations, veuillez consulter la documentation Microsoft.
L’exemple suivant écrit une table HTML sur un fichier appelé Roles.html et ouvre la table dans un navigateur Web.
& "$env:ProgramFiles\Citrix\DelegatedAdmin\SnapIn\
Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1"
-Path Roles.html –Show
<!--NeedCopy-->
L’exemple suivant écrit une table CSV sur un fichier appelé Roles.csv. La table n’est pas affichée.
& "$env:ProgramFiles\Citrix\DelegatedAdmin\SnapIn\
Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1"
–CSV -Path Roles.csv
<!--NeedCopy-->
À partir d’une invite de commande Windows, l’exemple de commande précédente est :
powershell -command "& '%ProgramFiles%\Citrix\DelegatedAdmin\SnapIn\
Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1'
-CSV -Path Roles.csv"
<!--NeedCopy-->