Administration déléguée

Grâce à l’utilisation d’un contrôle basé sur des objets et des rôles, le modèle d’administration déléguée vous offre une souplesse permettant d’adapter les activités d’administration déléguée aux besoins de votre entreprise. L’administration déléguée prend en charge les déploiements de toutes les tailles et vous permet d’affiner la granularité des autorisations à mesure que votre déploiement gagne en complexité. L’administration déléguée utilise trois concepts : les administrateurs, les rôles et les étendues.

  • Administrateurs : un administrateur représente une personne ou un groupe de personnes identifié par leur compte Active Directory. Chaque administrateur est associé à un ou plusieurs rôles et à des paires d’étendues.

  • Rôles : un rôle représente une fonction de tâche à laquelle des permissions sont associées. Par exemple, le rôle Administrateur du groupe de mise à disposition possède des autorisations telles que « Créer un groupe de mise à disposition » et « Supprimer le bureau d’un groupe de mise à disposition ». Un administrateur peut avoir plusieurs rôles pour un même site, donc une personne peut être administrateur du groupe de mise à disposition et administrateur du catalogue de machines. Les rôles peuvent être intégrés ou personnalisés.

    Les rôles intégrés sont :

    Rôle Autorisations
    Administrateur complet Peut effectuer toutes les tâches et toutes les opérations. Un administrateur complet est toujours associé à l’étendue Tout.
    Administrateur en lecture seule Peut afficher tous les objets dans les étendues spécifiées ainsi que les informations générales, mais ne peut rien modifier. Par exemple, un administrateur en lecture seule avec l’étendue = Londres peut voir tous les objets globaux (tels que la journalisation de la configuration) et les objets associés à Londres (par exemple, les groupes de mise à disposition Londres). Toutefois, cet administrateur ne peut pas afficher d’objets dans l’étendue New York (en supposant que les étendues Londres et New York ne se chevauchent pas).
    Administrateur du service d’assistance Peut afficher des groupes de mise à disposition et gérer les sessions et les machines associées à ces groupes. Peut afficher le catalogue de machines et les informations d’hôte des groupes de mise à disposition en cours de surveillance et peut également effectuer des opérations de gestion de session et de gestion de l’alimentation de la machine pour les machines figurant dans ces groupes de mise à disposition.
    Administrateur du catalogue de machines Peut créer et de gérer des catalogues de machines et y provisionner des machines. Peut créer des catalogues de machines à partir de l’infrastructure de virtualisation, Provisioning Services et des machines physiques. Ce rôle peut gérer les images de base et installer le logiciel, mais ne peut pas assigner les applications ou bureaux aux utilisateurs.
    Administrateur de groupe de mise à disposition Peut mettre à disposition des applications, bureaux et machines ; peut également gérer les sessions associées. Il peut également gérer les configurations d’applications et de bureaux, telles que les stratégies et les paramètres de gestion de l’alimentation.
    Administrateur d’hôte Peut gérer les connexions hôtes et leurs paramètres de ressources associés. Impossible de mettre à disposition des machines, applications ou bureaux aux utilisateurs.

    Dans certaines éditions du produit, vous pouvez créer des rôles personnalisés correspondants aux besoins de votre organisation, et déléguer des autorisations avec plus de détails. Vous pouvez utiliser les rôles personnalisés pour allouer des autorisations à la précision d’une action ou d’une tâche dans la console.

  • Étendues : une étendue représente une collection d’objets. Les étendues sont utilisées pour grouper les objets de manière pertinente pour votre organisation (par exemple, l’ensemble de groupes de mise à disposition utilisé par l’équipe des ventes). Les objets peuvent appartenir à plus d’une étendue ; par exemple, un objet peut être marqué comme appartenant à une ou plusieurs étendues. Il existe une étendue intégrée appelée « Tout » qui contient tous les objets. Le rôle d’administrateur complet est toujours associé à l’étendue Tout.

Exemple

La société XYZ a décidé de gérer les applications et bureaux en fonction de leur département (Comptabilité, Ventes et Production) et de leur système d’exploitation de bureau (Windows 7 ou Windows 8). L’administrateur a créé cinq étendues, puis a attribué deux étendues à chaque groupe de mise à disposition : une pour le département où ils sont utilisés et une pour le système d’exploitation qu’ils utilisent.

Les administrateurs suivants ont été créés :

Administrateur Rôles Étendues
domaine/fred Administrateur complet Tous (le rôle Administrateur complet a toujours la portée Tout)
domaine/rob Administrateur en lecture seule Toutes
domaine/heidi Administrateur en lecture seule, Administrateur du service d’assistance Toutes les ventes
domaine/warehouseadmin Administrateur du service d’assistance Distribution
domaine/peter Administrateur du groupe de mise à disposition, Administrateur du catalogue de machines Win7
  • Fred est un administrateur complet qui peut afficher, modifier et supprimer tous les objets dans le système.
  • Rob peut afficher tous les objets dans le site mais ne peut pas les modifier ou les supprimer.
  • Heidi peut afficher tous les objets et peut effectuer des tâches de support technique sur les groupes de mise à disposition dans l’étendue Ventes. Cela lui permet de gérer les sessions et les machines associées à ces groupes ; elle ne peut pas effectuer de modifications dans le groupe de mise à disposition, telles que l’ajout ou la suppression de machines.
  • Toute personne qui est membre du groupe de sécurité Active Directory admindistribution peut afficher et effectuer des tâches d’assistance sur des machines dans l’étendue Distribution.
  • Peter est un spécialiste Windows 7 et peut gérer tous les catalogues de machines Windows 7 et mettre à disposition des applications, bureaux et machines Windows 7, quelle que soit l’étendue du département auquel elles appartiennent. L’administrateur a envisagé de donner à Peter le rôle d’administrateur complet pour l’étendue Win7 ; elle en a décidé autrement, car un administrateur complet a également des droits complets sur tous les objets qui ne sont pas inclus dans l’étendue, tels que « Site » et « Administrateur ».

Comment utiliser l’administration déléguée

En général, le nombre d’administrateurs et la granularité de leurs autorisations dépendent de la taille et de la complexité du déploiement.

  • Dans les déploiements de petite taille ou de preuve de concept, toutes les tâches sont effectuées par un ou plusieurs administrateurs ; il n’y a pas de délégation. Dans ce cas, créez chaque administrateur avec le rôle Administrateur complet intégré, qui a la portée Tout.
  • Dans les déploiements plus importants avec plus d’ordinateurs, d’applications et de bureaux, une plus grande délégation est nécessaire. Plusieurs administrateurs ont peut-être des responsabilités fonctionnelles plus spécifiques (rôles). Par exemple, deux sont des administrateurs complets et les autres sont des administrateurs du service d’assistance. En outre, un administrateur peut ne gérer que certains groupes d’objets (étendues), tels que des catalogues de machines. Dans ce cas, créez de nouvelles étendues, ainsi que des administrateurs avec l’un des rôles intégrés et les étendues appropriées.
  • Même les déploiements plus importants peuvent nécessiter plus (ou plus spécifiques) d’étendues, ainsi que des administrateurs différents dotés de rôles non conventionnels. Dans ce cas, modifiez ou créez des étendues supplémentaires, créez des rôles personnalisés et créez chaque administrateur avec un rôle personnalisé ou intégré, ainsi que des étendues existantes et nouvelles.

Pour garantir une souplesse et facilité de configuration, vous pouvez créer de nouvelles étendues lorsque vous créez un administrateur. Vous pouvez également spécifier des étendues lors de la création ou de la modification de catalogues de machines ou de connexions.

Créer et gérer des administrateurs

Lorsque vous créez un site en tant qu’administrateur local, votre compte d’utilisateur devient automatiquement un administrateur complet avec autorisations complètes sur tous les objets. Après la création d’un site, les administrateurs locaux n’ont pas de privilèges spéciaux.

Le rôle administrateur complet a toujours l’étendue Tout ; vous ne pouvez pas le modifier.

Par défaut, un administrateur est activé. La désactivation d’un administrateur peut être nécessaire si vous créez le nouvel administrateur maintenant, mais cette personne ne possèdera des droits d’administration que bien plus tard. Pour les administrateurs activés existants, il se peut que vous souhaitiez désactiver plusieurs d’entre eux pendant que vous réorganisez vos objets/étendues, puis les réactiver lorsque vous êtes prêt à utiliser la configuration mise à jour dans votre environnement de production. Vous ne pouvez pas désactiver un administrateur complet si cela a pour conséquence qu’il n’existe plus d’administrateur complet activé. La case à cocher activer/désactiver est disponible lors de la création, de la copie ou de la modification d’un administrateur.

Lorsque vous supprimez une paire rôle/étendue lors de la copie, la modification ou la suppression d’un administrateur, il supprime uniquement la relation entre le rôle et l’étendue de cet administrateur ; il ne peut pas supprimer le rôle ou l’étendue et n’affecte aucun autre administrateur qui est configuré avec cette paire rôle/étendue.

Pour gérer des administrateurs, cliquez sur Configuration > Administrateurs dans le panneau de navigation de Studio, puis cliquez sur l’onglet Administrateurs dans la partie supérieure du panneau central.

  • Pour créer un administrateur, cliquez sur Créer un nouvel administrateur dans le volet Actions. Entrez le nom ou recherchez le nom du compte d’utilisateur, sélectionnez ou créez une étendue, et sélectionnez un rôle. Le nouvel administrateur est activé par défaut, vous pouvez le modifier.
  • Pour copier un administrateur, sélectionnez l’administrateur dans le panneau du milieu, puis cliquez sur Copier l’administrateur dans le volet Actions. Entrez le nom ou recherchez le nom de compte de l’utilisateur. Vous pouvez sélectionner puis modifier les paires rôle/étendue et vous pouvez en ajouter de nouvelles. Le nouvel administrateur est activé par défaut, vous pouvez le modifier.
  • Pour modifier un administrateur, sélectionnez l’administrateur dans le panneau du milieu, puis cliquez sur Modifier l’administrateur dans le volet Actions. Vous pouvez modifier ou supprimer les paires rôle/étendue et en ajouter de nouvelles.
  • Pour supprimer un administrateur, sélectionnez l’administrateur dans le panneau du milieu, puis cliquez sur Supprimer l’administrateur dans le volet Actions. Vous ne pouvez pas supprimer un administrateur complet si cela a pour conséquence qu’il n’existe plus d’administrateur complet.

Créer et gérer les rôles

Les noms de rôles peuvent contenir jusqu’à 64 caractères Unicode ; ils ne peuvent pas contenir les caractères suivants : \ (barre oblique inverse) / (barre oblique) ; (point-virgule) : (deux-points), # (symbole de la livre) , (virgule), * (astérisque), ? (point d’interrogation), = (signe égal), < (flèche gauche), > (flèche droite), | (barre verticale), [ ] [ ] (crochet droit ou gauche), ( ) (parenthèse droite ou gauche), “ (guillemets) et ‘ (apostrophe). Les descriptions peuvent contenir jusqu’à 256 caractères unicode.

Vous ne pouvez pas modifier ou supprimer un rôle intégré. Vous ne pouvez pas supprimer un rôle personnalisé si un administrateur l’utilise.

Remarque :

Seules certaines éditions de produit prennent en charge les rôles personnalisés. Les éditions qui ne prennent pas en charge les rôles personnalisés n’ont aucune entrée dans le volet Actions.

Pour gérer les rôles, cliquez sur Configuration > Administrateurs dans le panneau de navigation de Studio, puis cliquez sur l’onglet Rôles en haut du panneau central.

  • Pour afficher les détails d’un rôle, sélectionnez le rôle dans le volet central. La partie inférieure du panneau central répertorie les types d’objets et les autorisations associées pour le rôle. Cliquez sur l’onglet Administrateurs dans le volet inférieur pour afficher une liste des administrateurs détiennent actuellement ce rôle.
  • Pour créer un rôle personnalisé, cliquez sur Créer un nouveau rôle dans le volet Actions. Entrez un nom et une description. Sélectionnez les types d’objets et les autorisations.
  • Pour copier un rôle, sélectionnez le rôle dans le volet central, puis cliquez sur Copier un rôle dans le volet Actions. Modifiez le nom, la description, les types d’objet et les autorisations nécessaires.
  • Pour modifier un rôle personnalisé, sélectionnez le rôle dans le volet central, puis cliquez sur Modifier un rôle dans le volet Actions. Modifiez le nom, la description, les types d’objet et les autorisations nécessaires.
  • Pour supprimer un rôle personnalisé, sélectionnez le rôle dans le volet central, puis cliquez sur Supprimer un rôle dans le volet Actions. Lorsque vous y êtes invité, confirmez la suppression.

Créer et gérer des étendues

Lorsque vous créez un site, la seule étendue disponible est l’étendue ‘Tout’, qui ne peut pas être supprimée.

Vous pouvez créer des étendues à l’aide de la procédure ci-dessous. Vous pouvez également créer des étendues lorsque vous créez un administrateur ; chaque administrateur doit être associé à au moins une paire de un rôle/étendue. Lorsque vous créez ou modifiez des bureaux, des catalogues de machines, des applications ou des hôtes, vous pouvez les ajouter à une étendue existante ; si vous ne les ajoutez pas à une étendue, ils restent dans l’étendue ‘Toute’.

La création d’un site ne peut faire être incluse à une étendue, ni les objets d’administration déléguée (étendues et rôles). Cependant, les objets ne pouvant pas être inclus à une étendue sont inclus dans l’étendue « Tout ». (Les administrateurs complets disposent toujours de l’étendue Toute.) Les machines, actions d’alimentation, bureaux et sessions ne sont pas directement inclus à une étendue ; des permissions sur ces objets peuvent être accordées aux administrateurs via les catalogues de machines ou groupes de mise à disposition associés.

Les noms d’étendues peuvent contenir jusqu’à 64 caractères Unicode ; ils ne peuvent pas contenir les caractères suivants : \ (barre oblique inverse) / (barre oblique) ; (point-virgule) : (deux-points), # (symbole de la livre) , (virgule), * (astérisque), ? (point d’interrogation), = (signe égal), < (flèche gauche), > (flèche droite), | (barre verticale), [ ] [ ] (crochet droit ou gauche), ( ) (parenthèse droite ou gauche), “ (guillemets) et ‘ (apostrophe). Les descriptions peuvent contenir jusqu’à 256 caractères unicode.

Lorsque vous copiez ou modifier une étendue, n’oubliez pas que la suppression des objets dans l’étendue peut rendre ces objets inaccessibles à l’administrateur. Si l’étendue modifiée est associée à un ou plusieurs rôles, assurez-vous que les mises à jour que vous apportez à l’étendue ne rendent pas une paire rôle/étendue inutilisable.

Pour gérer des étendues, utilisez Configuration > Administrateurs dans le panneau de navigation de Studio, puis cliquez sur l’onglet Étendues dans la partie supérieure du panneau central.

  • Pour créer une étendue, cliquez sur Créer une nouvelle étendue dans le volet Actions. Entrez un nom et une description. Pour inclure tous les objets d’un type particulier (par exemple, les groupes de mise à disposition), sélectionnez le type d’objet. Pour inclure des objets spécifiques, développez le type, puis sélectionnez les objets individuels (par exemple, les groupes de mise à disposition individuels utilisés par l’équipe des Ventes).
  • Pour copier une étendue, sélectionnez l’étendue dans le volet central, puis cliquez sur Copier étendue dans le volet Actions. Entrez un nom et une description. Modifiez les types d’objets et les objets, si nécessaire.
  • Pour modifier une étendue, sélectionnez l’étendue dans le volet central, puis cliquez sur Modifier l’étendue dans le volet Actions. Modifiez le nom, la description, les types d’objet et les objets, si nécessaire.
  • Pour supprimer une étendue, sélectionnez l’étendue dans le volet central, puis cliquez sur Supprimer l’étendue dans le volet Actions. Lorsque vous y êtes invité, confirmez la suppression.

Créer des rapports

Vous pouvez créer deux types de rapports d’administration déléguée :

  • Ce rapport HTML indique les paires rôle/étendue associées à un administrateur et dresse la liste des autorisations individuelles pour chaque type d’objet (par exemple, les groupes de mise à disposition et les catalogues de machines). Vous pouvez générer ce rapport à partir de Studio.

    Pour créer ce rapport, cliquez sur Configuration > Administrateurs dans le volet de navigation. Sélectionnez un administrateur dans le panneau du milieu, puis cliquez sur Créer un rapport dans le volet Actions.

    Vous pouvez également demander ce rapport lors de la création, de la copie ou de la modification d’un administrateur.

  • Un rapport HTML ou CSV qui mappe tous les rôles personnalisés et intégrés à des autorisations. Vous pouvez générer ce rapport en exécutant le script PowerShell nommé OutputPermissionMapping.ps1.

    Pour exécuter ce script, vous devez être un administrateur complet, un administrateur en lecture seule ou un administrateur personnalisé avec autorisation de lecture des rôles. Le script se trouve dans : Program Files\Citrix\DelegatedAdmin\SnapIn\Citrix.DelegatedAdmin.Admin.V1\Scripts.

    Syntaxe :

    OutputPermissionMapping.ps1 [-Help] [-Csv] [-Path \<string>] [-AdminAddress \<string>] [-Show] [\<CommonParameters>]

    Paramètre Description
    -Help Affiche l’aide du script.
    -Csv Spécifie le fichier CSV de sortie. Valeur par défaut = HTML
    -Path Où écrire la sortie. Valeur par défaut = stdout
    -AdminAddress Adresse IP ou nom d’hôte du Delivery Controller auquel se connecter. Valeur par défaut = XA
    -Show (Valide uniquement lorsque le paramètre -Path est également spécifié). Lorsque vous écrivez la sortie vers un fichier, ce paramètre entraîne l’ouverture de la sortie dans un programme approprié, tel qu’un navigateur Web.
    Verbose, Debug, ErrorAction, ErrorVariable, WarningAction, WarningVariable, OutBuffer et OutVariable. Pour plus d’informations, veuillez consulter la documentation Microsoft.

L’exemple suivant écrit une table HTML sur un fichier appelé Roles.html et ouvre la table dans un navigateur Web.

pre codeblock
& "$env:ProgramFiles\Citrix\DelegatedAdmin\SnapIn\
Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1"
-Path Roles.html –Show

L’exemple suivant écrit une table CSV sur un fichier appelé Roles.csv. La table n’est pas affichée.

pre codeblock
& "$env:ProgramFiles\Citrix\DelegatedAdmin\SnapIn\
Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1"
–CSV -Path Roles.csv

À partir d’une invite de commande Windows, l’exemple de commande précédente est :

pre codeblock
powershell -command "& '%ProgramFiles%\Citrix\DelegatedAdmin\SnapIn\
Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1'
-CSV -Path Roles.csv"