Citrix Provisioning

Rôles Administrateur

Le rôle administrateur attribué à un groupe d’utilisateurs contrôle l’affichage et la gestion des objets d’une implémentation de Citrix Provisioning. Citrix Provisioning utilise des groupes déjà existants sur le réseau (groupes Windows ou Active Directory). Tous les membres d’un groupe partagent les mêmes privilèges administratifs dans une batterie. Un administrateur a plusieurs rôles s’il appartient à plusieurs groupes.

Les rôles d’administration suivants peuvent être attribués à un groupe :

  • Administrateur de batterie
  • Administrateur de batterie en lecture seule
  • Administrateur de site
  • Administrateur de machine
  • Opérateur de machine

Une fois qu’un rôle administrateur a été attribué à un groupe à l’aide de la console Citrix Provisioning, il existe certaines exigences. Si un membre de ce groupe tente de se connecter à une autre batterie de serveurs, une boîte de dialogue s’affiche pour vous demander d’identifier un serveur de provisioning au sein de cette batterie. Utilisez soit les informations Windows avec lesquelles vous êtes connecté (paramètre par défaut), soit ses informations d’identification Active Directory. Citrix Provisioning ne peut pas utiliser simultanément un domaine et des groupes de travail.

Le rôle associé au groupe détermine vos privilèges d’administration au sein de cette batterie. Les attributions de rôles d’un groupe peuvent varier d’une batterie à l’autre.

Gestion des administrateurs de batterie

Les administrateurs de batterie peuvent afficher et gérer tous les objets d’une batterie et également créer des sites et gérer les appartenances aux rôles à travers toute la batterie. Dans la console Citrix Provisioning, les administrateurs effectuent les tâches au niveau de la batterie.

Écran de l’architecture de la batterie

Lorsque la batterie est configurée à l’aide de l’assistant de configuration, le rôle administrateur de batterie est automatiquement attribué à l’administrateur qui crée cette batterie. Lors de la configuration de la batterie, cet administrateur choisit d’utiliser les informations d’identification Active Directory ou Windows pour les autorisations des utilisateurs dans la batterie. Une fois l’assistant de configuration exécuté par un administrateur, des groupes supplémentaires peuvent se voir attribuer le rôle administrateur de batterie dans la console.

Pour attribuer des administrateurs de batterie supplémentaires

  1. Dans la console, cliquez avec le bouton droit de la souris sur le site pour lequel le rôle administrateur a été attribué, puis sélectionnez Properties. La boîte de dialogue Farm Properties s’ouvre.
  2. Dans l’onglet Groups, mettez en surbrillance tous les groupes auxquels sont attribués des rôles d’administration dans cette batterie, puis cliquez sur Add. Dans la boîte de dialogue Ajouter des groupes système, ajoutez des groupes pour accorder des droits d’accès. Cliquez sur OK.
  3. Dans l’onglet Security, sélectionnez les groupes auxquels vous souhaitez fournir un accès en lecture seule. Les groupes qui ne sont pas sélectionnés auront un accès en lecture/écriture. Cliquez sur Ajouter si vous souhaitez ajouter des groupes à la liste.
  4. Cliquez sur OK pour fermer la boîte de dialogue.

Remarque :

la méthode d’autorisation s’affiche pour indiquer si ce sont des informations d’identification Active Directory ou Windows qui sont utilisées pour l’autorisation des utilisateurs dans cette batterie. Les groupes de rôles d’administration sont limités aux groupes du domaine natif et aux domaines avec une approbation bidirectionnelle au domaine natif.

Gestion des administrateurs de site

Les administrateurs de site ont un accès complet à l’ensemble des objets d’un site. Par exemple, l’administrateur de site peut gérer les serveurs de provisioning, les propriétés du site, les machines cibles, les collections de machines, les attributions et les regroupements de disques virtuels.

Image du site et des collections

Si un administrateur de batterie attribue à un site le statut de propriétaire d’un magasin spécifique, l’administrateur de site peut également gérer ce magasin. La gestion d’un magasin comprend notamment l’ajout et la suppression de disques virtuels à partir d’un stockage partagé ou l’attribution de serveurs de provisioning au magasin. L’administrateur de site peut également gérer les appartenances des administrateurs et opérateurs de machine.

Pour attribuer le rôle administrateur de site à un ou plusieurs groupes et aux membres qui en font partie

  1. Dans la console, cliquez avec le bouton droit de la souris sur le site pour lequel le rôle administrateur a été attribué, puis sélectionnez Properties. La boîte de dialogue Site Properties s’affiche.
  2. Cliquez sur l’onglet Security, puis sur le bouton Add. La boîte de dialogue Add Security Group apparaît.
  3. Dans le menu, sélectionnez les groupes auxquels vous souhaitez fournir un accès.
  4. Facultatif : répétez les étapes 2 et 3 pour attribuer d’autres administrateurs de site.
  5. Cliquez sur OK pour fermer la boîte de dialogue.

Gestion des administrateurs de machines

Les administrateurs de machines gèrent les collections de machines pour lesquelles ils bénéficient de privilèges. Les tâches de gestion comprennent l’attribution et la suppression d’un disque virtuel d’une machine, la modification des propriétés d’une machine et l’affichage des propriétés du disque virtuel en lecture seule. Les collections de machines sont des regroupements logiques de machines cibles. Une collection de machines peut par exemple représenter un emplacement physique, une plage de sous-réseaux ou un regroupement logique de machines cibles. une machine cible ne peut être membre que d’une seule collection de machines.

Pour attribuer le rôle administrateur de machine à un ou plusieurs groupes et aux membres qui en font partie

  1. Dans la console, développez le site dans lequel se trouve la collection de machines, puis développez le dossier Device Collections.
  2. Cliquez avec le bouton droit de la souris sur la collection de machines à laquelle vous souhaitez ajouter des administrateurs de machines, puis sélectionnez Properties. La boîte de dialogue Device Collection Properties apparaît.
  3. Dans l’onglet Security, sous la liste d’accès des groupes ayant un rôle Administrateur de machine, cliquez sur Add. La boîte de dialogue Add Security Group apparaît.
  4. Dans le menu, sélectionnez les groupes auxquels vous souhaitez fournir un accès.
  5. Cliquez sur OK pour fermer la boîte de dialogue.

Gestion des opérateurs de machines

Un opérateur de machine possède les privilèges d’administrateur lui permettant de réaliser les tâches suivantes au sein d’une collection de machines pour laquelle il bénéficie de privilèges :

  • démarrage et redémarrage d’une machine cible ;
  • fermeture d’une machine cible ;

Pour attribuer le rôle d’opérateur de machine à un ou plusieurs groupes

  1. Dans la console, développez le site dans lequel se trouve la collection de machines, puis développez le dossier Device Collections.
  2. Cliquez avec le bouton droit de la souris sur la collection de machines à laquelle vous souhaitez ajouter des opérateurs de machines, puis sélectionnez Properties. La boîte de dialogue Device Collection Properties apparaît.
  3. Dans l’onglet Security, sous la liste d’accès des groupes ayant un rôle Opérateur de machine, cliquez sur Add. La boîte de dialogue Add Security Group apparaît.
  4. Pour attribuer le rôle d’opérateur de machine à un groupe, sélectionnez chaque groupe ayant besoin de ces privilèges, puis cliquez sur OK.
  5. Cliquez sur OK pour fermer la boîte de dialogue.

Modification de l’approche de recherche dans les environnements AD

Pour certains environnements AD contenant des groupes imbriqués complexes et des domaines avec de nombreuses associations de confiance, la méthode de recherche par défaut peut ne pas être en mesure de trouver les appartenances administratives attendues de l’utilisateur. Pour résoudre ces scénarios, utilisez un paramètre de registre pour modifier l’approche de recherche :

  1. Dans le paramètre de registre, recherchez HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\ProvisioningServices.
  2. Créez un DWORD nommé « DomainSelectOption ».
  3. Dans le DomainSelectOption DWORD, définissez l’une des valeurs suivantes (au format décimal) pour l’approche de recherche souhaitée :
  • 0 - Recherche par défaut. Cette méthode effectue la recherche dans le domaine de l’utilisateur, suivi des domaines du groupe administratif.
  • 1 - Recherche dans le domaine de l’utilisateur et dans le domaine du groupe administratif, suivis d’autres domaines de confiance dans le domaine d’un utilisateur.
  • 2 - Obsolète.
  • 3 - Recherche dans le domaine de l’utilisateur, suivi des domaines du groupe administratif. Les groupes découverts sont ensuite énumérés sur le domaine du parent.
  • 4 - Recherche dans le domaine de l’utilisateur et dans le domaine du groupe administratif, suivis d’autres domaines de confiance dans le domaine d’un utilisateur. Les groupes découverts sont ensuite énumérés sur le domaine du parent.
  • 5 - Recherche de l’appartenance au groupe de l’utilisateur à partir de groupes de jetons dans le domaine de l’utilisateur et dans le domaine du groupe d’administration.
  • 6 - Recherche de l’appartenance au groupe de l’utilisateur à partir de groupes de jetons dans le domaine de l’utilisateur et dans le domaine du groupe d’administration, suivi d’autres domaines approuvés dans le domaine d’un utilisateur.
  • 7 - Recherche de l’appartenance au groupe de l’utilisateur directement à partir des groupes d’autorisation.
  • 8 - Recherche de l’appartenance au groupe de l’utilisateur directement en tant que groupes « Membre de ».

À propos des méthodes de mise en liste blanche

Utilisez les informations de cette section à des fins de diagnostic uniquement. Parfois, il peut être utile de spécifier un domaine spécifique pour un groupe d’utilisateurs à rechercher. Pour effectuer cette tâche, mettez à jour le registre et fournissez un fichier JSON pour le domaine sur liste blanche. Utilisez uniquement l’option de recherche par défaut. Si vous fournissez un domaine sur liste noire, il est exclu des domaines sur liste blanche. Aucune recherche ne se produit lorsque la liste de fin est vide.

Dans le registre :

  1. Localisez HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\ProvisioningServices.
  2. Créez une entrée DWORD WhiteListOnly. Définissez la valeur sur 1 pour activer la recherche de liste blanche.
Rôles Administrateur