Product Documentation

Configurer les permissions pour VDA antérieurs à XenDesktop 7

Jun 20, 2017

Si les utilisateurs possèdent des VDA antérieurs à XenDesktop 7 installés sur leurs machines, Director complète les informations sur le déploiement avec des données en temps réel sur l'état et des métriques via Windows Remote Management (WinRM).

En outre, utilisez cette procédure pour configurer WinRM pour une utilisation avec Remote PC dans XenDesktop 5.6 Feature Pack 1.

Par défaut, seuls les administrateurs locaux de la machine de bureau (c'est-à-dire, généralement, les administrateurs de domaine et autres utilisateurs privilégiés) disposent des permissions nécessaires pour afficher les données en temps réel.

Pour plus d'informations sur l'installation et la configuration de WinRM, veuillez consulter l'article CTX125243.

Pour autoriser d'autres utilisateurs à afficher les données en temps réel, vous devez leur accorder les permissions correspondantes. Par exemple, supposez qu'il existe plusieurs utilisateurs Director (HelpDeskUserA, HelpDeskUserB, etc) qui appartiennent au groupe de sécurité Active Directory appelé HelpDeskUsers. Le groupe a été attribué au rôle d'administrateur du bureau d'assistance dans Studio, leur offrant les permissions Delivery Controller requises. Toutefois, le groupe doit également pouvoir accéder aux informations de la machine de bureau.

Pour fournir l'accès nécessaire, vous pouvez configurer les permissions requises de l'une des façons suivantes :
  • en définissant des permissions pour les utilisateurs Director (modèle d'usurpation d'identité) ;
  • en définissant des permissions pour le service Director (modèle de sous-système autorisé).

Pour accorder des permissions relatives aux utilisateurs Director (modèle d'usurpation d'identité)

Par défaut, Director utilise le modèle d'usurpation d'identité : la connexion WinRM à la machine de bureau est établie en utilisant l'identité de l'utilisateur Director. C'est donc l'utilisateur qui doit disposer des permissions appropriées sur le bureau.

Vous pouvez configurer ces permissions de deux manières (décrites dans ce document) :

  1. en ajoutant des utilisateurs au groupe d'administrateurs locaux sur la machine de bureau ;
  2. en accordant aux utilisateurs les permissions spécifiques requises par Director. Cette option permet d'éviter de transmettre les permissions administratives de Director aux utilisateurs (par exemple, le groupe HelpDeskUsers) sur la machine.

Pour accorder des permissions au service Director (modèle de sous-système autorisé).

Au lieu d'accorder aux utilisateurs Director des permissions sur les machines de bureaux, vous pouvez configurer Director de sorte qu'il établisse les connexions WinRM à l'aide d'une identité de service et accorder à cette identité de service uniquement les permissions nécessaires.

Avec ce modèle, les utilisateurs Director ne sont pas autorisés à passer eux-mêmes des appels WinRM. Ils peuvent uniquement accéder aux données à l'aide de Director.

Le regroupement d'applications Director des services IIS est configuré pour être exécuté comme identité de service. Par défaut, il s'agit du compte virtuel APPPOOL\Director. Lorsque vous établissez des connexions à distance, ce compte apparaît en tant que compte d'ordinateur Active Directory du serveur, par exemple MonDomaine\ServeurDirector$. Vous devez configurer ce compte avec les permissions nécessaires.

Si plusieurs sites Web Director sont déployés, vous devez placer chaque compte d'ordinateur du serveur Web dans un groupe de sécurité Active Directory configuré avec les permissions appropriées.

Pour configurer Director pour qu'il utilise l'identité du service pour WinRM au lieu de l'identité de l'utilisateur, configurez le paramètre suivant comme indiqué dans la rubrique Configuration avancée :

Service.Connector.WinRM.Identity = Service

Vous pouvez configurer ces permissions de l'une des façons suivantes :

  1. en ajoutant le compte de service au groupe d'administrateurs locaux sur la machine de bureau ;
  2. en accordant au compte de service les permissions spécifiques requises par Director (décrit ci-après). Cette option évite d'accorder au compte de service l'ensemble des permissions administratives sur la machine.

Pour attribuer des permissions à un utilisateur ou un groupe spécifique

Les permissions suivantes sont requises pour que Director puisse accéder aux informations relatives à la machine de bureau via WinRM :

  • Permissions de lecture et d'exécution dans WinRM RootSDDL
  • Permissions sur l'espace de nom WMI :
    • root/cimv2 - accès distant
    • root/citrix - accès distant
    • root/RSOP - accès distant et exécution
  • Membre de ces groupes locaux :
    • Utilisateurs de type contrôle des performances
    • Lecteurs de journaux d'événements

L'outil ConfigRemoteMgmt.exe, utilisé pour accorder automatiquement des permissions, est disponible sur le support d'installation dans les dossiers x86\Virtual Desktop Agent et x64\Virtual Desktop Agent et sur le support d'installation dans le dossier tools. Vous devez accorder des permissions à tous les utilisateurs Director.

Pour accorder des permissions à un groupe de sécurité, utilisateur, compte d'ordinateur Active Directory, ou pour des actions telles que celles qui consistent à Mettre fin à l'application et Mettre fin au processus, exécutez l'outil avec les privilèges d'administration à partir d'une invite de commande qui utilise les arguments suivants :

ConfigRemoteMgmt.exe /configwinrmuser domain\name

où name correspond au compte du groupe de sécurité, de l'utilisateur ou de l'ordinateur.

Pour accorder les permissions nécessaires à un groupe de sécurité d'utilisateur :

ConfigRemoteMgmt.exe /configwinrmuser domain\HelpDeskUsers

Pour accorder les permissions à un compte d'ordinateur spécifique :

ConfigRemoteMgmt.exe /configwinrmuser domain\DirectorServer$

Pour les actions Mettre fin au processus, Mettre fin à l'application et Observer :

ConfigRemoteMgmt.exe /configwinrmuser domain\name /all

Pour accorder des permissions à un groupe d'utilisateurs :

ConfigRemoteMgmt.exe /configwinrmuser domain\HelpDeskUsers /all

Pour afficher l'aide de l'outil :

ConfigRemoteMgmt.exe