Product Documentation

Délégation de l'administration

Oct 21, 2016
Grâce à l'utilisation d'un contrôle basé sur des objets et des rôles, le modèle d'administration déléguée vous offre une souplesse permettant d'adapter les activités d'administration déléguée aux besoins de votre entreprise. L'administration déléguée prend en charge les déploiements de toutes les tailles et vous permet d'affiner la granularité des autorisations à mesure que votre déploiement gagne en complexité. L'administration déléguée utilise trois concepts : les administrateurs, les rôles et les étendues.
  • Administrateurs : un administrateur représente une personne ou un groupe de personnes identifié par leur compte Active Directory. Chaque administrateur est associé à un ou plusieurs rôles et à des paires d'étendues.
  • Rôles : un rôle représente une fonction de tâche à laquelle des permissions sont associées. Par exemple, le rôle Administrateur du groupe de mise à disposition possède des autorisations telles que « Créer un groupe de mise à disposition » et « Supprimer le bureau d'un groupe de mise à disposition ». Un administrateur peut avoir plusieurs rôles pour un même site, donc une personne peut être administrateur du groupe de mise à disposition et administrateur du catalogue de machines. Les rôles peuvent être intégrés ou personnalisés.
    Les rôles intégrés sont :
    Rôle Autorisations
    Administrateur complet Peut effectuer toutes les tâches et toutes les opérations. Un administrateur complet est toujours associé à l'étendue Tout.
    Administrateur en lecture seule Peut afficher tous les objets dans les étendues spécifiées ainsi que les informations générales, mais ne peut rien modifier. Par exemple, un administrateur en lecture seule avec l’étendue = Londres peut voir tous les objets globaux (tels que la journalisation de la configuration) et les objets associés à Londres (par exemple, les groupes de mise à disposition Londres). Toutefois, cet administrateur ne peut pas afficher d'objets dans l'étendue New York (en supposant que les étendues Londres et New York ne se chevauchent pas).
    Administrateur du service d'assistance Peut afficher des groupes de mise à disposition et gérer les sessions et les machines associées à ces groupes. Peut afficher le catalogue de machines et les informations d'hôte des groupes de mise à disposition en cours de surveillance et peut également effectuer des opérations de gestion de session et de gestion de l’alimentation de la machine pour les machines figurant dans ces groupes de mise à disposition.
    Administrateur du catalogue de machines Peut créer et de gérer des catalogues de machines et y provisionner des machines. Peut créer des catalogues de machines à partir de l’infrastructure de virtualisation, Provisioning Services et des machines physiques. Ce rôle peut gérer les images de base et installer le logiciel, mais ne peut pas assigner les applications ou bureaux aux utilisateurs.
    Administrateur de groupe de mise à disposition Peut mettre à disposition des applications, bureaux et machines ; peut également gérer les sessions associées. Il peut également gérer les configurations d'applications et de bureaux, telles que les stratégies et les paramètres de gestion de l'alimentation.
    Administrateur d'hôte Peut gérer les connexions hôtes et leurs paramètres de ressources associés. Impossible de mettre à disposition des machines, applications ou bureaux aux utilisateurs.

    Dans certaines éditions de XenDesktop, vous pouvez créer des rôles correspondants aux besoins de votre organisation, et déléguer des autorisations avec plus de détails. Vous pouvez utiliser les rôles personnalisés pour allouer des autorisations à la précision d'une action ou d'une tâche dans la console.

  • Étendues : une étendue représente une collection d'objets. Les étendues sont utilisées pour grouper les objets de manière pertinente pour votre organisation (par exemple, l'ensemble de groupes de mise à disposition utilisé par l'équipe des ventes). Les objets peuvent appartenir à plus d'une étendue ; par exemple, un objet peut être marqué comme appartenant à une ou plusieurs étendues. Il existe une étendue intégrée appelée « Tout » qui contient tous les objets. Le rôle d'administrateur complet est toujours associé à l'étendue Tout.

Exemple

La société XYZ a décidé de gérer les applications et bureaux en fonction de leur département (Comptabilité, Ventes et Production) et de leur système d'exploitation de bureau (Windows 7 ou Windows 8). L'administrateur a créé cinq étendues, puis a attribué deux étendues à chaque groupe de mise à disposition : une pour le département où ils sont utilisés et une pour le système d'exploitation qu'ils utilisent.

Les administrateurs suivants ont été créés :
Administrateur Rôles Étendues

domaine/fred

Administrateur complet

Tous (le rôle Administrateur complet a toujours la portée Tout)

domaine/rob

Administrateur en lecture seule

Tous

domaine/heidi

Administrateur en lecture seule

Administrateur du service d'assistance

Tous

Ventes

domaine/warehouseadmin

Administrateur du service d'assistance

Distribution

domaine/peter

Administrateur de groupe de mise à distribution et administrateur de catalogue de machines

Win7

  • Fred est un administrateur complet qui peut afficher, modifier et supprimer tous les objets dans le système.
  • Rob peut afficher tous les objets dans le site mais ne peut pas les modifier ou les supprimer.
  • Heidi peut afficher tous les objets et peut effectuer des tâches de support technique sur les groupes de mise à disposition dans l'étendue Ventes. Cela lui permet de gérer les sessions et les machines associées à ces groupes ; elle ne peut pas effectuer de modifications dans le groupe de mise à disposition, telles que l'ajout ou la suppression de machines.
  • Toute personne qui est membre du groupe de sécurité Active Directory WarehouseAdmins peut afficher et effectuer des tâches d'assistance sur des machines dans la portée Distribution.
  • Peter est un spécialiste Windows 7 et peut gérer tous les catalogues de machines Windows 7 et mettre à disposition des applications, bureaux et machines Windows 7, quelle que soit l'étendue du département auquel elles appartiennent. L'administrateur a envisagé de donner à Peter le rôle d'administrateur complet pour l'étendue Win7 ; elle en a décidé autrement, car un administrateur complet a également des droits complets sur tous les objets qui ne sont pas inclus dans l'étendue, tels que « Site » et « Administrateur ».

Comment utiliser l'administration déléguée

En général, le nombre d'administrateurs et la granularité de leurs autorisations dépendent de la taille et de la complexité du déploiement.
  • Dans les déploiements de petite taille ou de preuve de concept, toutes les tâches sont effectuées par un ou plusieurs administrateurs ; il n'y a pas de délégation. Dans ce cas, créez chaque administrateur avec le rôle Administrateur complet intégré, qui a la portée Tout.
  • Dans les déploiements plus importants avec plus d'ordinateurs, d'applications et de bureaux, une plus grande délégation est nécessaire. Plusieurs administrateurs ont peut-être des responsabilités fonctionnelles plus spécifiques (rôles). Par exemple, deux sont des administrateurs complets et les autres sont des administrateurs du service d'assistance. En outre, un administrateur peut ne gérer que certains groupes d'objets (étendues), tels que des catalogues de machines. Dans ce cas, créez de nouvelles étendues, ainsi que des administrateurs avec l'un des rôles intégrés et les étendues appropriées.
  • Même les déploiements plus importants peuvent nécessiter plus (ou plus spécifiques) d'étendues, ainsi que des administrateurs différents dotés de rôles non conventionnels. Dans ce cas, modifiez ou créez des étendues supplémentaires, créez des rôles personnalisés et créez chaque administrateur avec un rôle personnalisé ou intégré, ainsi que des étendues existantes et nouvelles.

Pour garantir une souplesse et facilité de configuration, vous pouvez créer de nouvelles étendues lorsque vous créez un administrateur. Vous pouvez également spécifier des étendues lors de la création ou de la modification de catalogues de machines ou d'hôtes.