Documentazione dei prodotti
Citrix Virtual Apps and Desktops
Service Current Release 2402 LTSR 2311 2308 2305 2303 2212 2209 2206 2203 LTSR 1912 LTSR
Visualizza PDF

Amministrazione delegata

January 23, 2026
Grazie al contributo di: 
C

Il modello di amministrazione delegata offre la flessibilità necessaria per adattarsi al modo in cui l’organizzazione desidera delegare le attività amministrative, utilizzando il controllo basato su ruoli e oggetti. L’amministrazione delegata si adatta a distribuzioni di tutte le dimensioni e consente di configurare una maggiore granularità delle autorizzazioni man mano che la distribuzione aumenta di complessità. L’amministrazione delegata utilizza tre concetti: amministratori, ruoli e ambiti.

  • Amministratori: Un amministratore rappresenta una persona fisica o un gruppo di persone identificate dal proprio account Active Directory. Ogni amministratore è associato a una o più coppie ruolo e ambito.

  • Ruoli: Un ruolo rappresenta una funzione lavorativa e ha autorizzazioni definite ad essa associate. Ad esempio, il ruolo Amministratore di gruppo di consegna (Delivery Group Administrator) ha autorizzazioni come “Crea gruppo di consegna” (Create Delivery Group) e “Rimuovi desktop dal gruppo di consegna” (Remove Desktop from Delivery Group). Un amministratore può avere più ruoli per un sito, quindi una persona può essere un Amministratore di gruppo di consegna e un Amministratore di catalogo macchine (Machine Catalog Administrator). I ruoli possono essere predefiniti o personalizzati.

    I ruoli predefiniti sono:

    Ruolo Autorizzazioni
    Amministratore completo (Full Administrator) Può eseguire tutte le attività e le operazioni. Un Amministratore completo è sempre combinato con l’ambito Tutti (All).
    Amministratore di sola lettura (Read Only Administrator) Può visualizzare tutti gli oggetti negli ambiti specificati oltre alle informazioni globali, ma non può modificare nulla. Ad esempio, un Amministratore di sola lettura con Ambito=Londra può visualizzare tutti gli oggetti globali (come la registrazione della configurazione) e qualsiasi oggetto con ambito Londra (ad esempio, Gruppi di consegna di Londra). Tuttavia, tale amministratore non può visualizzare gli oggetti nell’ambito New York (supponendo che gli ambiti Londra e New York non si sovrappongano).
    Amministratore Help Desk (Help Desk Administrator) Può visualizzare i Gruppi di consegna e gestire le sessioni e le macchine associate a tali gruppi. Può visualizzare le informazioni sul Catalogo macchine e sull’host per i Gruppi di consegna monitorati. Può anche eseguire operazioni di gestione delle sessioni e di gestione dell’alimentazione delle macchine per le macchine in tali Gruppi di consegna.
    Amministratore di catalogo macchine (Machine Catalog Administrator) Può creare e gestire Cataloghi macchine e fornirvi le macchine. Può creare Cataloghi macchine dall’infrastruttura di virtualizzazione, dai Servizi di provisioning e dalle macchine fisiche. Questo ruolo può gestire le immagini di base e installare software, ma non può assegnare applicazioni o desktop agli utenti.
    Amministratore di gruppo di consegna (Delivery Group Administrator) Può fornire applicazioni, desktop e macchine; può anche gestire le sessioni associate. Può anche gestire le configurazioni di applicazioni e desktop come criteri e impostazioni di gestione dell’alimentazione.
    Amministratore host (Host Administrator) Può gestire le connessioni host e le relative impostazioni delle risorse. Non può fornire macchine, applicazioni o desktop agli utenti.

    In alcune edizioni del prodotto, è possibile creare ruoli personalizzati per soddisfare i requisiti dell’organizzazione e delegare le autorizzazioni con maggiori dettagli. È possibile utilizzare ruoli personalizzati per allocare le autorizzazioni con la granularità di un’azione o un’attività in una console.

  • Ambiti: Un ambito rappresenta una raccolta di oggetti. Gli ambiti vengono utilizzati per raggruppare gli oggetti in un modo pertinente per l’organizzazione (ad esempio, l’insieme di Gruppi di consegna utilizzati dal team di vendita). Gli oggetti possono trovarsi in più di un ambito; si può pensare agli oggetti come etichettati con uno o più ambiti. Esiste un ambito predefinito: “Tutti” (All), che contiene tutti gli oggetti. Il ruolo Amministratore completo è sempre abbinato all’ambito Tutti.

Esempio

L’azienda XYZ ha deciso di gestire applicazioni e desktop in base al reparto (Contabilità, Vendite e Magazzino) e al sistema operativo desktop (Windows 7 o Windows 8). L’amministratore ha creato cinque ambiti, quindi ha etichettato ogni Gruppo di consegna con due ambiti: uno per il reparto in cui vengono utilizzati e uno per il sistema operativo che utilizzano.

Sono stati creati i seguenti amministratori:

Amministratore Ruoli Ambiti
domain/fred Amministratore completo Tutti (il ruolo Amministratore completo ha sempre l’ambito Tutti)
domain/rob Amministratore di sola lettura Tutti
domain/heidi Amministratore di sola lettura, Amministratore Help Desk Tutti Vendite
domain/warehouseadmin Amministratore Help Desk Magazzino
domain/peter Amministratore di gruppo di consegna, Amministratore di catalogo macchine Win7
  • Fred è un Amministratore completo e può visualizzare, modificare ed eliminare tutti gli oggetti nel sistema.
  • Rob può visualizzare tutti gli oggetti nel sito ma non può modificarli o eliminarli.
  • Heidi può visualizzare tutti gli oggetti ed eseguire attività di help desk sui Gruppi di consegna nell’ambito Vendite. Ciò le consente di gestire le sessioni e le macchine associate a tali gruppi; non può apportare modifiche al Gruppo di consegna, come l’aggiunta o la rimozione di macchine.
  • Chiunque sia membro del gruppo di sicurezza Active Directory warehouseadmin può visualizzare ed eseguire attività di help desk sulle macchine nell’ambito Magazzino.
  • Peter è uno specialista di Windows 7 e può gestire tutti i Cataloghi macchine di Windows 7 e fornire applicazioni, desktop e macchine Windows 7, indipendentemente dall’ambito del reparto in cui si trovano. L’amministratore ha considerato di rendere Peter un Amministratore completo per l’ambito Win7. Tuttavia, ha deciso di non farlo, perché un Amministratore completo ha anche pieni diritti su tutti gli oggetti che non sono con ambito, come “Sito” e “Amministratore”.

Come utilizzare l’amministrazione delegata

In generale, il numero di amministratori e la granularità delle loro autorizzazioni dipendono dalle dimensioni e dalla complessità della distribuzione.

  • Nelle distribuzioni di piccole dimensioni o proof-of-concept, uno o pochi amministratori fanno tutto. Non c’è delega. In questo caso, creare ogni amministratore con il ruolo predefinito Amministratore completo, che ha l’ambito Tutti.
  • Nelle distribuzioni più grandi con più macchine, applicazioni e desktop, è necessaria una maggiore delega. Diversi amministratori potrebbero avere responsabilità funzionali più specifiche (ruoli). Ad esempio, due sono Amministratori completi e altri sono Amministratori Help Desk. Inoltre, un amministratore potrebbe gestire solo determinati gruppi di oggetti (ambiti), come i cataloghi macchine. In questo caso, creare nuovi ambiti, più amministratori con uno dei ruoli predefiniti e gli ambiti appropriati.
  • Distribuzioni ancora più grandi potrebbero richiedere più (o più specifici) ambiti, oltre a diversi amministratori con ruoli non convenzionali. In questo caso, modificare o creare più ambiti, creare ruoli personalizzati e creare ogni amministratore con un ruolo predefinito o personalizzato, più ambiti esistenti e nuovi.

Per flessibilità e facilità di configurazione, è possibile creare ambiti quando si crea un amministratore. È anche possibile specificare gli ambiti durante la creazione o la modifica di Cataloghi macchine o connessioni.

Creare e gestire gli amministratori

Quando si crea un sito come amministratore locale, l’account utente diventa automaticamente un Amministratore completo con autorizzazioni complete su tutti gli oggetti. Dopo la creazione di un sito, gli amministratori locali non hanno privilegi speciali.

Il ruolo Amministratore completo ha sempre l’ambito Tutti; non è possibile modificarlo.

Per impostazione predefinita, un amministratore è abilitato. La disabilitazione di un amministratore potrebbe essere necessaria se si sta creando l’amministratore ora, ma quella persona non inizierà le attività amministrative fino a un secondo momento. Per gli amministratori abilitati esistenti, potrebbe essere necessario disabilitarne diversi mentre si stanno riorganizzando gli oggetti/ambiti, quindi riabilitarli quando si è pronti per andare in produzione con la configurazione aggiornata. Non è possibile disabilitare un Amministratore completo se ciò comporterebbe l’assenza di un Amministratore completo abilitato. La casella di controllo abilita/disabilita è disponibile quando si crea, si copia o si modifica un amministratore.

Quando si elimina una coppia ruolo/ambito durante la copia, la modifica o l’eliminazione di un amministratore, viene eliminata solo la relazione tra il ruolo e l’ambito per quell’amministratore. Non viene eliminato né il ruolo né l’ambito. Inoltre, non influisce su nessun altro amministratore configurato con quella coppia ruolo/ambito.

Per gestire gli amministratori, fare clic su Configurazione > Amministratori nel riquadro di navigazione di Studio, quindi fare clic sulla scheda Amministratori nel riquadro centrale superiore.

  • Crea un amministratore: Fare clic su Crea nuovo amministratore nel riquadro Azioni. Digitare o cercare il nome dell’account utente, selezionare o creare un ambito e selezionare un ruolo. Il nuovo amministratore è abilitato per impostazione predefinita; è possibile modificarlo.
  • Copia un amministratore: Selezionare l’amministratore nel riquadro centrale e quindi fare clic su Copia amministratore nel riquadro Azioni. Digitare o cercare il nome dell’account utente. È possibile selezionare e quindi modificare o eliminare una qualsiasi delle coppie ruolo/ambito e aggiungerne di nuove. Il nuovo amministratore è abilitato per impostazione predefinita; è possibile modificarlo.
  • Modifica un amministratore: Selezionare l’amministratore nel riquadro centrale e quindi fare clic su Modifica amministratore nel riquadro Azioni. È possibile modificare o eliminare una qualsiasi delle coppie ruolo/ambito e aggiungerne di nuove.
  • Elimina un amministratore: Selezionare l’amministratore nel riquadro centrale e quindi fare clic su Elimina amministratore nel riquadro Azioni. Non è possibile eliminare un Amministratore completo se ciò comporterebbe l’assenza di un Amministratore completo abilitato.

Il riquadro superiore visualizza gli amministratori creati. Selezionare un amministratore per visualizzarne i dettagli nel riquadro inferiore. La colonna Avvisi indica se le coppie ruolo e ambito associate all’amministratore contengono ruoli o ambiti inutilizzabili. Il seguente messaggio di avviso viene visualizzato se una coppia ruolo e ambito associata contiene ruoli o ambiti inutilizzabili:

  • Ruolo o ambito associato non utilizzabile
    • Rimuovere la coppia ruolo e ambito dall’amministratore.

Importante:

Un messaggio di avviso viene visualizzato solo quando una coppia ruolo e ambito associata contiene ruoli o ambiti inutilizzabili o entrambi.

Per rimuovere la coppia ruolo e ambito dall’amministratore, completare uno dei seguenti passaggi:

  • Eliminare la coppia ruolo e ambito.
    1. Nel riquadro Azioni, fare clic su Modifica amministratore.
    2. Nella finestra Modifica amministratore, selezionare la coppia ruolo e ambito e quindi fare clic su Elimina.
    3. Fare clic su OK per uscire.
  • Eliminare l’amministratore.
    1. Nel riquadro Azioni, fare clic su Elimina amministratore.
    2. Nella finestra Studio, fare clic su Elimina.

Creare e gestire i ruoli

Quando gli amministratori creano o modificano un ruolo, possono abilitare solo le autorizzazioni che essi stessi possiedono. Ciò impedisce agli amministratori di creare un ruolo con più autorizzazioni di quelle che hanno attualmente e quindi di assegnarlo a se stessi (o di modificare un ruolo a cui sono già assegnati).

I nomi dei ruoli possono contenere fino a 64 caratteri Unicode; non possono contenere: barra rovesciata, barra, punto e virgola, due punti, simbolo di cancelletto, virgola, asterisco, punto interrogativo, segno di uguale, freccia sinistra o destra, pipe, parentesi quadra sinistra o destra, parentesi tonda sinistra o destra, virgolette o apostrofo. Le descrizioni possono contenere fino a 256 caratteri Unicode.

Non è possibile modificare o eliminare un ruolo predefinito. Non è possibile eliminare un ruolo personalizzato se è utilizzato da un amministratore.

Nota:

Solo alcune edizioni del prodotto supportano i ruoli personalizzati. Solo le edizioni che supportano i ruoli personalizzati hanno voci correlate nel riquadro Azioni.

Per gestire i ruoli, fare clic su Configurazione > Amministratori nel riquadro di navigazione di Studio, quindi fare clic sulla scheda Ruoli nel riquadro centrale superiore.

  • Visualizza dettagli ruolo: Selezionare il ruolo nel riquadro centrale. La parte inferiore del riquadro centrale elenca i tipi di oggetto e le autorizzazioni associate per il ruolo. Fare clic sulla scheda Amministratori nel riquadro inferiore per visualizzare un elenco di amministratori che attualmente hanno questo ruolo.
  • Crea un ruolo personalizzato: Fare clic su Crea nuovo ruolo nel riquadro Azioni. Immettere un nome e una descrizione. Selezionare i tipi di oggetto e le autorizzazioni.
  • Copia un ruolo: Selezionare il ruolo nel riquadro centrale e quindi fare clic su Copia ruolo nel riquadro Azioni. Modificare il nome, la descrizione, i tipi di oggetto e le autorizzazioni, se necessario.
  • Modifica un ruolo personalizzato: Selezionare il ruolo nel riquadro centrale e quindi fare clic su Modifica ruolo nel riquadro Azioni. Modificare il nome, la descrizione, i tipi di oggetto e le autorizzazioni, se necessario.
  • Elimina un ruolo personalizzato: Selezionare il ruolo nel riquadro centrale e quindi fare clic su Elimina ruolo nel riquadro Azioni. Quando richiesto, confermare l’eliminazione.

Creare e gestire gli ambiti

Quando si crea un sito, l’unico ambito disponibile è l’ambito “Tutti”, che non può essere eliminato.

È possibile creare ambiti utilizzando la seguente procedura. È anche possibile creare ambiti quando si crea un amministratore; ogni amministratore deve essere associato ad almeno una coppia ruolo e ambito. Quando si creano o si modificano desktop, cataloghi macchine, applicazioni o host, è possibile aggiungerli a un ambito esistente. Se non li si aggiunge a un ambito, rimangono parte dell’ambito “Tutti”.

La creazione del sito non può essere con ambito, né gli oggetti di amministrazione delegata (ambiti e ruoli). Tuttavia, gli oggetti che non è possibile con ambito sono inclusi nell’ambito “Tutti”. (Gli Amministratori completi hanno sempre l’ambito Tutti.) Macchine, azioni di alimentazione, desktop e sessioni non sono direttamente con ambito. Agli amministratori possono essere allocate autorizzazioni su questi oggetti tramite i cataloghi macchine o i Gruppi di consegna associati.

I nomi degli ambiti possono contenere fino a 64 caratteri Unicode. I nomi degli ambiti non possono includere: barra rovesciata, barra, punto e virgola, due punti, simbolo di cancelletto, virgola, asterisco, punto interrogativo, segno di uguale, freccia sinistra, freccia destra, pipe, parentesi quadra sinistra o destra, parentesi tonda sinistra o destra, virgolette o apostrofo. Le descrizioni possono contenere fino a 256 caratteri Unicode.

Quando si copia o si modifica un ambito, tenere presente che la rimozione di oggetti dall’ambito può rendere tali oggetti inaccessibili all’amministratore. Se l’ambito modificato è abbinato a uno o più ruoli, assicurarsi che gli aggiornamenti dell’ambito non rendano inutilizzabile alcuna coppia ruolo/ambito.

Per gestire gli ambiti, fare clic su Configurazione > Amministratori nel riquadro di navigazione di Studio, quindi fare clic sulla scheda Ambiti nel riquadro centrale superiore.

  • Crea un ambito: Fare clic su Crea nuovo ambito nel riquadro Azioni. Immettere un nome e una descrizione. Per includere tutti gli oggetti di un particolare tipo (ad esempio, Gruppi di consegna), selezionare il tipo di oggetto. Per includere oggetti specifici, espandere il tipo e quindi selezionare i singoli oggetti (ad esempio, Gruppi di consegna utilizzati dal team di vendita).
  • Copia un ambito: Selezionare l’ambito nel riquadro centrale e quindi fare clic su Copia ambito nel riquadro Azioni. Immettere un nome e una descrizione. Modificare i tipi di oggetto e gli oggetti, se necessario.
  • Modifica un ambito: Selezionare l’ambito nel riquadro centrale e quindi fare clic su Modifica ambito nel riquadro Azioni. Modificare il nome, la descrizione, i tipi di oggetto e gli oggetti, se necessario.
  • Elimina un ambito: Selezionare l’ambito nel riquadro centrale e quindi fare clic su Elimina ambito nel riquadro Azioni. Quando richiesto, confermare l’eliminazione.

Creare report

È possibile creare due tipi di report di amministrazione delegata:

  • Un report HTML che elenca le coppie ruolo/ambito associate a un amministratore, più le singole autorizzazioni per ogni tipo di oggetto (ad esempio, Gruppi di consegna e Cataloghi macchine). Questo report viene generato da Studio.

    Per creare questo report, fare clic su Configurazione > Amministratori nel riquadro di navigazione di Studio. Selezionare un amministratore nel riquadro centrale e quindi fare clic su Crea report nel riquadro Azioni.

    È anche possibile richiedere questo report durante la creazione, la copia o la modifica di un amministratore.

  • Un report HTML o CSV che mappa tutti i ruoli predefiniti e personalizzati alle autorizzazioni. Questo report viene generato eseguendo uno script PowerShell denominato OutputPermissionMapping.ps1.

    Per eseguire questo script, è necessario essere un Amministratore completo, un Amministratore di sola lettura o un amministratore personalizzato con l’autorizzazione a leggere i ruoli. Lo script si trova in: Program Files\Citrix\DelegatedAdmin\SnapIn\Citrix.DelegatedAdmin.Admin.V1\Scripts.

    Sintassi:

    OutputPermissionMapping.ps1 [-Help] [-Csv] [-Path string] [-AdminAddress string] [-Show] [CommonParameters]

    Parametro Descrizione
    -Help Visualizza la guida dello script.
    -Csv Specifica l’output CSV. Predefinito = HTML
    -Path string Dove scrivere l’output. Predefinito = stdout
    -AdminAddress string Indirizzo IP o nome host del Delivery Controller™ a cui connettersi. Predefinito = localhost
    -Show (Valido solo quando viene specificato anche il parametro -Path) Quando si scrive l’output su un file, -Show fa sì che l’output venga aperto in un programma appropriato, come un browser web.
    CommonParameters Verbose, Debug, ErrorAction, ErrorVariable, WarningAction, WarningVariable, OutBuffer e OutVariable. Per i dettagli, consultare la documentazione Microsoft.

L’esempio seguente scrive una tabella HTML in un file denominato Roles.html e apre la tabella in un browser web.

& "$env:ProgramFiles\Citrix\DelegatedAdmin\SnapIn\
Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1"
-Path Roles.html –Show
<!--NeedCopy-->

L’esempio seguente scrive una tabella CSV in un file denominato Roles.csv. La tabella non viene visualizzata.

& "$env:ProgramFiles\Citrix\DelegatedAdmin\SnapIn\
Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1"
–CSV -Path Roles.csv
<!--NeedCopy-->

Da un prompt dei comandi di Windows, il comando dell’esempio precedente è:

powershell -command "& '%ProgramFiles%\Citrix\DelegatedAdmin\SnapIn\
Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1'
-CSV -Path Roles.csv"
<!--NeedCopy-->
Amministrazione delegata
January 23, 2026
Grazie al contributo di: 
C
January 23, 2026
Grazie al contributo di: 
C

In questo articolo

Feedback sito | Your privacy choices footer linkScelte di privacy | Privacy e condizioni legali | Preferenze cookie | Impostazioni di consenso | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.