Citrix Virtual Apps and Desktops

Amministrazione delegata

Il modello di amministrazione delegata offre la flessibilità necessaria per adeguarsi al modo in cui l’organizzazione desidera delegare le attività di amministrazione, utilizzando il controllo basato su ruoli e su oggetti. L’amministrazione delegata supporta distribuzioni di tutte le dimensioni e consente di configurare una maggiore granularità delle autorizzazioni man mano che la distribuzione si fa più complessa. L’amministrazione delegata utilizza tre concetti: amministratori, ruoli e ambiti.

  • Amministratori: un amministratore rappresenta una singola persona o un gruppo di persone identificate dal proprio account Active Directory. Ogni amministratore è associato a una o più coppie di ruoli e di ambiti.

  • Ruoli: un ruolo rappresenta una funzione lavorativa e ad esso sono associate autorizzazioni definite. Ad esempio, il ruolo di Amministratore del gruppo di consegna dispone di autorizzazioni quali “Create Delivery Group” (Crea gruppo di consegna) e “Remove Desktop from Delivery Group” (Rimuovi desktop dal gruppo di consegna). Un amministratore può disporre di più ruoli per un sito, quindi una stessa persona può essere un amministratore del gruppo di consegna e del catalogo macchine. I ruoli possono essere incorporati o personalizzati.

    I ruoli predefiniti sono:

    Ruolo Autorizzazioni
    Full Administrator (Amministratore completo) Può eseguire tutte le attività e le operazioni. Un amministratore completo viene sempre combinato con l’ambito All (Tutto).
    Read Only Administrator (Amministratore di sola lettura) Può visualizzare tutti gli oggetti negli ambiti specificati oltre alle informazioni globali, ma non può modificare nulla. Ad esempio, un amministratore di sola lettura con ambito= Londra può visualizzare tutti gli oggetti globali (ad esempio Registrazione configurazione) e tutti gli oggetti con ambito Londra (ad esempio, Gruppi di consegna di Londra). Tuttavia, tale amministratore non può visualizzare gli oggetti nell’ambito di New York (supponendo che gli ambiti Londra e New York non si sovrappongano).
    Help Desk Administrator (Amministratore dell’helpdesk) Può visualizzare i gruppi di consegna e gestire le sessioni e i computer associati a tali gruppi. Può visualizzare il catalogo macchine e le informazioni sull’host per i gruppi di consegna che segue. Può inoltre eseguire operazioni di gestione delle sessioni e gestione dell’alimentazione della macchina per le macchine di tali gruppi di consegna.
    Amministratore del catalogo macchine Può creare e gestire i cataloghi di macchine e il provisioning delle macchine in essi elencate. Può creare cataloghi macchine dall’infrastruttura di virtualizzazione, dai Provisioning Services e dalle macchine fisiche. Questo ruolo può gestire immagini di base e installare software, ma non può assegnare applicazioni o desktop agli utenti.
    Amministratore di gruppo di consegna Può distribuire applicazioni, desktop e macchine, nonché gestire le sessioni associate. Può inoltre gestire configurazioni di applicazioni e desktop, ad esempio criteri e impostazioni di risparmio energia.
    Host Administrator (Amministratore host) Può gestire le connessioni host e le relative impostazioni delle risorse associate. Non può distribuire macchine, applicazioni o desktop agli utenti.

    In alcune edizioni del prodotto, è possibile creare ruoli personalizzati in base ai requisiti dell’organizzazione e delegare le autorizzazioni con maggiori dettagli. È possibile utilizzare ruoli personalizzati per allocare le autorizzazioni in base alla granularità di un’azione o di un’attività in una console.

  • Ambiti: un ambito rappresenta una raccolta di oggetti. Gli ambiti vengono utilizzati per raggruppare gli oggetti in modo rilevante per l’organizzazione (ad esempio, l’insieme di gruppi di consegna utilizzato dal team vendite). Gli oggetti possono trovarsi in più di un ambito; gli oggetti possono essere etichettati con uno o più ambiti. C’è un ambito incorporato: “Tutto”, che contiene tutti gli oggetti. Il ruolo Amministratore completo è sempre associato all’ambito Tutto.

Esempio

Società XYZ ha deciso di gestire applicazioni e desktop in base al relativo reparto (Account, Vendite e Magazzino) e al sistema operativo desktop (Windows 7 o Windows 8). L’amministratore ha creato cinque ambiti, quindi ha etichettato ciascun gruppo di recapito con due ambiti: uno per il reparto in cui vengono utilizzati e uno per il sistema operativo che utilizzano.

Sono stati creati i seguenti amministratori:

Amministratore Ruoli Ambiti
dominio/fred Full Administrator (Amministratore completo) Tutto (il ruolo Amministratore completo ha sempre l’ambito Tutto)
dominio/rob Read Only Administrator (Amministratore di sola lettura) Tutte
dominio/heidi Amministratore di sola lettura, Amministratore dell’helpdesk Tutte le vendite
dominio/warehouseadmin Help Desk Administrator (Amministratore dell’helpdesk) Magazzino
dominio/peter Amministratore dei gruppi di consegna, Amministratore del catalogo macchine Win7
  • Fred è un amministratore completo e può visualizzare, modificare ed eliminare tutti gli oggetti presenti nel sistema.
  • Rob può visualizzare tutti gli oggetti presenti nel sito ma non modificarli o eliminarli.
  • Heidi può visualizzare tutti gli oggetti ed eseguire attività di helpdesk nei gruppi di consegna nell’ambito Vendite. Ciò le consente di gestire le sessioni e le macchine associate a tali gruppi; non può apportare modifiche al gruppo di recapito, ad esempio aggiungere o rimuovere macchine.
  • Chiunque sia membro del gruppo di sicurezza di warehouseadmin di Active Directory può visualizzare ed eseguire attività di helpdesk sui computer che fanno parte dell’ambito Magazzino.
  • Peter è uno specialista di Windows 7 e può gestire tutti i cataloghi di macchine Windows 7 e può fornire applicazioni, desktop e computer Windows 7, indipendentemente dall’ambito di reparto in cui si trovano. L’amministratore ha preso in considerazione la decisione di rendere Peter un amministratore completo per l’ambito Win7. Tuttavia, ha poi deciso di non farlo, perché un amministratore completo ha anche diritti completi su tutti gli oggetti che non sono ambiti, come “Sito” e “Amministratore”.

Come utilizzare l’amministrazione delegata

In genere, il numero di amministratori e la granularità delle autorizzazioni dipendono dalle dimensioni e dalla complessità della distribuzione.

  • Nelle distribuzioni di piccole dimensioni o quelle prova di concetto, uno o pochi amministratori fanno tutto. Non ci sono deleghe. In questo caso, creare ciascun amministratore con il ruolo Amministratore completo incorporato, che dispone dell’ambito Tutto.
  • Nelle distribuzioni più grandi con più macchine, applicazioni e desktop, è necessario delegare di più. Diversi amministratori potrebbero avere responsabilità funzionali (ruoli) più specifiche. Ad esempio, due sono Amministratori completi e altri sono Amministratori dell’helpdesk. Inoltre, un amministratore può gestire solo determinati gruppi di oggetti (ambiti), ad esempio i cataloghi di macchine. In questo caso, creare nuovi ambiti, oltre ad amministratori con uno dei ruoli incorporati e gli ambiti appropriati.
  • Le distribuzioni ancora più grandi potrebbero richiedere più ambiti (o ambiti più specifici), oltre ad amministratori diversi con ruoli non convenzionali. In questo caso, modificare o creare più ambiti, creare ruoli personalizzati e creare ogni amministratore con un ruolo predefinito o personalizzato, oltre ad ambiti nuovi ed esistenti.

Per flessibilità e semplicità di configurazione, è possibile creare ambiti quando si crea un amministratore. È inoltre possibile specificare ambiti durante la creazione o la modifica di cataloghi di macchine o connessioni.

Creare e gestire gli amministratori

Quando si crea un sito come amministratore locale, l’account utente diventa automaticamente un amministratore completo con autorizzazioni complete su tutti gli oggetti. Dopo la creazione di un sito, gli amministratori locali non dispongono di privilegi speciali.

Il ruolo di amministratore completo ha sempre l’ambito Tutto. Non è possibile modificarlo.

Per impostazione predefinita, è abilitato un amministratore. La disattivazione di un amministratore potrebbe essere necessaria se si sta creando l’amministratore in quel momento, ma tale persona non inizierà a svolgere compiti di amministrazione fino a un secondo momento. Per gli amministratori abilitati esistenti, è possibile disabilitare molti di essi durante la riorganizzazione degli oggetti/ambiti, quindi riattivarli quando si è pronti a utilizzare la configurazione aggiornata. Non è possibile disabilitare un amministratore completo se, così facendo, non rimane alcun amministratore completo. La casella di controllo abilita/disabilita è disponibile quando si crea, copia o modifica un amministratore.

Quando si elimina una coppia ruolo/ambito durante la copia, la modifica o l’eliminazione di un amministratore, viene eliminata solo la relazione tra il ruolo e l’ambito di tale amministratore. Non viene eliminato né il ruolo né l’ambito. Inoltre, l’eliminazione non influisce su nessun altro amministratore configurato con tale coppia di ruolo/ambito.

Per gestire gli amministratori, fare clic su Configuration > Administrators nel riquadro di spostamento di Studio e quindi sulla scheda Administrators nel riquadro centrale superiore.

  • Creare un amministratore: fare clic su Create new Administrator (Crea nuovo amministratore) nel riquadro Actions (Azioni). Digitare o individuare il nome dell’account utente, selezionare o creare un ambito e selezionare un ruolo. Il nuovo amministratore è abilitato per impostazione predefinita; è possibile modificare questa impostazione.
  • Copiare un amministratore: selezionare l’amministratore nel riquadro centrale e quindi fare clic su Copy Administrator nel riquadro Actions. Digitare o individuare il nome dell’account utente. È possibile selezionare e quindi modificare o eliminare qualsiasi coppia ruolo/ambito e aggiungerne di nuove. Il nuovo amministratore è abilitato per impostazione predefinita; è possibile modificare questa impostazione.
  • Modificare un amministratore: selezionare l’amministratore nel riquadro centrale e quindi fare clic su Edit Administrator (Modifica amministratore) nel riquadro Actions. È possibile modificare o eliminare una o più delle coppie ruolo/ambito e aggiungerne di nuove.
  • Eliminare un amministratore: selezionare l’amministratore nel riquadro centrale e quindi fare clic su Delete Administrator (Elimina amministratore) nel riquadro Actions. Non è possibile eliminare un amministratore completo se, così facendo, non rimane alcun amministratore completo.

Nel riquadro superiore vengono visualizzati gli amministratori creati. Selezionare un amministratore per visualizzarne i dettagli nel riquadro inferiore. La colonna Warnings (Avvisi) indica se le coppie ruolo/ambito associate all’amministratore contengono ruoli o ambiti inutilizzabili. Se una coppia di ruoli e ambiti associati contiene ruoli o ambiti inutilizzabili, viene visualizzato il seguente messaggio di avviso:

  • Associated role or scope not usable (Ruolo o ambito associato non utilizzabile)
    • Rimuovere la coppia ruolo/ambito dall’amministratore.

Importante:

Se una coppia di ruoli e ambiti associati contiene ruoli o ambiti o coppie ruolo/ambito inutilizzabili, viene visualizzato un messaggio di avviso.

Per rimuovere la coppia ruolo/ambito dall’amministratore, completare una delle seguenti operazioni:

  • Eliminare la coppia ruolo/ambito.
    1. Nel riquadro Actions fare clic su Edit Administrator.
    2. Nella finestra Edit Administrator selezionare la coppia ruolo/ambito e quindi fare clic su Delete.
    3. Fare clic su OK per uscire.
  • Eliminare l’amministratore.
    1. Nel riquadro Actions fare clic su Delete Administrator.
    2. Nella finestra Studio, fare clic su Delete.

Creare e gestire ruoli

Quando gli amministratori creano o modificano un ruolo, possono abilitare solo le autorizzazioni di cui dispongono essi stessi. Ciò impedisce agli amministratori di creare un ruolo con più autorizzazioni di quelle di cui dispongono attualmente e di assegnarlo a se stessi (o modificare un ruolo già assegnato).

I nomi dei ruoli possono contenere fino a 64 caratteri Unicode; non possono contenere: barra rovesciata, barra, punto e virgola, due punti, cancelletto, virgola, asterisco, punto interrogativo, segno di uguale, freccia sinistra o destra, barra verticale, parentesi quadra aperta o chiusa, parentesi tonda aperta o chiusa, virgolette o apostrofo. Le descrizioni possono contenere fino a 256 caratteri Unicode.

Non è possibile modificare o eliminare un ruolo predefinito. Non è possibile eliminare un ruolo personalizzato se viene utilizzato da un amministratore.

Nota:

Solo alcune edizioni di prodotto supportano i ruoli personalizzati. Solo le edizioni che supportano i ruoli personalizzati hanno voci correlate nel riquadro Actions.

Per gestire i ruoli, fare clic su Configuration > Administrators nel riquadro di spostamento di Studio e quindi fare clic sulla scheda Roles nel riquadro centrale superiore.

  • Visualizzare i dettagli del ruolo: selezionare il ruolo nel riquadro centrale. Nella parte inferiore del riquadro centrale sono elencati i tipi di oggetto e le autorizzazioni associate al ruolo. Fare clic sulla scheda Administrators nel riquadro inferiore per visualizzare un elenco degli amministratori che attualmente dispongono di questo ruolo.
  • Creare un ruolo personalizzato: fare clic su Create new Role (Crea nuovo ruolo) nel riquadro Actions. Immettere un nome e una descrizione. Selezionare i tipi di oggetto e le autorizzazioni.
  • Copiare un ruolo: selezionare il ruolo nel riquadro centrale e quindi fare clic su Copy Role (Copia ruolo) nel riquadro Actions. Modificare il nome, la descrizione, i tipi di oggetto e le autorizzazioni in base alle esigenze.
  • Modificare un ruolo personalizzato: selezionare il ruolo nel riquadro centrale e quindi fare clic su Edit Role (Modifica ruolo) nel riquadro Actions. Modificare il nome, la descrizione, i tipi di oggetto e le autorizzazioni in base alle esigenze.
  • Eliminare un ruolo personalizzato: selezionare il ruolo nel riquadro centrale e quindi fare clic su Delete Role (Elimina ruolo) nel riquadro Actions. Quando richiesto, confermare l’eliminazione.

Creare e gestire ambiti

Quando si crea un sito, l’unico ambito disponibile è l’ambito “Tutti”, che non può essere eliminato.

È possibile creare ambiti utilizzando la procedura descritta di seguito. È inoltre possibile creare ambiti quando si crea un amministratore; ogni amministratore deve essere associato ad almeno una coppia ruolo/ambito. Quando si creano o si modificano desktop, cataloghi di macchine, applicazioni o host, è possibile aggiungerli a un ambito esistente. Se non li si aggiunge a un ambito, rimangono parte dell’ambito “Tutto”.

La creazione del sito non può essere inserita in un ambito così come gli oggetti di amministrazione (ambiti e ruoli) delegati. Tuttavia, gli oggetti che non è possibile inserire in un ambito sono inclusi nell’ambito “Tutto”. Gli amministratori completi hanno sempre l’ambito Tutto. Le macchine, le azioni relative all’alimentazione, i desktop e le sessioni non vengono direttamente inseriti in ambiti. Agli amministratori possono essere assegnate autorizzazioni su questi oggetti tramite i cataloghi di computer associati o i gruppi di consegna.

I nomi di ambito possono contenere fino a 64 caratteri Unicode. I nomi dei ruoli non possono contenere: barra rovesciata, barra, punto e virgola, due punti, cancelletto, virgola, asterisco, punto interrogativo, segno di uguale, freccia sinistra o destra, barra verticale, parentesi quadra aperta o chiusa, parentesi tonda aperta o chiusa, virgolette o apostrofo. Le descrizioni possono contenere fino a 256 caratteri Unicode.

Quando si copia o si modifica un ambito, tenere presente che la rimozione di oggetti dall’ambito può rendere tali oggetti inaccessibili all’amministratore. Se l’ambito modificato è associato a uno o più ruoli, assicurarsi che gli aggiornamenti dell’ambito non rendano inutilizzabile alcuna coppia ruolo/ambito.

Per gestire gli ambiti, fare clic su Configuration > Administrators nel riquadro di spostamento di Studio e quindi sulla scheda Scopes (Ambiti) nel riquadro centrale superiore.

  • Creare un ambito: fare clic su Create new Scope (Crea nuovo ambito) nel riquadro Actions. Immettere un nome e una descrizione. Per includere tutti gli oggetti di un tipo particolare (ad esempio gruppi di consegna), selezionare il tipo di oggetto. Per includere oggetti specifici, espandere il tipo e selezionare i singoli oggetti (ad esempio, i gruppi di consegna utilizzati dal team vendite).
  • Copiare un ambito: selezionare l’ambito nel riquadro centrale e quindi fare clic su Copy Scope (Copia ambito) nel riquadro Actions. Immettere un nome e una descrizione. Modificare i tipi di oggetto e gli oggetti in base alle esigenze.
  • Modificare un ambito: selezionare l’ambito nel riquadro centrale e quindi fare clic su Edit Scope (Modifica ambito) nel riquadro Actions. Modificare il nome, la descrizione, i tipi di oggetto e gli oggetti in base alle esigenze.
  • Eliminare un ambito: selezionare l’ambito nel riquadro centrale e quindi fare clic su Delete Scope (Elimina ambito) nel riquadro Actions. Quando richiesto, confermare l’eliminazione.

Creare report

È possibile creare due tipi di report di amministrazione delegata:

  • Un report HTML che elenca le coppie ruolo/ambito associate a un amministratore e le singole autorizzazioni per ogni tipo di oggetto (ad esempio gruppi di consegna e cataloghi macchine). È possibile generare questo report da Studio.

    Per creare questo report, fare clic su Configuration > Administrators nel riquadro di spostamento di Studio. Selezionare un amministratore nel riquadro centrale, quindi fare clic su Create report nel riquadro Actions.

    È inoltre possibile richiedere questo report durante la creazione, la copia o la modifica di un amministratore.

  • Report HTML o CSV che associa tutti i ruoli predefiniti e personalizzati alle autorizzazioni. È possibile generare questo report eseguendo uno script PowerShell denominato OutputPermissionMapping.ps1.

    Per eseguire questo script, è necessario essere un amministratore completo, un amministratore di sola lettura o un amministratore personalizzato con l’autorizzazione per la lettura dei ruoli. Lo script si trova in: Programmi\Citrix\DelegatedAdmin\SnapIn\Citrix.DelegatedAdmin.Admin.V1\Scripts.

    Sintassi:

    OutputPermissionMapping.ps1 [-Help] [-Csv] [-Path string] [-AdminAddress string] [-Show] [CommonParameters]

    Parametro Descrizione
    -Help Visualizza la Guida dello script.
    -Csv Specifica l’output CSV. Predefinito= HTML
    -Path string Dove scrivere l’output. Predefinito= stdout
    -AdminAddress string Indirizzo IP o nome host del Delivery Controller a cui connettersi. Predefinito= localhost
    -Show (Valido solo quando viene specificato anche il parametro -Path) Quando si scrive l’output in un file, -Show fa aprire l’output in un programma appropriato, ad esempio un browser Web.
    CommonParameters Verbose, Debug, ErrorAction, ErrorVariable, WarningAction, WarningVariable, OutBuffer e OutVariable. Per ulteriori informazioni, vedere la documentazione di Microsoft.

Nell’esempio seguente viene scritta una tabella HTML in un file denominato Roles.html e la tabella viene aperta in un browser Web.

& "$env:ProgramFiles\Citrix\DelegatedAdmin\SnapIn\
Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1"
-Path Roles.html –Show
<!--NeedCopy-->

Nell’esempio seguente viene scritta una tabella CSV in un file denominato Roles.csv. La tabella non viene visualizzata.

& "$env:ProgramFiles\Citrix\DelegatedAdmin\SnapIn\
Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1"
–CSV -Path Roles.csv
<!--NeedCopy-->

Dal prompt dei comandi di Windows, il comando di esempio precedente è:

powershell -command "& '%ProgramFiles%\Citrix\DelegatedAdmin\SnapIn\
Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1'
-CSV -Path Roles.csv"
<!--NeedCopy-->
Amministrazione delegata