委任管理
委任管理モデルにより、役割やオブジェクトベースの制御により、組織の管理業務の分担に基づいて柔軟に管理権限を委任することができます。あらゆる規模のサイトで委任管理機能を使用でき、展開環境が複雑化するにつれてより詳細な権限の分担を構成できます。管理権限の委任機能では、管理者、役割、およびスコープという3つの概念が使用されます。
-
管理者: 管理者は、Active Directoryアカウントにより識別される、管理権限を持つ個人またはそのグループを示します。各管理者には、1つまたは複数の役割とスコープのペアが割り当てられます。
-
役割: 役割は管理ジョブの機能を表し、それぞれ定義された権限が割り当てられています。たとえば、[デリバリーグループ管理者]の役割には、「デリバリーグループの作成」および「デリバリーグループからのデスクトップの削除」などの権限があります。管理者は、サイトに対して複数の役割を有することができ、1人の管理者がデリバリーグループ管理者とマシンカタログ管理者を兼ねることができます。役割には、組み込みの役割とカスタムの役割があります。
組み込みの役割は、次のとおりです。
役割 権限 すべての管理権限を実行できる管理者 すべてのタスクおよび操作を実行できます。[すべての管理権限を実行できる管理者]の役割は、常に[すべて]のスコープとペアになります。 読み取り専用管理者 全体的な情報に加えて、指定されたスコープのすべてのオブジェクトを表示できますが、変更はできません。たとえば、「大阪」というスコープを作成して読み取り専用管理者に割り当てると、構成ログなどのグローバルオブジェクトと、大阪支社用のデリバリーグループなど、[大阪]スコープのオブジェクトを表示できます。ただし、この管理者は「ニューヨーク」スコープのオブジェクトを表示できません。 ヘルプデスク管理者 デリバリーグループを表示して、そのセッションやマシンを管理できます。監視対象のデリバリーグループについて、マシンカタログとホスト情報を表示できます。また、それらのデリバリーグループ内のマシンのセッションや電源を管理できます。 マシンカタログ管理者 マシンカタログを作成および管理したり、マシンカタログにマシンをプロビジョニングしたりできます。仮想化インフラストラクチャ、Provisioning Services、および物理マシンを使用してマシンカタログを作成できます。この役割では、基本イメージを管理したりソフトウェアをインストールしたりできますが、アプリケーションやデスクトップをユーザーに割り当てることはできません。 デリバリーグループ管理者 アプリケーション、デスクトップ、およびマシンを配信したり、それらのセッションを管理したりできます。ポリシーや電源管理設定など、アプリケーションおよびデスクトップの構成を管理することもできます。 ホスト管理者 ホスト接続およびその関連リソース設定を管理できます。マシン、アプリケーション、またはデスクトップをユーザーに配信することはできません。 この製品の一部のエディションでは、必要に応じてカスタムの役割を作成して、より詳細な権限を委任することができます。カスタムの役割では、コンソールにおける操作またはタスク単位で権限を割り当てることができます。
-
スコープ: 接続、マシンカタログ、デリバリーグループなど、その管理者が管理できるオブジェクトをグループ化したものです。スコープでは、組織の要件に基づいてオブジェクトをグループ化します(営業チームで使用されるデリバリーグループのセットなど)。オブジェクトを複数のスコープに含めることができます。つまり、1つまたは複数のスコープでオブジェクトをラベル付けすることができます。組み込みのスコープである「すべて」には、すべてのオブジェクトが含まれています。[すべての管理権限を実行できる管理者]の役割は、常にこのスコープとペアになります。
例
XYZ社は自社の部署(経理、営業、倉庫)およびそのデスクトップオペレーティングシステム(Windows 7またはWindows 8)に基づいてアプリケーションとデスクトップを管理することにしました。管理者は5つのスコープを作成し、各デリバリーグループに2つのスコープ(部署を表すスコープと使用するオペレーティングシステムを表すスコープ)を割り当てました。
次の管理者を作成しました。
管理者 | 役割 | スコープ |
---|---|---|
ドメイン/fred | すべての管理権限を実行できる管理者 | すべて([すべての管理権限を実行できる管理者]の役割は、常に[すべて]スコープとペアになります) |
ドメイン/rob | 読み取り専用管理者 | すべて |
ドメイン/heidi | 読み取り専用管理者、ヘルプデスク管理者 | すべての営業担当者 |
ドメイン/warehouseadmin | ヘルプデスク管理者 | 倉庫 |
ドメイン/peter | デリバリーグループ管理者、マシンカタログ管理者 | Win7 |
- Fredは「すべての管理権限を実行できる管理者」で、システム内のすべてのオブジェクトを表示、編集、および削除できます。
- Robはサイト内のすべてのオブジェクトを表示できますが、それらを編集または削除することはできません。
- Heidiはすべてのオブジェクトを表示でき、[営業]スコープのデリバリーグループでヘルプデスクタスクを実行できます。これにより、[営業]スコープのデリバリーグループに割り当てられているセッションとマシンを管理できます。ただし、これらのデリバリーグループに(マシンの追加や削除などの)変更を加えることはできません。
- Active Directoryセキュリティグループwarehouseadminのすべてのメンバーは、[倉庫]スコープのマシンに対するヘルプデスクタスクを表示および実行できます。
- PeterはWindows 7の専門家で、すべてのWindows 7マシンカタログを管理でき、所属している部署のスコープに関係なくWindows 7アプリケーション、デスクトップ、およびマシンを配信できます。当初、管理者はPeterを[Win7]スコープの「すべての管理権限を実行できる管理者」にしようとしました。しかし、管理者はこれを考え直しました。これは、「すべての管理権限を実行できる管理者」には、そのスコープに含まれていないオブジェクト(「サイト」や「管理者」など)に対する全権限が付与されるためです。
委任管理の使用方法
一般的に、管理者数およびその権限の細分性は展開のサイズおよびその複雑度に応じて異なります。
- 小規模または検証用の展開サイトでは、1人または少数の管理者ですべてを管理します。委任管理はありません。この場合、組み込みの[すべての管理権限を実行できる管理者]役割(および[すべて]スコープ)の管理者を作成します。
- より多くのマシン、アプリケーション、およびデスクトップがあるサイトでは、委任管理者の配置が必要になります。何人かの管理者に、より専門的な管理責任(役割)を付与できます。たとえば、2人の「すべての管理権限を実行できる管理者」を設定して、残りをヘルプデスク管理者にします。さらに、マシンカタログなど、特定グループ(スコープ)のオブジェクトの管理を1人の管理者に委任することもできます。この場合、新しいスコープを作成して、組み込みの役割とそのスコープをペアにした管理者を作成します。
- 大規模サイトにおいても、より多くの(またはより詳細な)スコープと、特殊な役割を持つさまざまな管理者が必要になることがあります。この場合は、追加のスコープを作成または編集して、カスタムの役割を作成し、組み込みまたはカスタムの役割と既存または新しいスコープを持つ各管理者を作成します。
スコープは、管理者を作成するときに作成できます。また、マシンカタログやホスト接続を作成または編集するときにスコープを指定することもできます。
管理者の作成と管理
ローカルの管理者アカウントを使用してサイトを作成するときは、すべてのオブジェクトに対する完全な管理権限を持つ管理者としてそのアカウントが設定されます。ただし、サイトを作成した後では、ローカル管理者には特別な特権は与えられません。
すべての管理タスクの実行権限を持つ管理者には、常に[すべて]のスコープが割り当てられます。これを変更することはできません。
デフォルトでは、管理者は有効になります。管理者を作成するときに、その管理者が実際に作業を始めるまで管理者を無効にしておく必要が生じる場合があります。また、オブジェクトやスコープを再構成するときに、既存の管理者を一時的に無効にすることもできます。完全な管理権限を持つ管理者が1人しかいない環境では、その管理者を無効にすることはできません。管理者の有効/無効は、管理者を作成、コピー、または編集するときの[管理者を有効にする]チェックボックスで設定できます。
管理者を編集したりコピーしたりするときのダイアログボックスでスコープ/役割ペアを削除すると、その管理者とスコープ/役割ペアとの関連付けが削除され、個々のスコープや役割は削除されません。役割やスコープは削除されません。また、同じスコープ/役割ペアが割り当てられている管理者がいる場合でも、その関連付けは削除されません。
管理者を管理するには、Studioのナビゲーションペインで[構成]>[管理者]の順にクリックし、中央ペインの上部の[管理者]タブをクリックします。
- 管理者を作成する: [操作]ペインの [管理者の作成] をクリックします。ユーザーアカウント名を入力するか参照し、スコープを選択または作成して、役割を選択します。新しい管理者はデフォルトで有効になりますが、無効にすることもできます。
- 管理者をコピーする: 中央ペインで管理者を選択し、[操作]ペインの [管理者のコピー] をクリックします。ユーザーアカウント名を入力するか参照します。必要に応じて、スコープ/役割ペアを編集または削除したり、新しいペアを追加したりできます。新しい管理者はデフォルトで有効になりますが、無効にすることもできます。
- 管理者を編集する: 中央ペインで管理者を選択し、[操作]ペインの [管理者の編集] をクリックします。必要に応じて、スコープ/役割ペアを編集または削除したり、新しいペアを追加したりできます。
- 管理者を削除する: 中央ペインで管理者を選択し、[操作]ペインの [管理者の削除] をクリックします。完全な管理権限を持つ管理者が1人しかいない環境では、その管理者を削除することはできません。
上ペインに、作成した管理者が表示されます。管理者を選択すると、その詳細が下ペインに表示されます。[警告] 列に、管理者に割り当てられた役割とスコープのペアに、使用できない役割またはスコープが含まれているかどうかが示されます。割り当てられた役割とスコープのペアに使用できない役割またはスコープが含まれている場合、次の警告メッセージが表示されます:
- 割り当てられている役割またはスコープが使用できません
- 管理者からスコープ/役割ペアを削除します。
重要:
警告メッセージは、割り当てられた役割とスコープのペアに使用できない役割またはスコープ(もしくはその両方)が含まれている場合にのみ表示されます。
管理者から役割とスコープのペアを削除するには、次のいずれかの手順を実行します:
- 役割とスコープのペアを削除する。
- [アクション] ペインで、[管理者の編集] をクリックします。
- [管理者の編集] ウィンドウで、役割とスコープのペアを選択し、[削除] をクリックします。
- [OK] をクリックして終了します。
- 管理者を削除する。
- [アクション] ペインで、[管理者の削除] をクリックします。
- [Studio] ウィンドウで、[削除] をクリックします。
役割の作成と管理
管理者が役割を作成または編集する場合、自身が持っている権限のみを有効にできます。これにより、管理者は現在よりも多くの権限を持つ役割を作成して自身に割り当てる(または既に割り当てられた役割を編集する)ことができなくなります。
役割には、64文字までのUnicode文字で名前を付けることができます。ただし、バックスラッシュ、スラッシュ、セミコロン、コロン、番号記号、コンマ、アスタリスク、疑問符、等号、小なり記号、大なり記号、パイプ、角かっこ、丸かっこ、二重引用符、およびアポストロフィは使用できません。説明には、256文字までのUnicode文字を入力できます。
組み込みの役割を編集または削除することはできません。いずれかの管理者が使用しているカスタムの役割は削除できません。
注:
カスタムの役割を作成するには、特定の製品エディションが必要です。カスタムの役割をサポートするエディションのみで、[操作]ペインに関連エントリが表示されます。
役割を管理するには、Studioのナビゲーションペインで [構成]>[管理者] の順にクリックし、中央ペインの上部の [役割] タブをクリックします。
- 役割の詳細を表示する: 中央ペインでその役割を選択します。中央ペインの下部に、その役割のオブジェクトの種類および許可される権限が表示されます。ここで [管理者] タブをクリックすると、その役割が割り当てられている管理者が表示されます。
- カスタム役割を作成する: [操作]ペインの [役割の作成] をクリックします。名前と説明を入力します。この役割に割り当てるオブジェクトの種類と権限を選択します。
- 役割をコピーする: 中央ペインで役割を選択し、[操作]ペインの [役割のコピー] をクリックします。必要に応じて、役割の名前、説明、および権限を変更します。
- カスタム役割を編集する: 中央ペインで役割を選択し、[操作]ペインの [役割の編集] をクリックします。必要に応じて、役割の名前、説明、および権限を変更します。
- カスタム役割を削除する: 中央ペインで役割を選択し、[操作]ペインの [役割の削除] をクリックします。確認のメッセージが表示されたら、[削除]をクリックします。
スコープの作成と管理
サイトを作成すると、[すべて]のスコープが使用可能になります。このスコープは削除できません。
スコープを作成するには、次の手順を使用します。管理者を作成するときにスコープを作成することもできます。すべての管理者は、少なくとも1つの役割とスコープのペアが割り当てられている必要があります。デスクトップ、マシンカタログ、アプリケーション、またはホストを作成したり編集したりするときに、それらを既存のスコープに追加できます。ただし、特定のスコープに追加しない場合でも、自動的に[すべて]のスコープに追加されます。
サイトの作成および委任管理オブジェクト(スコープおよび役割)をスコープに含めることはできません。ただし、スコープに含めることができないオブジェクトも[すべて]のスコープには含まれています。すべての管理タスクの実行権限を持つ管理者には、常に[すべて]のスコープが割り当てられます。マシン、電源操作、デスクトップ、およびセッションはスコープに含まれません。これらのオブジェクトに対する管理者は、マシンカタログまたはデリバリーグループで割り当てることができます。
スコープには、Unicode文字で64文字以下の名前を付けることができます。スコープ名には、次の文字は使用できません:バックスラッシュ、スラッシュ、セミコロン、コロン、番号記号、コンマ、アスタリスク、疑問符、等号、小なり記号、大なり記号、パイプ、角かっこ、丸かっこ、二重引用符、アポストロフィ。説明には、256文字までのUnicode文字を入力できます。
スコープをコピーまたは編集するときにオブジェクトをスコープから削除すると、管理者がそのオブジェクトにアクセスできなくなる可能性があることに注意してください。編集するスコープにいくつかの役割が関連付けられている場合は、編集により役割/スコープのペアが使用できなくならないかどうかを確認してください。
スコープを管理するには、Studioのナビゲーションペインで [構成]>[管理者] の順にクリックし、中央ペインの上部の [スコープ] タブをクリックします。
- スコープを作成する: [操作]ペインの [スコープの作成] をクリックします。名前と説明を入力します。オブジェクトの種類([デリバリーグループ]チェックボックスなど)を選択すると、その種類のすべてのオブジェクトがスコープに追加されます。特定のオブジェクトを追加するには、オブジェクトの種類を開き、個々のオブジェクトを選択します(営業部で使用される特定のデリバリーグループを選択する場合など)。
- スコープのコピー: 中央ペインでスコープを選択し、[操作]ペインの [スコープのコピー] をクリックします。名前と説明を入力します。必要に応じて、オブジェクトの種類とオブジェクトを変更します。
- スコープの編集: 中央ペインでスコープを選択し、[操作]ペインの [スコープの編集] をクリックします。必要に応じて、名前、説明、オブジェクトの種類、およびオブジェクトを変更します。
- スコープの削除: 中央ペインでスコープを選択し、[操作]ペインの [スコープの削除] をクリックします。確認のメッセージが表示されたら、[削除]をクリックします。
レポートの作成
次の2種類の委任管理レポートを作成できます。
-
管理者に関連付けられているスコープ/役割ペアと各種類のオブジェクト(デリバリーグループ、マシンカタログなど)に対する個々の権限の一覧についてのHTMLレポート。Studioで生成できます。
このレポートを作成するには、ナビゲーションペインで [構成]>[管理者] の順に選択します。中央ペインで管理者を選択し、操作ペインで [レポートの作成] をクリックします。
このレポートは、管理者の作成、コピー、および編集時に作成することもできます。
-
組み込みおよびカスタムの役割とそれらに関連付けられた権限を一覧表示するHTMLまたはCSVレポート。このレポートは、PowerShellスクリプトOutputPermissionMapping.ps1を実行して生成します。
このスクリプトを実行するには、すべての管理権限を実行できる管理者、読み取り専用管理者、または役割の読み取り権限を持つ管理者である必要があります。このスクリプトは、Program Files\Citrix\DelegatedAdmin\SnapIn\Citrix.DelegatedAdmin.Admin.V1\Scripts\ にあります。
構文:
OutputPermissionMapping.ps1 [-Help] [-Csv] [-Path string] [-AdminAddress string] [-Show] [CommonParameters]
パラメーター 説明 -Help
スクリプトのヘルプを表示します。 -Csv
CSVレポートを作成します。デフォルト値:HTML -Path string
出力先を指定します。デフォルト値:stdout -AdminAddress string
接続先のDelivery ControllerのIPアドレスまたはホスト名を指定します。デフォルト値:localhost -Show
( -Path
パラメーターを指定した場合のみ有効)ファイルに出力する場合に-Showを指定すると、-Show
によりレポートが適切なアプリケーションプログラム(Webブラウザーなど)で表示されます。CommonParameters Verbose
、Debug
、ErrorAction
、ErrorVariable
、WarningAction
、WarningVariable
、OutBuffer
、OutVariable
。詳しくは、Microsoft社のドキュメントを参照してください。
次の例では、Roles.htmlという名前のファイルにHTMLテーブルが出力され、Webブラウザーで表示されます。
& "$env:ProgramFiles\Citrix\DelegatedAdmin\SnapIn\
Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1"
-Path Roles.html –Show
<!--NeedCopy-->
次の例では、Roles.csvという名前のファイルにCSVテーブルが出力されます。このテーブルは自動的には表示されません。
& "$env:ProgramFiles\Citrix\DelegatedAdmin\SnapIn\
Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1"
–CSV -Path Roles.csv
<!--NeedCopy-->
上の例をWindowsコマンドプロンプトから実行する場合は、次のコマンドを実行します:
powershell -command "& '%ProgramFiles%\Citrix\DelegatedAdmin\SnapIn\
Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1'
-CSV -Path Roles.csv"
<!--NeedCopy-->