委任管理とDirector

管理権限の委任機能では、管理者、役割、およびスコープという3つの概念が使用されます。管理者の権限は、その管理者の役割とそのスコープに基づいて定義されます。たとえば、管理者にヘルプデスク管理者の役割を割り当てて、その役割のスコープとして特定のサイトのエンドユーザーを指定できます。

委任管理者の作成について詳しくは、「委任管理」を参照してください。

付与されている管理権限により、その管理者に表示されるDirectorのインターフェイスと実行可能なタスクが決定されます。権限により、次の内容が決定されます。

  • その管理者がアクセスできるDirectorの表示内容。これを「ビュー」と呼びます。
  • その管理者が表示したり操作したりできるデスクトップ、マシン、およびセッション。
  • ユーザーセッションのシャドウやメンテナンスモードの有効化など、その管理者が実行できるコマンド。

組み込みの役割および権限によっても、管理者がDirectorで実行できるタスクが決定されます。

管理者の役割 Directorでの権限
すべての管理権限を実行できる管理者 すべてのビューに制限なくアクセスして、ユーザーセッションのシャドウ、メンテナンスモードの有効化、傾向データのエクスポートなどすべてのコマンドを実行できます。
デリバリーグループ管理者 すべてのビューに制限なくアクセスして、ユーザーセッションのシャドウ、メンテナンスモードの有効化、傾向データのエクスポートなどすべてのコマンドを実行できます。
読み取り専用管理者 すべてのビューに制限なくアクセスして、指定されているスコープのすべてのオブジェクトと一般的な情報を表示できます。HDXチャネルからレポートをダウンロードして、[傾向]ビューのエクスポートオプションを使って傾向データをエクスポートできます。そのほかのコマンドは実行できず、ビューで設定を変更することはできません。
ヘルプデスク管理者 [ヘルプデスク]および[ユーザーの詳細]ビューにのみアクセスでき、委任されたオブジェクトのみを表示できます。ユーザーセッションをシャドウしたり、そのユーザーに対してコマンドを実行したりできます。メンテナンスモードを有効にしたり解除したりできます。単一セッションOSマシンの電源制御オプションを使用できます。[ダッシュボード]ビュー、[傾向]ビュー、[アラート]ビュー、および[フィルター]ビューにはアクセスできません。マルチセッションOSマシンの電源制御オプションは使用できません。
マシンカタログ管理者 [マシン詳細]ページ(マシンベースの検索)にのみアクセスできます。
ホスト管理者 アクセス権限なし。この管理者は、Directorを使用したりデータを表示したりできません。

Director管理者のカスタム役割を構成する

Studioでは、組織の要件に応じてDirector用のカスタムの役割を構成して、管理権限を柔軟に委任できます。たとえば、組み込みのヘルプデスク管理者の役割を制限して、この管理者がユーザーのセッションをログオフすることを禁止できます。

Director用のカスタムの役割を作成する場合は、その役割に以下の一般的な権限も付与する必要があります:

  • DirectorにログオンするためのDelivery Controller権限 - 少なくとも管理者ノードでの読み取り専用アクセス
  • デリバリーグループのデータをDirectorで閲覧するための権限 - 少なくとも読み取り専用アクセス

または、既存の役割をコピーしてカスタムの役割を作成し、異なるビューのための権限を追加することができます。たとえば、ヘルプデスクの役割をコピーして、[ダッシュボード]ページや[フィルター]ページを表示するための権限を追加できます。

以下のDirector用の権限を追加します。

  • マシンで実行中のアプリケーションの強制終了
  • マシンで実行中のプロセスの強制終了
  • マシン上でのリモート アシスタンス
  • ユーザー プロファイルのリセット
  • クライアント詳細ページの表示
  • ダッシュボード ページの表示
  • フィルター ページの表示
  • マシン詳細ページの表示
  • 傾向ページの表示
  • ユーザー詳細ページの表示

この例では、シャドウ機能(マシン上でのリモートアシスタンス)が無効になっています。

シャドウ権限を無効にしたロール

権限は、UIで使えるようにするために、他の権限への依存関係を持つ場合があります。たとえば、マシンで実行中のアプリケーションの強制終了権限を選択すると、その役割のために権限を持つこれらのパネルのみで、[アプリケーションの終了] の機能が有効になります。以下のパネルの権限を選択することができます:

  • フィルター ページの表示
  • ユーザー詳細ページの表示
  • マシン詳細ページの表示
  • クライアント詳細ページの表示

さらに、他のコンポーネントの権限の一覧から、次のデリバリーグループ権限の追加を検討します:

  • デリバリーグループメンバーシップによるマシンのメンテナンスモードの有効/無効。
  • デリバリーグループメンバーシップによるWindowsデスクトップマシンの電源操作。
  • デリバリーグループメンバーシップによるマシンのセッション管理。
委任管理とDirector