委任された管理
委任管理モデルは、ロールベースおよびオブジェクトベースの制御を使用して、組織が管理アクティビティを委任する方法に合わせて柔軟性を提供します。委任管理は、あらゆる規模の展開に対応し、展開が複雑になるにつれて、より詳細な権限の粒度を構成できるようにします。委任管理では、管理者、ロール、スコープの3つの概念を使用します。
-
管理者: 管理者は、Active Directoryアカウントによって識別される個人またはグループを表します。各管理者は、1つ以上のロールとスコープのペアに関連付けられています。
-
ロール: ロールは職務を表し、それに関連付けられた定義済みの権限を持ちます。たとえば、デリバリーグループ管理者ロールには、「デリバリーグループの作成」や「デリバリーグループからのデスクトップの削除」などの権限があります。管理者はサイトに対して複数のロールを持つことができるため、ある人物がデリバリーグループ管理者とマシンカタログ管理者を兼ねることができます。ロールは組み込みまたはカスタムにできます。
組み込みロールは次のとおりです。
ロール アクセス権限 フル管理者 すべてのタスクと操作を実行できます。フル管理者は常に「すべてのスコープ」と組み合わされます。 読み取り専用管理者 グローバル情報に加えて、指定されたスコープ内のすべてのオブジェクトを表示できますが、何も変更することはできません。たとえば、Scope=Londonの読み取り専用管理者は、すべてのグローバルオブジェクト(構成ログなど)と、ロンドンにスコープ指定されたオブジェクト(ロンドンデリバリーグループなど)を表示できます。ただし、その管理者はニューヨークスコープ内のオブジェクトを表示できません(ロンドンとニューヨークのスコープが重複しないと仮定した場合)。 ヘルプデスク管理者 デリバリーグループを表示し、それらのグループに関連付けられたセッションとマシンを管理できます。監視対象のデリバリーグループのマシンカタログとホスト情報を表示できます。また、それらのデリバリーグループ内のマシンに対してセッション管理およびマシンの電源管理操作を実行できます。 マシンカタログ管理者 マシンカタログを作成および管理し、それらにマシンをプロビジョニングできます。仮想化インフラストラクチャ、Provisioning Services、および物理マシンからマシンカタログを構築できます。このロールは、ベースイメージの管理とソフトウェアのインストールはできますが、アプリケーションやデスクトップをユーザーに割り当てることはできません。 デリバリーグループ管理者 アプリケーション、デスクトップ、およびマシンを配信できます。関連するセッションも管理できます。ポリシーや電源管理設定などのアプリケーションおよびデスクトップ構成も管理できます。 ホスト管理者 ホスト接続とその関連リソース設定を管理できます。ユーザーにマシン、アプリケーション、またはデスクトップを配信することはできません。 特定の製品エディションでは、組織の要件に合わせてカスタムロールを作成し、より詳細な権限を委任できます。カスタムロールを使用して、コンソール内のアクションまたはタスクの粒度で権限を割り当てることができます。
-
スコープ: スコープはオブジェクトの集合を表します。スコープは、組織に関連する方法でオブジェクトをグループ化するために使用されます(たとえば、営業チームが使用するデリバリーグループのセットなど)。オブジェクトは複数のスコープに属することができます。オブジェクトには1つ以上のスコープがラベル付けされていると考えることができます。組み込みスコープが1つあります。「すべて」で、すべてのオブジェクトが含まれます。フル管理者ロールは常に「すべて」スコープとペアになります。
例
XYZ社は、部門(経理、営業、倉庫)とデスクトップオペレーティングシステム(Windows 7またはWindows 8)に基づいてアプリケーションとデスクトップを管理することにしました。管理者は5つのスコープを作成し、各デリバリーグループに2つのスコープをラベル付けしました。1つは使用される部門用、もう1つは使用されるオペレーティングシステム用です。
次の管理者が作成されました。
| 管理者 | ロール | スコープ |
|---|---|---|
| ドメイン/fred | フル管理者 | すべて(フル管理者ロールは常に「すべて」スコープを持ちます) |
| ドメイン/ロブ | 読み取り専用管理者 | すべて |
| ドメイン/ハイディ | 読み取り専用管理者、ヘルプデスク管理者 | すべての営業 |
| ドメイン/ウェアハウス管理者 | ヘルプデスク管理者 | ウェアハウス |
| ドメイン/ピーター | デリバリーグループ管理者、マシンカタログ管理者 | Win7 |
- Fredはフル管理者であり、システム内のすべてのオブジェクトを表示、編集、削除できます。
- Robはサイト内のすべてのオブジェクトを表示できますが、編集または削除することはできません。
- Heidiはすべてのオブジェクトを表示でき、営業スコープ内のデリバリーグループに対してヘルプデスクタスクを実行できます。これにより、彼女はそれらのグループに関連付けられているセッションとマシンを管理できます。ただし、マシンの追加や削除など、デリバリーグループに変更を加えることはできません。
- warehouseadmin Active Directoryセキュリティグループのメンバーであれば誰でも、Warehouseスコープ内のマシンでヘルプデスクタスクを表示および実行できます。
- ピーターはWindows 7のスペシャリストであり、どの部署スコープに属しているかに関わらず、すべてのWindows 7マシンカタログを管理し、Windows 7アプリケーション、デスクトップ、およびマシンを提供できます。管理者はピーターをWin7スコープのフル管理者にする事を検討しました。しかし、フル管理者は「サイト」や「管理者」など、スコープが設定されていないすべてのオブジェクトに対しても完全な権限を持つため、彼女はこれに反対しました。
委任管理の使用方法
一般に、管理者の数と権限の粒度は、展開の規模と複雑さによって異なります。
- In small or proof-of-concept deployments, one or a few administrators do everything. There is no delegation. In this case, create each administrator with the built-in Full Administrator role, which has the All scope.
- In larger deployments with more machines, applications, and desktops, more delegation is needed. Several administrators might have more specific functional responsibilities (roles). For example, two are Full Administrators, and others are Help Desk Administrators. Also, an administrator might manage only certain groups of objects (scopes), such as machine catalogs. In this case, create new scopes, plus administrators with one of the built-in roles and the appropriate scopes.
- さらに大規模な展開では、より多くの(またはより具体的な)スコープと、型にはまらないロールを持つ異なる管理者が必要になる場合があります。この場合、既存のスコープと新しいスコープに加えて、より多くのスコープを編集または作成し、カスタムロールを作成し、組み込みまたはカスタムロールを持つ各管理者を作成します。
柔軟性と構成の容易さのために、管理者を作成する際にスコープを作成できます。マシンカタログまたは接続を作成または編集する際にもスコープを指定できます。
管理者の作成と管理
When you create a site as a local administrator, your user account automatically becomes a Full Administrator with full permissions over all objects. After a site is created, local administrators have no special privileges.
The Full Administrator role always has the All scope; you cannot change this.
デフォルトでは、管理者は有効になっています。管理者を今作成しているが、その人が後で管理業務を開始する場合、管理者を無効にする必要があるかもしれません。既存の有効な管理者については、オブジェクト/スコープを再編成している間、それらのいくつかを無効にし、更新された構成で稼働準備ができたときに再度有効にしたい場合があります。有効なフル管理者がいなくなる場合、フル管理者を無効にすることはできません。有効/無効のチェックボックスは、管理者を作成、コピー、または編集するときに利用できます。
管理者をコピー、編集、または削除する際にロール/スコープのペアを削除すると、その管理者に対するロールとスコープ間の関係のみが削除されます。ロールまたはスコープのいずれも削除されません。また、そのロール/スコープのペアで構成されている他の管理者にも影響しません。
管理者を管理するには、Studioナビゲーションペインで 構成 > 管理者 をクリックし、中央上部のペインで 管理者 タブをクリックします。
- 管理者の作成: アクションペインで 新しい管理者の作成 をクリックします。ユーザーアカウント名を入力または参照し、スコープを選択または作成し、ロールを選択します。新しい管理者はデフォルトで有効になっています。これは変更できます。
- 管理者をコピーする: 中央ペインで管理者を選択し、アクションペインで [管理者のコピー] をクリックします。ユーザーアカウント名を入力または参照します。ロール/スコープのペアを選択して編集または削除したり、新しいペアを追加したりできます。新しい管理者はデフォルトで有効になっています。これは変更できます。
- 管理者を編集する: 中央ペインで管理者を選択し、アクションペインで [管理者の編集] をクリックします。ロール/スコープのペアを編集または削除したり、新しいペアを追加したりできます。
- 管理者を削除する: 中央ペインで管理者を選択し、アクションペインで [管理者の削除] をクリックします。有効なフル管理者がいなくなる場合は、フル管理者を削除できません。
上部ペインには、作成した管理者が表示されます。管理者を選択すると、その詳細が下部ペインに表示されます。[警告] 列は、管理者に関連付けられているロールとスコープのペアに、使用できないロールまたはスコープが含まれているかどうかを示します。関連付けられているロールとスコープのペアに、使用できないロールまたはスコープが含まれている場合、次の警告メッセージが表示されます。
- 関連付けられたロールまたはスコープが使用できません
- 管理者からロールとスコープのペアを削除します。
重要:
警告メッセージは、関連付けられたロールとスコープのペアに、使用できないロール、スコープ、またはその両方が含まれている場合にのみ表示されます。
管理者からロールとスコープのペアを削除するには、次のいずれかの手順を実行します。
- ロールとスコープのペアを削除します。
- [アクション] ペインで、[管理者の編集] をクリックします。
- [管理者の編集] ウィンドウで、ロールとスコープのペアを選択し、[削除] をクリックします。
- [OK] をクリックして終了します。
- 管理者を削除します。
- [アクション] ペインで、[管理者の削除] をクリックします。
- 「Studio」ウィンドウで、「削除」をクリックします。
ロールの作成と管理
管理者がロールを作成または編集する場合、自分自身が持っている権限のみを有効にできます。これにより、管理者が現在持っている権限よりも多くの権限を持つロールを作成し、それを自分自身に割り当てたり(または既に割り当てられているロールを編集したりする)ことを防ぎます。
ロール名には最大64個のUnicode文字を含めることができます。ただし、バックスラッシュ、スラッシュ、セミコロン、コロン、ポンド記号、コンマ、アスタリスク、疑問符、等号、左右の矢印、パイプ、左右の角かっこ、左右の丸かっこ、引用符、アポストロフィは含めることができません。説明には最大256個のUnicode文字を含めることができます。
組み込みロールを編集または削除することはできません。カスタムロールは、いずれかの管理者が使用している場合は削除できません。
注:
特定の製品エディションのみがカスタムロールをサポートしています。カスタムロールをサポートするエディションのみが、アクションペインに関連エントリを持っています。
ロールを管理するには、Studioナビゲーションペインで「構成 > 管理者」をクリックし、上部中央ペインで「ロール」タブをクリックします。
- ロールの詳細を表示する: 中央ペインでロールを選択します。中央ペインの下部には、ロールのオブジェクトタイプと関連する権限が一覧表示されます。下部ペインの「管理者」タブをクリックすると、現在このロールを持つ管理者の一覧が表示されます。
- カスタムロールを作成する: アクションペインで「新しいロールの作成」をクリックします。名前と説明を入力します。オブジェクトタイプと権限を選択します。
- ロールをコピーする: 中央ペインでロールを選択し、アクションペインで「ロールのコピー」をクリックします。必要に応じて、名前、説明、オブジェクトタイプ、および権限を変更します。
- カスタムロールを編集する: 中央ペインでロールを選択し、アクションペインで「ロールの編集」をクリックします。必要に応じて、名前、説明、オブジェクトタイプ、および権限を変更します。
- カスタムロールを削除する: 中央ペインでロールを選択し、アクションペインで「ロールの削除」をクリックします。プロンプトが表示されたら、削除を確認します。
スコープの作成と管理
サイトを作成すると、利用可能なスコープは「すべて」スコープのみであり、これは削除できません。
以下の手順でスコープを作成できます。管理者の作成時にスコープを作成することもできます。各管理者は、少なくとも1つのロールとスコープのペアに関連付けられている必要があります。デスクトップ、マシンカタログ、アプリケーション、またはホストを作成または編集するときに、それらを既存のスコープに追加できます。スコープに追加しない場合、それらは「すべて」スコープの一部として残ります。
サイトの作成はスコープ化できません。また、委任管理オブジェクト(スコープとロール)もスコープ化できません。ただし、スコープ化できないオブジェクトは「すべて」スコープに含まれます。(フル管理者は常に「すべて」スコープを持っています。)マシン、電源操作、デスクトップ、およびセッションは直接スコープ化されません。管理者は、関連付けられたマシンカタログまたはデリバリーグループを通じて、これらのオブジェクトに対する権限を割り当てることができます。
スコープ名には、最大64個のUnicode文字を含めることができます。スコープ名には、バックスラッシュ、スラッシュ、セミコロン、コロン、シャープ記号、コンマ、アスタリスク、疑問符、等号、左矢印、右矢印、パイプ、角かっこ(左または右)、丸かっこ(左または右)、引用符、またはアポストロフィを含めることはできません。説明には、最大256個のUnicode文字を含めることができます。
スコープをコピーまたは編集する際は、スコープからオブジェクトを削除すると、それらのオブジェクトに管理者がアクセスできなくなる可能性があることに注意してください。編集されたスコープが1つ以上のロールとペアになっている場合、スコープの更新によってロール/スコープのペアが使用できなくならないようにしてください。
スコープを管理するには、Studioナビゲーションペインで構成 > 管理者をクリックし、上部中央ペインでスコープタブをクリックします。
- スコープを作成する: 操作ペインで新しいスコープの作成をクリックします。名前と説明を入力します。特定の種類のすべてのオブジェクト(例: デリバリーグループ)を含めるには、オブジェクトの種類を選択します。特定のオブジェクトを含めるには、種類を展開し、個々のオブジェクト(例: 営業チームが使用するデリバリーグループ)を選択します。
- スコープをコピーする: 中央ペインでスコープを選択し、操作ペインでスコープのコピーをクリックします。名前と説明を入力します。必要に応じて、オブジェクトの種類とオブジェクトを変更します。
- スコープを編集する: 中央ペインでスコープを選択し、操作ペインでスコープの編集をクリックします。必要に応じて、名前、説明、オブジェクトの種類、およびオブジェクトを変更します。
- スコープを削除する: 中央ペインでスコープを選択し、操作ペインでスコープの削除をクリックします。プロンプトが表示されたら、削除を確定します。
レポートを作成する
2種類の委任管理レポートを作成できます。
-
管理者に関連付けられているロール/スコープペアと、各オブジェクトの種類(例: デリバリーグループやマシンカタログ)の個々の権限を一覧表示するHTMLレポート。このレポートはStudioから生成します。
このレポートを作成するには、Studioナビゲーションペインで構成 > 管理者をクリックします。中央ペインで管理者を選択し、操作ペインでレポートの作成をクリックします。
管理者の作成、コピー、または編集時にこのレポートを要求することもできます。
-
すべての組み込みロールとカスタムロールを権限にマッピングするHTMLまたはCSVレポート。このレポートは、OutputPermissionMapping.ps1という名前のPowerShellスクリプトを実行して生成します。
このスクリプトを実行するには、フル管理者、読み取り専用管理者、またはロールを読み取る権限を持つカスタム管理者である必要があります。スクリプトの場所: Program Files\Citrix\DelegatedAdmin\SnapIn\Citrix.DelegatedAdmin.Admin.V1\Scripts。
構文:
OutputPermissionMapping.ps1 [-Help] [-Csv] [-Path string] [-AdminAddress string] [-Show] [CommonParameters]パラメーター 説明文 -Helpスクリプトのヘルプを表示します。 -CsvCSV出力を指定します。デフォルト = HTML -Path string出力の書き込み先。デフォルト = stdout -AdminAddress string接続先のDelivery Controller™のIPアドレスまたはホスト名。デフォルト = localhost -Show( -Pathパラメーターも指定されている場合にのみ有効) 出力をファイルに書き込むと、-Showによって、Webブラウザーなどの適切なプログラムで出力が開かれます。共通パラメーター Verbose,Debug,ErrorAction,ErrorVariable,WarningAction,WarningVariable,OutBuffer, およびOutVariable。詳細については、Microsoft のドキュメントを参照してください。
次の例では、HTML テーブルを Roles.html という名前のファイルに書き込み、そのテーブルを Web ブラウザーで開きます。
& "$env:ProgramFiles\Citrix\DelegatedAdmin\SnapIn\
Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1"
-Path Roles.html –Show
<!--NeedCopy-->
次の例では、CSV テーブルを Roles.csv という名前のファイルに書き込みます。テーブルは表示されません。
& "$env:ProgramFiles\Citrix\DelegatedAdmin\SnapIn\
Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1"
–CSV -Path Roles.csv
<!--NeedCopy-->
Windows コマンドプロンプトから、上記の例のコマンドは次のとおりです。
powershell -command "& '%ProgramFiles%\Citrix\DelegatedAdmin\SnapIn\
Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1'
-CSV -Path Roles.csv"
<!--NeedCopy-->