Administração delegada
Nota:
Você pode gerenciar a implantação do seu Citrix Virtual Apps and Desktops usando dois consoles de gerenciamento: Web Studio (baseado na Web) e Citrix Studio (baseado no Windows). Este artigo abrange somente o Web Studio. Para obter informações sobre o Citrix Studio, consulte o artigo equivalente no Citrix Virtual Apps and Desktops 7 2212 ou anterior.
O modelo de administração delegada oferece a flexibilidade de corresponder à forma como a sua organização deseja delegar atividades administrativas, usando controle baseado em objeto e função. A administração delegada acomoda implantações de todos os tamanhos e permite configurar mais granularidade de permissão à medida que sua implantação cresce em complexidade. A administração delegada usa três conceitos: administradores, funções e escopos.
-
Administradores: um administrador representa uma pessoa individual ou um grupo de pessoas identificadas por suas contas do Active Directory. Cada administrador está associado a um ou mais pares de função e escopo.
-
Funções: uma função representa um cargo de trabalho e tem permissões definidas associadas a ela. Por exemplo, a função Administrador do Grupo de Entrega tem permissões como “Criar grupo de entrega” e “Remover área de trabalho do grupo de entrega”. Um administrador pode ter várias funções para um site, ou seja, uma pessoa possa ser Administrador de Grupo de Entrega e Administrador de Catálogo de Máquinas. As funções podem ser incorporadas ou personalizadas.
As funções internas são:
Função Permissions Full Administrator Pode executar todas as tarefas e operações. Um administrador completo é sempre combinado com o escopo Todos. Read Only Administrator Pode ver todos os objetos nos escopos especificados, além de informações globais, mas não pode alterar nada. Por exemplo, um administrador somente leitura com escopo = Londres pode ver todos os objetos globais (como Log de Configuração) e quaisquer objetos com escopo Londres (por exemplo, Grupos de Entrega de Londres). No entanto, esse administrador não pode ver objetos no escopo de Nova York (supondo que os escopos Londres e Nova York não se sobrepõem). Help Desk Administrator Pode exibir grupos de entrega e gerenciar sessões, máquinas e computadores associados a esses grupos. Pode ver informações do catálogo de máquinas e do host para os grupos de entrega que estão sendo monitorados. Também pode executar operações de gerenciamento de sessão e gerenciamento de energia da máquina para as máquinas nesses grupos de entrega. Machine Catalog Administrator Pode criar e gerenciar catálogos de máquina e provisionar as máquinas neles. Pode criar catálogos de máquinas a partir da infraestrutura de virtualização, Provisioning Services e máquinas físicas. Esta função pode gerenciar imagens básicas e instalar softwares, mas não pode atribuir aplicativos ou áreas de trabalho aos usuários. Delivery Group Administrator Pode entregar aplicativos, áreas de trabalho, máquinas e computadores; também pode gerenciar as sessões associadas. Também pode gerenciar configurações de aplicativos e áreas de trabalho, como configurações de gerenciamento de energia e políticas. Host Administrator Pode gerenciar conexões de host e suas configurações de recursos associadas. Não pode entregar máquinas, computadores, aplicativos ou áreas de trabalho aos usuários. Em determinadas edições do produto, você pode criar funções personalizadas para atender aos requisitos da sua organização e delegar permissões com mais detalhes. Você pode usar funções personalizadas para alocar permissões na granularidade de uma ação ou tarefa em um console.
-
Escopos: um escopo representa uma coleção de objetos. Os escopos são usados para agrupar objetos de uma forma que seja relevante para a sua organização (por exemplo, o conjunto de Grupos de Entrega usado pela equipe de vendas). Os objetos podem estar em mais de um escopo; você pode pensar em objetos rotulados com um ou mais escopos. Há um escopo interno: “All”, que contém Todos os objetos. A função de administrador completo é sempre casada com o escopo Todos.
Exemplo
A empresa XYZ decidiu gerenciar aplicativos e áreas de trabalho com base no departamento (Contas, Vendas e Armazém) e sistema operacional do computador (Windows 7 ou Windows 8). O administrador criou cinco escopos e, em seguida, rotulou cada grupo de entrega com dois escopos: um para o departamento onde são usados e outro para o sistema operacional que usam.
Os seguintes administradores foram criados:
Administrador | Funções | Escopos |
---|---|---|
domínio/fred | Full Administrator | Todos (a função de administrador completo sempre tem o escopo All) |
domínio/rob | Read Only Administrator | Todos |
domínio/heidi | Administrador somente leitura, administrador de assistência técnica | Todos de Vendas |
domínio/warehouseadmin | Help Desk Administrator | Armazém |
domínio/peter | Administrador de grupo de entrega, Administrador de catálogo de máquinas | Win7 |
- Fred é um administrador completo e pode visualizar, editar e excluir todos os objetos no sistema.
- Rob pode visualizar todos os objetos no site, mas não pode editá-los ou excluí-los.
- Heidi pode visualizar todos os objetos e executar tarefas de assistência técnica em grupos de entrega no escopo Vendas. Isso permite que ela gerencie as sessões e máquinas associadas a esses grupos; ela não pode fazer alterações no Grupo de Entrega, como adicionar ou remover máquinas.
- Qualquer pessoa que seja membro do grupo de segurança warehouseadmin do Active Directory pode exibir e executar tarefas de assistência técnica em máquinas no escopo Armazém.
- Peter é especialista em Windows 7 e pode gerenciar todos os catálogos de máquinas do Windows 7 e pode entregar aplicativos, áreas de trabalho, computadores e máquinas com Windows 7, independentemente do escopo do departamento em que estão. O administrador considerou tornar Peter um administrador completo para o escopo Win7. No entanto, ela decidiu contra isso, porque um administrador completo também tem direitos completos sobre todos os objetos que não têm escopo, como “Site” e “Administrador”.
Como usar a administração delegada
Geralmente, o número de administradores e a granularidade de suas permissões dependem do tamanho e da complexidade da implantação.
- Em implantações pequenas ou de prova de conceito, um ou alguns administradores fazem tudo. Não há delegação. Nesse caso, crie cada administrador com a função de administrador completo interna, que tem o escopo Todos.
- Em implantações maiores com mais máquinas, computadores, aplicativos e áreas de trabalho, é necessária mais delegação. Vários administradores podem ter responsabilidades funcionais (funções) mais específicas. Por exemplo, dois são administradores completos e os outros são administradores de assistência técnica. Além disso, um administrador pode gerenciar apenas determinados grupos de objetos (escopos), como catálogos de máquinas. Nesse caso, crie novos escopos, além de administradores com uma das funções internas e os escopos apropriados.
- Implantações ainda maiores podem exigir mais escopos ou escopos mais específicos, além de administradores diferentes com funções não convencionais. Nesse caso, edite ou crie mais escopos, crie funções personalizadas e crie cada administrador com uma função interna ou personalizada, além de escopos novos e existentes.
Para flexibilidade e facilidade de configuração, você pode criar escopos quando criar um administrador. Você também pode especificar escopos ao criar ou editar Catálogos de Máquinas ou conexões.
Criar e gerenciar administradores
Quando você cria um site como administrador local, sua conta de usuário se torna automaticamente um administrador completo com permissões completas sobre todos os objetos. Depois que um site é criado, os administradores locais não têm privilégios especiais.
A função de administrador completo sempre tem o escopo All; você não pode alterar isso.
Por padrão, um administrador está ativo. Desativar um administrador pode ser necessário se você estiver criando o administrador agora, mas a pessoa só for iniciar as tarefas administrativas mais tarde. Para administradores ativos existentes, você pode desativar vários deles enquanto estiver reorganizando seu objeto/escopos e, em seguida, reativá-los quando estiver pronto para usar a configuração atualizada. Você não pode desativar um administrador completo se isso resultar em nenhum administrador completo ativo. A caixa de seleção ativar/desativar está disponível quando você cria, copia ou edita um administrador.
Quando você exclui um par de função/escopo durante a cópia, edição ou exclusão de um administrador, isso exclui apenas a relação entre a função e o escopo do administrador. Isso não exclui nem a função nem o escopo. Também não afeta nenhum outro administrador que esteja configurado com esse par de função/escopo.
Para criar e gerenciar administradores, siga estas etapas:
-
Entre no Web Studio, clique em Administrators no painel esquerdo e clique na guia Administrators.
-
Siga as instruções para a tarefa que você deseja concluir:
- Criar um administrador: clique em Create Administrator na barra de ações. Digite ou navegue até o nome da conta de usuário, selecione ou crie um escopo e, depois, selecione uma função. O novo administrador está ativado por padrão; você pode alterar isso.
- Copiar um administrador: selecione o administrador e clique em Copy Administrator na barra de ações. Digite ou navegue até o nome da conta de usuário. Você pode selecionar e editar ou excluir qualquer um dos pares de função/escopo e adicionar novos pares. O novo administrador está ativado por padrão; você pode alterar isso.
- Editar um administrador: selecione o administrador e clique em Edit Administrator na barra de ações. Você pode editar ou excluir qualquer um dos pares de função/escopo e adicionar novos pares.
- Excluir um administrador: selecione o administrador e clique em Delete Administrator na barra de ações. Você não pode excluir um administrador completo se isso resultar em nenhum administrador completo ativo.
O painel superior exibe os administradores que você criou. Selecione um administrador para exibir seus detalhes no painel inferior. A coluna Warnings indica se os pares de função e escopo associados ao administrador contêm funções ou escopos inutilizáveis. A seguinte mensagem de aviso será exibida se um par de função e escopo associados contiver funções ou escopos inutilizáveis:
- Função ou escopo associado não utilizável
Importante:
Uma mensagem de aviso só aparece quando um par de função e escopo associados contém funções ou escopos inutilizáveis ou ambos.
Para remover o par de função e escopo do administrador, execute uma das seguintes etapas:
- Exclua o par de função e escopo.
- Na barra de ações, clique em Edit Administrator.
- Na janela Administrator Name and Details, selecione o par de função e escopo e clique em Delete.
- Clique em Save para sair.
- Exclua o administrador.
- Na barra de ações, clique em Delete Administrator.
- Na janela de confirmação, clique em Delete.
Criar e gerenciar funções
Quando os administradores criam ou editam uma função, eles podem ativar apenas as permissões que eles próprios têm. Isso impede que os administradores criem uma função com mais permissões do que as que têm no momento e a atribuam a si mesmos (ou editem uma função à qual já estão atribuídos).
Os nomes de funções podem conter até 64 caracteres Unicode; eles não podem conter: barra invertida, barra, ponto e vírgula, dois pontos, cerquilha, vírgula, asterisco, ponto de interrogação, sinal de igual, seta para a esquerda ou para a direita, barra vertical, colchete esquerdo ou direito, parêntese esquerdo ou direito, aspas ou apóstrofo. As descrições podem conter até 256 caracteres Unicode.
Não é possível editar ou excluir uma função interna. Não é possível excluir uma função personalizada se algum administrador a estiver usando.
Nota:
Apenas algumas edições do produto suportam funções personalizadas. Somente as edições que suportam funções personalizadas têm entradas relacionadas na barra de ações.
Para criar e gerenciar funções, siga estas etapas:
-
Entre no Web Studio, clique em Administrators no painel esquerdo e clique na guia Roles.
-
Siga as instruções para a tarefa que você deseja concluir:
- Exibir detalhes da função: selecione a função. O painel inferior lista os tipos de objetos e as permissões associadas para a função. Clique na guia Administrators no painel inferior para exibir uma lista de administradores que atualmente têm a função.
- Criar uma função personalizada: clique em Create Role no painel de ações. Insira um nome e uma descrição. Selecione os tipos de objetos e as permissões.
- Copiar uma função: selecione a função e clique em Copy Role na barra de ações. Altere o nome, a descrição, os tipos de objetos e as permissões, conforme necessário.
- Editar uma função personalizada: selecione a função e clique em Edit Role na barra de ações. Altere o nome, a descrição, os tipos de objetos e as permissões, conforme necessário.
- Excluir uma função personalizada: selecione a função e clique em Delete Role na barra de ações. Quando solicitado, confirme a exclusão.
Criar e gerenciar escopos
Quando você cria um site, o único escopo disponível é o escopo “All”, que não pode ser excluído.
Você pode criar escopos usando o procedimento a seguir. Você também pode criar escopos quando criar um administrador; cada administrador deve estar associado a pelo menos um par de função e escopo. Ao criar ou editar áreas de trabalho, catálogos de máquinas, aplicativos ou hosts, você pode adicioná-los a um escopo existente. Se você não adicioná-los a um escopo, eles permanecem parte do escopo “All”.
Na criação do site não se pode aplicar um escopo nem em objetos de administração delegada (escopos e funções). No entanto, os objetos aos quais você não pode aplicar escopo são incluídos no escopo “All”. (Administradores completos sempre têm o escopo Todos.) Máquinas, ações de energia, áreas de trabalho e sessões não têm escopo diretamente aplicado. Os administradores podem ter permissões alocadas a esses objetos por meio de catálogos de máquinas ou grupos de entrega associados.
Regras para criar e gerenciar escopos:
-
Os nomes de escopo podem conter até 64 caracteres Unicode. Os nomes de escopo não podem incluir: barra invertida, barra, ponto e vírgula, dois pontos, cerquilha, vírgula, asterisco, ponto de interrogação, sinal de igual, seta para a esquerda, seta para a direita, barra vertical, colchete esquerdo ou direito, parêntese esquerdo ou direito, aspas ou apóstrofo.
-
A descrição dos escopos pode conter até 256 caracteres Unicode.
-
Quando você copia ou edita um escopo, lembre-se de que a remoção de objetos do escopo pode tornar esses objetos inacessíveis ao administrador. Se o escopo editado estiver casado com uma ou mais funções, certifique-se de que as atualizações do escopo não tornem nenhum par de função/escopo inutilizável.
Para criar e gerenciar escopos, siga estas etapas:
-
Entre no Web Studio, clique em Administrators no painel esquerdo e clique na guia Scopes.
-
Siga as instruções para a tarefa que você deseja concluir:
- Criar um escopo: clique em Create Scope na barra de ações. Insira um nome e uma descrição. Para incluir todos os objetos de um tipo específico (por exemplo, Grupos de Entrega), selecione o tipo de objeto. Para incluir objetos específicos, expanda o tipo e selecione objetos individuais (por exemplo, Grupos de Entrega usados pela equipe de vendas).
- Copiar um escopo: selecione o escopo e clique em Copy Scope na barra de ações. Insira um nome e uma descrição. Altere os tipos de objetos e objetos, conforme necessário.
- Editar um escopo: selecione o escopo e clique em Edit Scope na barra de ações. Altere o nome, a descrição, os tipos de objetos e os objetos, conforme necessário.
- Excluir um escopo: selecione o escopo e clique em Delete Scope na barra de ações. Quando solicitado, confirme a exclusão.
Criar relatórios
Você pode criar dois tipos de relatórios de administração delegados:
-
Um relatório HTML que lista os pares de função/escopo associados a um administrador, além das permissões individuais para cada tipo de objeto (por exemplo, grupos de entrega e catálogos de máquinas). Você gera esse relatório a partir do Web Studio.
Para criar esse relatório, siga estas etapas:
- Entre no Web Studio, clique em Administrators no painel esquerdo
- Selecione um administrador e clique em Create Report na barra de ações.
Você também pode solicitar esse relatório ao criar, copiar ou editar um administrador.
-
Um relatório HTML ou CSV que mapeia todas as funções internas e personalizadas para permissões. Você gera esse relatório executando um script do PowerShell chamado OutputPermissionMapping.ps1.
Para executar esse script, você deve ser um Administrador Completo, um Administrador Somente Leitura ou um administrador personalizado com permissão para ler funções. O script está localizado em: Program Files\Citrix\DelegatedAdmin\SnapIn\Citrix.DelegatedAdmin.Admin.V1\Scripts.
Sintaxe:
OutputPermissionMapping.ps1 [-Help] [-Csv] [-Path string] [-AdminAddress string] [-Show] [CommonParameters]
Parâmetro Descrição -Help
Exibe a ajuda do script. -Csv
Especifica a saída CSV. Padrão = HTML -Path string
Onde gravar a saída. Padrão = stdout -AdminAddress string
Endereço IP ou nome do host do Delivery Controller ao qual se conectar. Padrão = localhost -Show
(Válido somente quando o parâmetro -Path
também é especificado.) Quando você grava a saída em um arquivo,-Show
faz com que a saída seja aberta em um programa apropriado, como um navegador da Web.CommonParameters Verbose
,Debug
,ErrorAction
,ErrorVariable
,WarningAction
,WarningVariable
,OutBuffer
eOutVariable
. Para obter detalhes, consulte a documentação da Microsoft.
O exemplo a seguir grava uma tabela HTML em um arquivo chamado Roles.html e abre a tabela em um navegador da Web.
& "$env:ProgramFiles\Citrix\DelegatedAdmin\SnapIn\
Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1"
-Path Roles.html –Show
<!--NeedCopy-->
O exemplo a seguir grava uma tabela CSV em um arquivo chamado Roles.csv. A tabela não é exibida.
& "$env:ProgramFiles\Citrix\DelegatedAdmin\SnapIn\
Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1"
–CSV -Path Roles.csv
<!--NeedCopy-->
Em um prompt de comando do Windows, o comando do exemplo anterior é:
powershell -command "& '%ProgramFiles%\Citrix\DelegatedAdmin\SnapIn\
Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1'
-CSV -Path Roles.csv"
<!--NeedCopy-->