Documentação de produtos
Citrix Virtual Apps and Desktops
Current Release Service 2511 2507 LTSR 2503 2411 2407 2402 LTSR 2311 2203 LTSR

Administração delegada

May 31, 2026
Contribuição de: 
C

Nota:

Você pode gerenciar sua implantação do Citrix Virtual Apps and Desktops™ usando dois consoles de gerenciamento: Web Studio (baseado na web) e Citrix Studio (baseado em Windows). Este artigo aborda apenas o Web Studio. Para obter informações sobre o Citrix Studio, consulte o artigo equivalente no Citrix Virtual Apps and Desktops 7 2212 ou anterior.

O modelo de administração delegada oferece a flexibilidade para corresponder à forma como sua organização deseja delegar atividades de administração, usando controle baseado em função e objeto. A administração delegada acomoda implantações de todos os tamanhos e permite configurar maior granularidade de permissões à medida que sua implantação cresce em complexidade. A administração delegada usa três conceitos: administradores, funções e escopos.

  • Administradores: Um administrador representa uma pessoa individual ou um grupo de pessoas identificados por sua conta do Active Directory. Cada administrador está associado a um ou mais pares de função e escopo.

  • Funções: Uma função representa uma função de trabalho e tem permissões definidas associadas a ela. Por exemplo, a função de Administrador de Grupo de Entrega tem permissões como ‘Criar Grupo de Entrega’ e ‘Remover Desktop do Grupo de Entrega’. Um administrador pode ter várias funções para um site, então uma pessoa pode ser um Administrador de Grupo de Entrega e um Administrador de Catálogo de Máquinas. As funções podem ser integradas ou personalizadas.

    As funções integradas são:

    Função Permissões
    Administrador Completo Pode realizar todas as tarefas e operações. Um Administrador Completo é sempre combinado com o escopo Todos.
    Administrador Somente Leitura Pode ver todos os objetos em escopos especificados, além de informações globais, mas não pode alterar nada. Por exemplo, um Administrador Somente Leitura com Escopo=Londres pode ver todos os objetos globais (como Registro de Configuração) e quaisquer objetos com escopo de Londres (por exemplo, Grupos de Entrega de Londres). No entanto, esse administrador não pode ver objetos no escopo de Nova York (assumindo que os escopos de Londres e Nova York não se sobreponham).
    Administrador de Suporte Técnico Pode visualizar Grupos de Entrega e gerenciar as sessões e máquinas associadas a esses grupos. Pode ver o Catálogo de Máquinas e as informações do host para os Grupos de Entrega que estão sendo monitorados. Também pode realizar operações de gerenciamento de sessão e gerenciamento de energia de máquinas para as máquinas nesses Grupos de Entrega.
    Administrador de Catálogo de Máquinas Pode criar e gerenciar Catálogos de Máquinas e provisionar as máquinas neles. Pode construir Catálogos de Máquinas a partir da infraestrutura de virtualização, Provisioning Services e máquinas físicas. Essa função pode gerenciar imagens base e instalar software, mas não pode atribuir aplicativos ou desktops a usuários.
    Administrador de Grupo de Entrega Pode entregar aplicativos, desktops e máquinas; também pode gerenciar as sessões associadas. Também pode gerenciar configurações de aplicativos e desktops, como políticas e configurações de gerenciamento de energia.
    Administrador de Host Pode gerenciar conexões de host e suas configurações de recursos associadas. Não pode entregar máquinas, aplicativos ou desktops a usuários.

    Em certas edições do produto, você pode criar funções personalizadas para corresponder aos requisitos da sua organização e delegar permissões com mais detalhes. Você pode usar funções personalizadas para alocar permissões na granularidade de uma ação ou tarefa em um console.

  • Escopos: Um escopo representa uma coleção de objetos. Os escopos são usados para agrupar objetos de uma forma que seja relevante para sua organização (por exemplo, o conjunto de Delivery Groups usado pela equipe de Vendas). Os objetos podem estar em mais de um escopo; você pode pensar em objetos sendo rotulados com um ou mais escopos. Existe um escopo integrado: ‘Todos’, que contém todos os objetos. A função de Administrador Completo é sempre emparelhada com o escopo Todos.

Exemplo

A Empresa XYZ decidiu gerenciar aplicativos e desktops com base em seu departamento (Contabilidade, Vendas e Armazém) e seu sistema operacional de desktop (Windows 7 ou Windows 8). O administrador criou cinco escopos e rotulou cada Delivery Group com dois escopos: um para o departamento onde são usados e outro para o sistema operacional que utilizam.

Os seguintes administradores foram criados:

Administrador Funções Escopos
domain/fred Administrador Completo Todos (a função de Administrador Completo sempre tem o escopo Todos)
domain/rob Administrador Somente Leitura Todos
domain/heidi Administrador Somente Leitura, Administrador de Help Desk Todas as Vendas
domain/warehouseadmin Administrador de Help Desk Armazém
domain/peter Administrador de Grupo de Entrega, Administrador de Catálogo de Máquinas Win7
  • Fred é um Administrador Completo e pode visualizar, editar e excluir todos os objetos no sistema.
  • Rob pode visualizar todos os objetos no site, mas não pode editá-los ou excluí-los.
  • Heidi pode visualizar todos os objetos e realizar tarefas de help desk em Grupos de Entrega no escopo de Vendas. Isso permite que ela gerencie as sessões e máquinas associadas a esses grupos; ela não pode fazer alterações no Grupo de Entrega, como adicionar ou remover máquinas.
  • Qualquer pessoa que seja membro do grupo de segurança do Active Directory warehouseadmin pode visualizar e realizar tarefas de help desk em máquinas no escopo de Armazém.
  • Peter é um especialista em Windows 7 e pode gerenciar todos os Catálogos de Máquinas do Windows 7 e entregar aplicativos, desktops e máquinas do Windows 7, independentemente do escopo do departamento em que se encontram. A administradora considerou tornar Peter um Administrador Completo para o escopo Win7. No entanto, ela decidiu contra isso, porque um Administrador Completo também tem direitos totais sobre todos os objetos que não estão no escopo, como ‘Site’ e ‘Administrador’.

Como usar a administração delegada

Geralmente, o número de administradores e a granularidade de suas permissões dependem do tamanho e da complexidade da implantação.

  • Em implantações pequenas ou de prova de conceito, um ou poucos administradores fazem tudo. Não há delegação. Neste caso, crie cada administrador com a função de Administrador Completo integrada, que possui o escopo Todos.
  • Em implantações maiores com mais máquinas, aplicativos e desktops, é necessária mais delegação. Vários administradores podem ter responsabilidades funcionais mais específicas (funções). Por exemplo, dois são Administradores Completos e outros são Administradores de Help Desk. Além disso, um administrador pode gerenciar apenas certos grupos de objetos (escopos), como catálogos de máquinas. Neste caso, crie novos escopos, além de administradores com uma das funções integradas e os escopos apropriados.
  • Implantações ainda maiores podem exigir mais (ou mais específicos) escopos, além de diferentes administradores com funções não convencionais. Neste caso, edite ou crie mais escopos, crie funções personalizadas e crie cada administrador com uma função integrada ou personalizada, além de escopos existentes e novos.

Para flexibilidade e facilidade de configuração, você pode criar escopos ao criar um administrador. Você também pode especificar escopos ao criar ou editar Catálogos de Máquinas ou conexões.

Criar e gerenciar administradores

Ao criar um site como administrador local, sua conta de usuário se torna automaticamente um Administrador Completo com permissões totais sobre todos os objetos. Após a criação de um site, os administradores locais não têm privilégios especiais.

A função de Administrador Completo sempre tem o escopo Todos; você não pode alterar isso.

Por padrão, um administrador é habilitado. Desabilitar um administrador pode ser necessário se você estiver criando o administrador agora, mas essa pessoa não iniciará as tarefas de administração até mais tarde. Para administradores habilitados existentes, você pode querer desabilitar vários deles enquanto reorganiza seus objetos/escopos e, em seguida, reabilitá-los quando estiver pronto para entrar em produção com a configuração atualizada. Você não pode desabilitar um Administrador Completo se isso resultar na ausência de um Administrador Completo habilitado. A caixa de seleção habilitar/desabilitar está disponível ao criar, copiar ou editar um administrador.

Ao excluir um par função/escopo ao copiar, editar ou excluir um administrador, ele exclui apenas o relacionamento entre a função e o escopo para esse administrador. Não exclui a função nem o escopo. Também não afeta nenhum outro administrador que esteja configurado com esse par função/escopo.

Para criar e gerenciar administradores, siga estas etapas:

  1. Faça login no Web Studio, clique em Administradores no painel esquerdo e, em seguida, clique na guia Administradores.

  2. Siga as instruções para a tarefa que você deseja concluir:

    • Criar um administrador: Clique em Criar Administrador na barra de ações. Digite ou procure o nome da conta de usuário, selecione ou crie um escopo e, em seguida, selecione uma função. O novo administrador é habilitado por padrão; você pode alterar isso.
    • Copiar um administrador: Selecione o administrador e, em seguida, clique em Copiar Administrador na barra de ações. Digite ou procure o nome da conta de usuário. Você pode selecionar e, em seguida, editar ou excluir qualquer um dos pares função/escopo e adicionar novos. O novo administrador é habilitado por padrão; você pode alterar isso.
    • Editar um administrador: Selecione o administrador e, em seguida, clique em Editar Administrador na barra de ações. Você pode editar ou excluir qualquer um dos pares função/escopo e adicionar novos.
    • Excluir um administrador: Selecione o administrador e, em seguida, clique em Excluir Administrador na barra de ações. Você não pode excluir um Administrador Completo se isso resultar na ausência de um Administrador Completo habilitado.

O painel superior exibe os administradores que você criou. Selecione um administrador para visualizar seus detalhes no painel inferior. A coluna Avisos indica se os pares de função e escopo associados ao administrador contêm funções ou escopos inutilizáveis. A seguinte mensagem de aviso aparece se um par de função e escopo associado contiver funções ou escopos inutilizáveis:

  • Função ou escopo associado não utilizável

Importante:

Uma mensagem de aviso aparece somente quando um par de função e escopo associado contém funções ou escopos inutilizáveis, ou ambos.

Para remover o par de função e escopo do administrador, conclua uma das seguintes etapas:

  • Exclua o par de função e escopo.
    1. Na barra de ações, clique em Editar Administrador.
    2. Na janela Nome e Detalhes do Administrador, selecione o par de função e escopo e, em seguida, clique em Excluir.
    3. Clique em Save para sair.
  • Excluir o administrador.
    1. Na barra de ações, clique em Delete Administrator.
    2. Na janela de confirmação, clique em Delete.

Criar e gerenciar funções

Quando os administradores criam ou editam uma função, eles podem habilitar apenas as permissões que eles próprios possuem. Isso impede que os administradores criem uma função com mais permissões do que as que eles atualmente possuem e depois a atribuam a si mesmos (ou editem uma função à qual já estão atribuídos).

Os nomes das funções podem conter até 64 caracteres Unicode; eles não podem conter: barra invertida, barra, ponto e vírgula, dois pontos, sinal de cerquilha, vírgula, asterisco, ponto de interrogação, sinal de igual, seta para a esquerda ou para a direita, barra vertical, colchete esquerdo ou direito, parêntese esquerdo ou direito, aspas ou apóstrofo. As descrições podem conter até 256 caracteres Unicode.

Você não pode editar ou excluir uma função integrada. Você não pode excluir uma função personalizada se algum administrador a estiver usando.

Nota:

Apenas certas edições do produto suportam funções personalizadas. Apenas as edições que suportam funções personalizadas possuem entradas relacionadas na barra de ações.

Para criar e gerenciar funções, siga estas etapas:

  1. Faça login no Web Studio, clique em Administrators no painel esquerdo e depois clique na guia Roles.

  2. Siga as instruções para a tarefa que você deseja concluir:

    • Visualizar detalhes da função: Selecione a função. O painel inferior lista os tipos de objeto e as permissões associadas para a função. Clique na guia Administrators no painel inferior para visualizar uma lista de administradores que atualmente possuem esta função.
    • Criar uma função personalizada: Clique em Create Role no painel de ações. Insira um nome e uma descrição. Selecione os tipos de objeto e as permissões.
    • Copiar uma função: Selecione a função e, em seguida, clique em Copiar Função na barra de ações. Altere o nome, a descrição, os tipos de objeto e as permissões, conforme necessário.
    • Editar uma função personalizada: Selecione a função e, em seguida, clique em Editar Função na barra de ações. Altere o nome, a descrição, os tipos de objeto e as permissões, conforme necessário.
    • Excluir uma função personalizada: Selecione a função e, em seguida, clique em Excluir Função na barra de ações. Quando solicitado, confirme a exclusão.

Criar e gerenciar escopos

Ao criar um site, o único escopo disponível é o escopo ‘Todos’, que não pode ser excluído.

Você pode criar escopos usando o procedimento a seguir. Você também pode criar escopos ao criar um administrador; cada administrador deve ser associado a pelo menos um par de função e escopo. Ao criar ou editar desktops, catálogos de máquinas, aplicativos ou hosts, você pode adicioná-los a um escopo existente. Se você não os adicionar a um escopo, eles permanecerão parte do escopo ‘Todos’.

A criação de sites não pode ser delimitada por escopo, nem os objetos de administração delegada (escopos e funções). No entanto, os objetos que você não pode delimitar por escopo são incluídos no escopo ‘Todos’. (Os Administradores Completos sempre têm o escopo Todos.) Máquinas, ações de energia, desktops e sessões não são diretamente delimitados por escopo. Os administradores podem ter permissões alocadas sobre esses objetos por meio dos catálogos de máquinas ou grupos de entrega associados.

Regras para criar e gerenciar escopos:

  • Os nomes de escopo podem conter até 64 caracteres Unicode. Os nomes de escopo não podem incluir: barra invertida, barra, ponto e vírgula, dois pontos, cerquilha, vírgula, asterisco, ponto de interrogação, sinal de igual, seta para a esquerda, seta para a direita, pipe, colchete esquerdo ou direito, parêntese esquerdo ou direito, aspas ou apóstrofo.

  • As descrições de escopo podem conter até 256 caracteres Unicode.

  • Ao copiar ou editar um escopo, lembre-se de que a remoção de objetos do escopo pode tornar esses objetos inacessíveis ao administrador. Se o escopo editado estiver emparelhado com uma ou mais funções, certifique-se de que as atualizações do escopo não tornem nenhum par função/escopo inutilizável.

Para criar e gerenciar escopos, siga estas etapas:

  1. Faça login no Web Studio, clique em Administradores no painel esquerdo e, em seguida, clique na guia Escopos.

  2. Siga as instruções para a tarefa que você deseja concluir:

    • Criar um escopo: Clique em Criar novo Escopo na barra de ações. Insira um nome e uma descrição. Para incluir todos os objetos de um tipo específico (por exemplo, Grupos de Entrega), selecione o tipo de objeto. Para incluir objetos específicos, expanda o tipo e, em seguida, selecione objetos individuais (por exemplo, Grupos de Entrega usados pela equipe de Vendas).
    • Copiar um escopo: Selecione o escopo e clique em Copiar Escopo na barra de ações. Insira um nome e uma descrição. Altere os tipos de objeto e os objetos, conforme necessário.
    • Editar um escopo: Selecione o escopo e clique em Editar Escopo na barra de ações. Altere o nome, a descrição, os tipos de objeto e os objetos, conforme necessário.
    • Excluir um escopo: Selecione o escopo e clique em Excluir Escopo na barra de ações. Quando solicitado, confirme a exclusão.

Criar relatórios

Você pode criar dois tipos de relatórios de administração delegada:

  • Um relatório HTML que lista os pares função/escopo associados a um administrador, além das permissões individuais para cada tipo de objeto (por exemplo, grupos de entrega e catálogos de máquinas). Você gera este relatório a partir do Web Studio.

    Para criar este relatório, siga estas etapas:

    1. Faça login no Web Studio, clique em Administradores no painel esquerdo
    2. Selecione um administrador e clique em Criar Relatório na barra de ações.

    Você também pode solicitar este relatório ao criar, copiar ou editar um administrador.

  • Um relatório HTML ou CSV que mapeia todas as funções internas e personalizadas para permissões. Você gera este relatório executando um script PowerShell chamado OutputPermissionMapping.ps1.

    Para executar este script, você deve ser um Administrador Completo, um Administrador Somente Leitura ou um administrador personalizado com permissão para ler funções. O script está localizado em: Program Files\Citrix\DelegatedAdmin\SnapIn\Citrix.DelegatedAdmin.Admin.V1\Scripts.

    Sintaxe:

    OutputPermissionMapping.ps1 [-Help] [-Csv] [-Path string] [-AdminAddress string] [-Show] [CommonParameters]

    Parâmetro Descrição
    -Help Exibe a ajuda do script.
    -Csv Especifica a saída CSV. Padrão = HTML
    -Path string Onde gravar a saída. Padrão = stdout
    -AdminAddress string Endereço IP ou nome do host do Delivery Controller™ ao qual se conectar. Padrão = localhost
    -Show (Válido apenas quando o parâmetro -Path também é especificado) Ao gravar a saída em um arquivo, -Show faz com que a saída seja aberta em um programa apropriado, como um navegador da web.
    Parâmetros Comuns Verbose, Debug, ErrorAction, ErrorVariable, WarningAction, WarningVariable, OutBuffer e OutVariable. Para obter detalhes, consulte a documentação da Microsoft.

O exemplo a seguir grava uma tabela HTML em um arquivo chamado Roles.html e abre a tabela em um navegador da web.

& "$env:ProgramFiles\Citrix\DelegatedAdmin\SnapIn\
Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1"
-Path Roles.html –Show
<!--NeedCopy-->

O exemplo a seguir grava uma tabela CSV em um arquivo chamado Roles.csv. A tabela não é exibida.

& "$env:ProgramFiles\Citrix\DelegatedAdmin\SnapIn\
Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1"
–CSV -Path Roles.csv
<!--NeedCopy-->

Em um prompt de comando do Windows, o comando de exemplo anterior é:

powershell -command "& '%ProgramFiles%\Citrix\DelegatedAdmin\SnapIn\
Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1'
-CSV -Path Roles.csv"
<!--NeedCopy-->
Administração delegada
May 31, 2026
Contribuição de: 
C
May 31, 2026
Contribuição de: 
C

Neste artigo

Feedback do site | Your privacy choices footer linkSuas escolhas de privacidade | Privacidade e termos legais | Preferências de cookies | Configurações de consentimento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.