Citrix Virtual Apps and Desktops

Administração delegada

O modelo de administração delegada oferece a flexibilidade de corresponder à forma como a sua organização deseja delegar atividades administrativas, usando controle baseado em objeto e função. A administração delegada acomoda implantações de todos os tamanhos e permite configurar mais granularidade de permissão à medida que sua implantação cresce em complexidade. A administração delegada usa três conceitos: administradores, funções e escopos.

  • Administradores: um administrador representa uma pessoa individual ou um grupo de pessoas identificadas por suas contas do Active Directory. Cada administrador está associado a um ou mais pares de função e escopo.

  • Funções: uma função representa um cargo de trabalho e tem permissões definidas associadas a ela. Por exemplo, a função Administrador do Grupo de Entrega tem permissões como “Criar grupo de entrega” e “Remover área de trabalho do grupo de entrega”. Um administrador pode ter várias funções para um site, ou seja, uma pessoa possa ser Administrador de Grupo de Entrega e Administrador de Catálogo de Máquinas. As funções podem ser incorporadas ou personalizadas.

    As funções internas são:

    Função Permissões
    Full Administrator Pode executar todas as tarefas e operações. Um administrador completo é sempre combinado com o escopo Todos.
    Read Only Administrator Pode ver todos os objetos nos escopos especificados, além de informações globais, mas não pode alterar nada. Por exemplo, um administrador somente leitura com escopo = Londres pode ver todos os objetos globais (como Log de Configuração) e quaisquer objetos com escopo Londres (por exemplo, Grupos de Entrega de Londres). No entanto, esse administrador não pode ver objetos no escopo de Nova York (supondo que os escopos Londres e Nova York não se sobrepõem).
    Help Desk Administrator Pode exibir grupos de entrega e gerenciar sessões, máquinas e computadores associados a esses grupos. Pode ver informações do catálogo de máquinas e do host para os grupos de entrega que estão sendo monitorados. Também pode executar operações de gerenciamento de sessão e gerenciamento de energia da máquina para as máquinas nesses grupos de entrega.
    Administrador de catálogo de máquinas Pode criar e gerenciar catálogos de máquina e provisionar as máquinas neles. Pode criar catálogos de máquinas a partir da infraestrutura de virtualização, Provisioning Services e máquinas físicas. Esta função pode gerenciar imagens básicas e instalar softwares, mas não pode atribuir aplicativos ou áreas de trabalho aos usuários.
    Administrador de grupo de entrega Pode entregar aplicativos, áreas de trabalho, máquinas e computadores; também pode gerenciar as sessões associadas. Também pode gerenciar configurações de aplicativos e áreas de trabalho, como configurações de gerenciamento de energia e políticas.
    Host Administrator Pode gerenciar conexões de host e suas configurações de recursos associadas. Não pode entregar máquinas, computadores, aplicativos ou áreas de trabalho aos usuários.

    Em determinadas edições do produto, você pode criar funções personalizadas para atender aos requisitos da sua organização e delegar permissões com mais detalhes. Você pode usar funções personalizadas para alocar permissões na granularidade de uma ação ou tarefa em um console.

  • Escopos: um escopo representa uma coleção de objetos. Os escopos são usados para agrupar objetos de uma forma que seja relevante para a sua organização (por exemplo, o conjunto de Grupos de Entrega usado pela equipe de vendas). Os objetos podem estar em mais de um escopo; você pode pensar em objetos rotulados com um ou mais escopos. Há um escopo interno: “All”, que contém Todos os objetos. A função de administrador completo é sempre casada com o escopo Todos.

Exemplo

A empresa XYZ decidiu gerenciar aplicativos e áreas de trabalho com base no departamento (Contas, Vendas e Armazém) e sistema operacional do computador (Windows 7 ou Windows 8). O administrador criou cinco escopos e, em seguida, rotulou cada grupo de entrega com dois escopos: um para o departamento onde são usados e outro para o sistema operacional que usam.

Os seguintes administradores foram criados:

Administrador Funções Escopos
domínio/fred Full Administrator Todos (a função de administrador completo sempre tem o escopo All)
domínio/rob Read Only Administrator Todas
domínio/heidi Administrador somente leitura, administrador de assistência técnica Todos de Vendas
domínio/warehouseadmin Help Desk Administrator Armazém
domínio/peter Administrador de grupo de entrega, Administrador de catálogo de máquinas Win7
  • Fred é um administrador completo e pode visualizar, editar e excluir todos os objetos no sistema.
  • Rob pode visualizar todos os objetos no site, mas não pode editá-los ou excluí-los.
  • Heidi pode visualizar todos os objetos e executar tarefas de assistência técnica em grupos de entrega no escopo Vendas. Isso permite que ela gerencie as sessões e máquinas associadas a esses grupos; ela não pode fazer alterações no Grupo de Entrega, como adicionar ou remover máquinas.
  • Qualquer pessoa que seja membro do grupo de segurança warehouseadmin do Active Directory pode exibir e executar tarefas de assistência técnica em máquinas no escopo Armazém.
  • Peter é especialista em Windows 7 e pode gerenciar todos os catálogos de máquinas do Windows 7 e pode entregar aplicativos, áreas de trabalho, computadores e máquinas com Windows 7, independentemente do escopo do departamento em que estão. O administrador considerou tornar Peter um administrador completo para o escopo Win7. No entanto, ela decidiu contra isso, porque um administrador completo também tem direitos completos sobre todos os objetos que não têm escopo, como “Site” e “Administrador”.

Como usar a administração delegada

Geralmente, o número de administradores e a granularidade de suas permissões dependem do tamanho e da complexidade da implantação.

  • Em implantações pequenas ou de prova de conceito, um ou alguns administradores fazem tudo. Não há delegação. Nesse caso, crie cada administrador com a função de administrador completo interna, que tem o escopo Todos.
  • Em implantações maiores com mais máquinas, computadores, aplicativos e áreas de trabalho, é necessária mais delegação. Vários administradores podem ter responsabilidades funcionais (funções) mais específicas. Por exemplo, dois são administradores completos e os outros são administradores de assistência técnica. Além disso, um administrador pode gerenciar apenas determinados grupos de objetos (escopos), como catálogos de máquinas. Nesse caso, crie novos escopos, além de administradores com uma das funções internas e os escopos apropriados.
  • Implantações ainda maiores podem exigir mais escopos ou escopos mais específicos, além de administradores diferentes com funções não convencionais. Nesse caso, edite ou crie mais escopos, crie funções personalizadas e crie cada administrador com uma função interna ou personalizada, além de escopos novos e existentes.

Para flexibilidade e facilidade de configuração, você pode criar escopos quando criar um administrador. Você também pode especificar escopos ao criar ou editar Catálogos de Máquinas ou conexões.

Criar e gerenciar administradores

Quando você cria um site como administrador local, sua conta de usuário se torna automaticamente um administrador completo com permissões completas sobre todos os objetos. Depois que um site é criado, os administradores locais não têm privilégios especiais.

A função de administrador completo sempre tem o escopo All; você não pode alterar isso.

Por padrão, um administrador está ativo. Desativar um administrador pode ser necessário se você estiver criando o administrador agora, mas a pessoa só for iniciar as tarefas administrativas mais tarde. Para administradores ativos existentes, você pode desativar vários deles enquanto estiver reorganizando seu objeto/escopos e, em seguida, reativá-los quando estiver pronto para usar a configuração atualizada. Você não pode desativar um administrador completo se isso resultar em nenhum administrador completo ativo. A caixa de seleção ativar/desativar está disponível quando você cria, copia ou edita um administrador.

Quando você exclui um par de função/escopo durante a cópia, edição ou exclusão de um administrador, isso exclui apenas a relação entre a função e o escopo do administrador. Isso não exclui nem a função nem o escopo. Também não afeta nenhum outro administrador que esteja configurado com esse par de função/escopo.

Para gerenciar administradores, clique em Configuration > Administrators no painel de navegação do Studio e, em seguida, clique na guia Administrators no painel central superior.

  • Criar um administrador: clique em Create new Administrator no painel Actions. Digite ou navegue até o nome da conta de usuário, selecione ou crie um escopo, e selecione uma função. O novo administrador está ativado por padrão; você pode alterar isso.
  • Copiar um administrador: selecione o administrador no painel central e clique em Copy Administrator no painel Actions. Digite ou navegue até o nome da conta de usuário. Você pode selecionar e editar ou excluir qualquer um dos pares de função/escopo e adicionar novos pares. O novo administrador está ativado por padrão; você pode alterar isso.
  • Editar um administrador: selecione o administrador no painel central e clique em Edit Administrator no painel Actions. Você pode editar ou excluir qualquer um dos pares de função/escopo e adicionar novos pares.
  • Excluir um administrador: selecione o administrador no painel central e clique em Delete Administrator no painel Actions. Você não pode excluir um administrador completo se isso resultar em nenhum administrador completo ativo.

O painel superior exibe os administradores que você criou. Selecione um administrador para exibir seus detalhes no painel inferior. A coluna Warnings indica se os pares de função e escopo associados ao administrador contêm funções ou escopos inutilizáveis. A seguinte mensagem de aviso será exibida se um par de função e escopo associados contiver funções ou escopos inutilizáveis:

  • Função ou escopo associado não utilizável
    • Remova o par de função e escopo do administrador.

Importante:

Uma mensagem de aviso só aparece quando um par de função e escopo associados contém funções ou escopos inutilizáveis ou ambos.

Para remover o par de função e escopo do administrador, execute uma das seguintes etapas:

  • Exclua o par de função e escopo.
    1. No painel Actions, clique em Edit Administrator.
    2. Na janela Edit Administrator, selecione o par de função e escopo e clique em Delete.
    3. Clique em OK para sair.
  • Exclua o administrador.
    1. No painel Actions, clique em Delete Administrator.
    2. Na janela Studio, clique em Delete.

Criar e gerenciar funções

Quando os administradores criam ou editam uma função, eles podem ativar apenas as permissões que eles próprios têm. Isso impede que os administradores criem uma função com mais permissões do que as que têm no momento e a atribuam a si mesmos (ou editem uma função à qual já estão atribuídos).

Os nomes de funções podem conter até 64 caracteres Unicode; eles não podem conter: barra invertida, barra, ponto e vírgula, dois pontos, cerquilha, vírgula, asterisco, ponto de interrogação, sinal de igual, seta para a esquerda ou para a direita, barra vertical, colchete esquerdo ou direito, parêntese esquerdo ou direito, aspas ou apóstrofo. As descrições podem conter até 256 caracteres Unicode.

Não é possível editar ou excluir uma função interna. Não é possível excluir uma função personalizada se algum administrador a estiver usando.

Nota:

Apenas algumas edições do produto suportam funções personalizadas. Somente as edições que suportam funções personalizadas têm entradas relacionadas no painel Actions.

Para gerenciar funções, clique em Configuration > Administrators no painel de navegação do Studio e, em seguida, clique na guia Roles no painel central superior.

  • Exibir detalhes da função: selecione a função no painel central. A parte inferior do painel central lista os tipos de objetos e as permissões associadas para a função. Clique na guia Administrators no painel inferior para exibir uma lista de administradores que atualmente têm a função.
  • Criar uma função personalizada: clique em Create new Role no painel Actions. Insira um nome e uma descrição. Selecione os tipos de objetos e as permissões.
  • Copiar uma função: selecione a função no painel central e clique em Copy Role no painel Actions. Altere o nome, a descrição, os tipos de objetos e as permissões, conforme necessário.
  • Editar uma função personalizada: selecione a função no painel central e clique em Edit Role no painel Actions. Altere o nome, a descrição, os tipos de objetos e as permissões, conforme necessário.
  • Excluir uma função personalizada: selecione a função no painel central e clique em Delete Role no painel Actions. Quando solicitado, confirme a exclusão.

Criar e gerenciar escopos

Quando você cria um site, o único escopo disponível é o escopo “All”, que não pode ser excluído.

Você pode criar escopos usando o procedimento a seguir. Você também pode criar escopos quando criar um administrador; cada administrador deve estar associado a pelo menos um par de função e escopo. Ao criar ou editar áreas de trabalho, catálogos de máquinas, aplicativos ou hosts, você pode adicioná-los a um escopo existente. Se você não adicioná-los a um escopo, eles permanecem parte do escopo “All”.

Na criação do site não se pode aplicar um escopo nem em objetos de administração delegada (escopos e funções). No entanto, os objetos aos quais você não pode aplicar escopo são incluídos no escopo “All”. (Administradores completos sempre têm o escopo Todos.) Máquinas, ações de energia, áreas de trabalho e sessões não têm escopo diretamente aplicado. Os administradores podem ter permissões alocadas a esses objetos por meio de catálogos de máquinas e grupos de entrega associados.

Os nomes de escopo podem conter até 64 caracteres Unicode. Os nomes de escopo não podem incluir: barra invertida, barra, ponto e vírgula, dois pontos, cerquilha, vírgula, asterisco, ponto de interrogação, sinal de igual, seta para a esquerda, seta para a direita, barra vertical, colchete esquerdo ou direito, parêntese esquerdo ou direito, aspas ou apóstrofo. As descrições podem conter até 256 caracteres Unicode.

Quando você copia ou edita um escopo, lembre-se de que a remoção de objetos do escopo pode tornar esses objetos inacessíveis ao administrador. Se o escopo editado estiver casado com uma ou mais funções, certifique-se de que as atualizações do escopo não tornem nenhum par de função/escopo inutilizável.

Para gerenciar escopos, clique em Configuration > Administrators no painel de navegação do Studio e, em seguida, clique na guia Scopes no painel central superior.

  • Criar um escopo: clique em Create new Scope no painel Actions. Insira um nome e uma descrição. Para incluir todos os objetos de um tipo específico (por exemplo, Grupos de Entrega), selecione o tipo de objeto. Para incluir objetos específicos, expanda o tipo e selecione objetos individuais (por exemplo, Grupos de Entrega usados pela equipe de vendas).
  • Copiar um escopo: selecione o escopo no painel central e clique em Copy Scope no painel Actions. Insira um nome e uma descrição. Altere os tipos de objetos e objetos, conforme necessário.
  • Editar um escopo: selecione o escopo no painel central e clique em Edit Scope no painel Actions. Altere o nome, a descrição, os tipos de objetos e os objetos, conforme necessário.
  • Excluir um escopo: selecione o escopo no painel central e clique em Delete Scope no painel Actions. Quando solicitado, confirme a exclusão.

Criar relatórios

Você pode criar dois tipos de relatórios de administração delegados:

  • Um relatório HTML que lista os pares de função/escopo associados a um administrador, além das permissões individuais para cada tipo de objeto (por exemplo, Grupos de Entrega e Catálogos de Máquinas). Você gera esse relatório a partir do Studio.

    Para criar esse relatório, clique em Configuration > Administrators no painel de navegação do Studio. Selecione um administrador no painel central e clique em Create Report no painel Actions.

    Você também pode solicitar esse relatório ao criar, copiar ou editar um administrador.

  • Um relatório HTML ou CSV que mapeia todas as funções internas e personalizadas para permissões. Você gera esse relatório executando um script do PowerShell chamado OutputPermissionMapping.ps1.

    Para executar esse script, você deve ser um Administrador Completo, um Administrador Somente Leitura ou um administrador personalizado com permissão para ler funções. O script está localizado em: Program Files\Citrix\DelegatedAdmin\SnapIn\Citrix.DelegatedAdmin.Admin.V1\Scripts.

    Sintaxe:

    OutputPermissionMapping.ps1 [-Help] [-Csv] [-Path string] [-AdminAddress string] [-Show] [CommonParameters]

    Parâmetro Descrição
    -Help Exibe a ajuda do script.
    -Csv Especifica a saída CSV. Padrão = HTML
    -Path string Onde gravar a saída. Padrão = stdout
    -AdminAddress string Endereço IP ou nome do host do Delivery Controller ao qual se conectar. Padrão = localhost
    -Show (Válido somente quando o parâmetro -Path também é especificado.) Quando você grava a saída em um arquivo, -Show faz com que a saída seja aberta em um programa apropriado, como um navegador da Web.
    CommonParameters Verbose, Debug, ErrorAction, ErrorVariable, WarningAction, WarningVariable, OutBuffer e OutVariable. Para obter detalhes, consulte a documentação da Microsoft.

O exemplo a seguir grava uma tabela HTML em um arquivo chamado Roles.html e abre a tabela em um navegador da Web.

& "$env:ProgramFiles\Citrix\DelegatedAdmin\SnapIn\
Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1"
-Path Roles.html –Show
<!--NeedCopy-->

O exemplo a seguir grava uma tabela CSV em um arquivo chamado Roles.csv. A tabela não é exibida.

& "$env:ProgramFiles\Citrix\DelegatedAdmin\SnapIn\
Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1"
–CSV -Path Roles.csv
<!--NeedCopy-->

Em um prompt de comando do Windows, o comando do exemplo anterior é:

powershell -command "& '%ProgramFiles%\Citrix\DelegatedAdmin\SnapIn\
Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1'
-CSV -Path Roles.csv"
<!--NeedCopy-->
Administração delegada