委派管理
概述
如果在 Citrix Cloud 中具有委派管理权限,则可以根据您的所有管理员在贵组织中的角色来配置其所需的访问权限。
默认情况下,管理员具有完全访问权限。此设置允许访问 Citrix Cloud 中的所有可用的客户管理功能以及所有订阅的服务。要定制管理员的访问权限,请执行以下操作:
- 在 Citrix Cloud 中为管理员的常规管理权限配置自定义访问权限。
- 为订阅的服务配置自定义访问权限。在 Citrix Virtual Apps and Desktops 服务中,您可以在邀请新管理员时配置自定义访问权限。稍后可以更改管理员的访问权限。
有关显示管理员列表和定义访问权限的详细信息,请参阅向 Citrix Cloud 帐户中添加管理员。
本文介绍如何在 Citrix Virtual Apps and Desktops 服务中配置自定义访问权限。
管理员、角色和作用域
委派管理对自定义访问权限使用三个概念:管理员、角色和作用域。
- 管理员: 管理员表示其 Citrix Cloud 登录标识的人员,通常为电子邮件地址。每个管理员均与一个或多个角色和作用域对相关联。
-
角色: 角色代表一项工作职能,并且具有与其关联的权限。这些权限允许某些服务是服务的唯一任务。例如,交付组管理员角色具有创建交付组和从交付组中删除桌面的权限以及其他关联的权限。管理员可以有多个角色。管理员可以是交付组管理员和计算机目录管理员。
该服务提供几个内置的自定义访问角色。您不能更改这些内置角色中的权限,也不能删除这些角色。
您可以创建自己的自定义访问角色以满足贵组织的要求,并委派具有更多详细信息的权限。使用自定义角色可按照操作或任务的粒度来分配权限。只有在未将自定义角色分配给管理员时才能删除该角色。
可以更改管理员具有的角色。
角色始终与作用域配对。
-
作用域: 一个作用域代表一个对象集合。作用域用于以与贵组织相关的方式对对象进行分组。对象可以位于多个作用域中。
系统提供一个内置的作用域“全部”,其包含所有对象。Citrix Cloud 和技术支持管理员始终与“全部”作用域配对。无法为这些管理员更改该作用域。
当您邀请(添加)此服务的管理员时,角色始终与作用域(默认为“全部”作用域)配对。
可以在服务的管理控制台中创建和删除作用域。可以在 Citrix Cloud 控制台中分配角色/作用域对。
不显示完全访问权限管理员的作用域。根据定义,这些管理员可以访问所有客户管理的 Citrix Cloud 和订阅的服务对象。
内置角色和作用域
该服务具有以下内置角色。
-
云管理员: 可以执行可从服务启动的所有任务。
可以在控制台中查看管理和监视选项卡。此角色始终与“全部”作用域结合使用。不能更改作用域。
请勿被此角色的名称混淆。具有自定义访问权限的云管理员无法执行 Citrix Cloud 级别的任务(Citrix Cloud 任务需要完全访问权限)。
-
只读权限管理员: 可以查看指定作用域内的所有对象(以及全局信息),但无法更改任何内容。例如,作用域为“伦敦”的只读权限管理员可以查看所有全局对象和所有伦敦作用域内的对象(例如,伦敦交付组)。但是,该管理员无法查看“纽约”作用域(假设“纽约”作用域和“伦敦”作用域无重叠)中的对象。
可以在控制台中看到管理选项卡。看不到显示器选项卡。可以更改作用域。
-
技术支持管理员: 可以查看交付组,并可以管理与这些组关联的会话和计算机。可以查看正在监视的交付组的计算机目录和主机信息。还可以对这些交付组中的计算机执行会话管理和计算机电源管理操作。
可以在控制台中看到监视选项卡。看不到管理选项卡。此角色始终与“全部”作用域结合使用。不能更改作用域。
-
计算机目录管理员: 可以创建和管理计算机目录以及在其中预配计算机。可以管理基础映像并安装软件,但不可以向用户分配应用程序或桌面。
可以在控制台中看到管理选项卡。看不到显示器选项卡。可以更改作用域。
-
交付组管理员: 可以交付应用程序、桌面和计算机。还可以管理关联的会话。可以管理应用程序和桌面配置,例如策略和电源管理设置。
可以在控制台中看到管理选项卡。看不到显示器选项卡。可以更改作用域。
-
主机管理员: 可以管理主机连接及其关联的资源设置。可以向用户交付计算机、应用程序或桌面。
可以在控制台中看到管理选项卡。看不到显示器选项卡。可以更改作用域。
-
会话管理员: 可以查看正在监视的交付组并管理其关联的会话和计算机。
可以在控制台中看到监视选项卡。看不到管理选项卡。不能更改作用域。
-
完全权限管理员: 可以执行所有任务和操作。完全权限管理员始终与全部作用域结合。
可以在控制台中查看管理和监视选项卡。此角色始终与全部作用域结合使用。不能更改作用域。
-
完全权限监视管理员: 对监视选项卡上的所有视图和命令具有完全访问权限。
可以在控制台中看到监视选项卡。看不到管理选项卡。不能更改作用域。
-
探测代理管理员: 具有探测代理 API 的访问权限。
可以在控制台中看到监视选项卡。看不到管理选项卡。对应用程序页面具有只读访问权限,但不能访问任何其他视图。
下表汇总了服务中的每个自定义访问权限角色可见的控制台选项卡,以及该角色是否可用于自定义作用域。
自定义访问权限管理员角色 | 是否可以在控制台中看到管理选项卡? | 是否可以在控制台中看到监视选项卡? | 角色是否可以与自定义作用域结合使用? |
---|---|---|---|
云管理员 | 是 | 是 | 否 |
只读权限管理员 | 是 | 否 | 是 |
技术支持管理员 | 否 | 是 | 否 |
计算机目录管理员 | 是 | 否 | 是 |
交付组管理员 | 是 | 否 | 是 |
主机管理员 | 是 | 否 | 是 |
会话管理员 | 否 | 是 | 否 |
完全权限管理员 | 是 | 是 | 否 |
完全权限监视管理员 | 否 | 是 | 否 |
Probe Agent 管理员 | 否 | 是 | 否 |
注意:
除了云管理员和技术支持管理员之外的自定义访问管理员角色不适用于 Citrix Managed Desktops、Virtual Apps Essentials 和 Virtual Desktops Essentials。
要查看与角色关联的权限,请执行以下操作:
- 如果您尚未登录,请登录 Citrix Cloud。在左上角菜单中,选择我的服务 > Virtual Apps and Desktops。选择管理选项卡。
- 在导航窗格中单击配置 > 管理员,然后单击角色选项卡。
-
在中上部窗格中选择一个角色。下部窗格中的角色定义选项卡列出了类别和权限。选择一个类别以查看特定的权限。管理员选项卡列出了已分配所选角色的管理员。
已知问题:管理控制台中的“完全权限管理员”条目不显示完全访问权限服务管理员的正确权限集。
您需要多少管理员
管理员的数量及其权限的粒度通常取决于部署的规模和复杂性。
- 在小规模部署或概念证明部署中,一个或几个管理员便足以完成一切工作。没有自定义访问权限委派。在这种情况下,每个管理员都具有完全访问权限,它始终具有“全部”作用域。
- 在包含更多计算机、应用程序和桌面的较大规模部署中,需要更多委派。多个管理员的职责(角色)划分可能更为明确。例如,两个管理员具有完全访问权限,其他管理员则为技术支持管理员。此外,管理员可能仅管理特定的对象组(作用域),例如特定部门中的计算机目录。在这种情况下,请创建新作用域以及具有相应自定义访问角色和作用域的管理员。
管理员管理摘要
为服务设置管理员遵循以下顺序:
-
如果希望新管理员具有完全权限管理员(涵盖 Citrix Cloud 中的所有订阅的服务)以外的角色或内置角色,请参阅创建自定义角色。
-
如果希望新管理员具有“全部”以外的作用域(并且预期角色允许使用不同的作用域,但尚未创建),请创建作用域。
-
在 Citrix Cloud 中,邀请管理员。如果希望新管理员具有默认的完全访问权限以外的任何权限,请指定自定义访问权限角色和作用域对。
以后,如果要更改管理员的访问权限(角色和作用域),请参阅配置自定义访问权限。
邀请管理员
要添加管理员,请按照向 Citrix Cloud 帐户中添加管理员中的指导进行操作。本文中将重复使用该信息的一部分。
重要:
请勿混淆“自定义”和“自定义访问权限”的使用方式。
- 在 Citrix Cloud 控制台中为服务创建管理员和分配角色时,术语“自定义访问权限”包括内置角色和在服务的管理控制台中创建的任何其他自定义角色。
- 在服务的管理控制台中,“自定义”只是将该角色与内置角色区分开来。
要添加和邀请管理员,请执行以下操作:
-
登录 Citrix Cloud 后,选择左上角菜单中的 Identity and Access Management(身份和访问管理)。
- 在 Identity and Access Management(身份识别和访问管理)页面上,单击 Administrators(管理员)。显示内容将列出帐户中的当前管理员。
-
单击 Add administrators from(添加管理员的来源),然后选择您的身份验证方法。输入人员的电子邮件地址。或者,选择一个角色和作用域对。
如果未选择自定义访问权限角色和作用域对,则默认情况下为新管理员分配完全访问权限。该设置包括访问 Citrix Cloud 中的所有客户管理员功能以及所有订阅的服务。
如果您希望该管理员拥有更多有限的访问权限,请选择一个自定义访问角色和作用域对。这样,新管理员在首次登录 Citrix Cloud 时将具有预期权限。
-
单击 Invite(邀请)。Citrix Cloud 将向您指定的电子邮件地址发送邀请,并将管理员添加到列表中。
管理员收到电子邮件时,单击 Join(加入)链接可接受邀请。
创建和管理角色
管理员创建或编辑角色时,可以仅启用自己拥有的权限。此控制功能将阻止管理员创建具有超过其当前所拥有的权限的角色,然后将其分配给自己(或编辑已分配的角色)。
自定义角色名称最多可以包含 64 个 Unicode 字符。名称不能包含:反斜线、正斜线、分号、冒号、英镑符号、逗号、星号、问号、等号、左箭头、右箭头、竖线、左右方括号、左右圆括号、引号和单引号。
角色说明最多可以包含 256 个 Unicode 字符。
- 如果您尚未登录,请登录 Citrix Cloud。在左上角菜单中,选择我的服务 > Virtual Apps and Desktops。选择管理选项卡。
- 在导航窗格中单击配置 > 管理员,然后选择中上部窗格中的角色选项卡。
-
按照要完成的任务的说明进行操作:
- 查看角色详细信息: 在中间窗格中选择角色。中间窗格下方列出了对象类型和角色的相关权限。在下方窗格中单击管理员选项卡,以显示当前具有此角色的管理员列表。
-
创建自定义角色: 在“操作”窗格中单击创建新角色。输入名称和说明。选择对象类型和权限。完成后,单击保存。
- 复制角色: 在中间窗格中选择角色,然后在“操作”窗格中单击复制角色。根据需要更改名称、说明、对象类型和权限。完成后,单击保存。
- 编辑自定义角色: 在中间窗格中选择角色,然后在“操作”窗格中单击编辑角色。根据需要更改名称、说明、对象类型和权限。无法编辑内置角色。完成后,单击保存。
- 删除自定义角色: 在中间窗格中选择角色,然后在“操作”窗格中单击删除角色。出现提示时,确认删除。无法删除内置角色。如果某个自定义角色分配给管理员,则无法删除该角色。
创建和管理作用域
默认情况下,所有角色都具有其相关对象的全部作用域。例如,交付组管理员可以管理所有交付组。对于某些管理员角色,您可以创建一个作用域,该作用域允许该管理员角色访问相关对象的子集。例如,您可能希望授予计算机目录管理员访问仅包含特定类型的计算机目录而非所有目录的权限。
- 完全访问权限管理员或自定义访问权限云管理员可以为“只读权限管理员”、“计算机目录管理员”、“交付组管理员”和“主机管理员”角色创建作用域。
- 无法为完全访问权限管理员创建作用域,也无法为云管理员或技术支持管理员创建作用域。这些管理员始终具有“全部”作用域。
创建和管理作用域的规则:
- 作用域名称最多可以包含 64 个 Unicode 字符。名称不能包含:反斜线、正斜线、分号、冒号、英镑符号、逗号、星号、问号、等号、左箭头或右箭头、竖线、左右方括号、左右圆括号、引号和单引号。
- 作用域说明最多可以包含 256 个 Unicode 字符。
- 在复制或编辑作用域时,请记住,从作用域中删除对象会导致管理员无法访问这些对象。如果编辑的作用域与一个或多个角色配对,请确保作用域更新不会使任何角色/作用域对无法使用。
要创建和管理作用域,请执行以下操作:
- 如果您尚未登录,请登录 Citrix Cloud。在左上角菜单中,选择我的服务 > Virtual Apps and Desktops。选择管理选项卡。
- 在导航窗格中单击配置 > 管理员,然后选择中上部窗格中的作用域选项卡。
-
按照要完成的任务的说明进行操作:
- 查看作用域详细信息: 在中间窗格中选择角色。中间窗格下方列出了对象类型和角色的相关权限。在下方窗格中单击管理员选项卡,以显示当前具有此角色的管理员列表。
-
创建作用域: 在“操作”窗格中单击创建作用域。输入名称和说明。这些对象按类型列出,例如交付组和计算机目录。
- 要包括特定类型的所有对象(例如,所有交付组),请选择对象类型对应的复选框。
- 要包括某种类型内的单个对象,请展开该类型,然后选择对象(例如,特定交付组)对应的交付组。
完成后,单击保存。
- 复制作用域: 在中间窗格中选择作用域,然后在“操作”窗格中单击复制作用域。更改名称、说明。根据需要更改对象类型和对象。完成后,单击保存。
- 编辑作用域: 在中间窗格中选择作用域,然后在“操作”窗格中单击编辑作用域。根据需要更改名称、说明、对象类型和对象。完成后,单击保存。
-
删除作用域: 在中间窗格中选择作用域,然后在“操作”窗格中单击删除作用域。出现提示时,确认删除。
如果某个作用域分配给某个角色,则无法删除该作用域。如果您尝试执行此操作,则将显示一条错误消息,指示您没有权限。事实上,出现错误的原因是使用此作用域的角色/作用域对分配给管理员。首先,删除所有使用该角色/作用域对的角色/作用域分配。然后删除管理控制台中的作用域。
创建作用域后,该作用域将显示在 Citrix Cloud 控制台的自定义访问权限列表中,并与相应的角色配对。然后,您可以将其分配给管理员。
例如,假设您创建了一个名为 CAD 的作用域,然后选择包含适合 CAD 应用程序的计算机的目录。当您返回到 Citrix Cloud 控制台时,服务级别的自定义访问权限角色/作用域对列表现在具有新条目(以粗体显示):
- Cloud Administrator,All(云管理员,全部)
- Delivery Group Administrator,All(交付组管理员,全部)
- Delivery Group Administrator,CAD(交付组管理员,CAD)
- Help Desk Administrator,All(技术支持管理员,全部)
- Host Administrator,All(主机管理员,全部)
- Host Administrator,CAD(主机管理员,CAD)
- Machine Catalog Administrator,All(计算机目录管理员,全部)
- 计算机目录管理员,CAD(计算机目录管理员,CAD)
- Read Only,All(只读,全部)
- Read Only,CAD(只读,CAD)
云管理员和技术支持管理员始终具有“全部”作用域,因此,CAD 作用域不适用于这些管理员。
为管理员配置自定义访问权限
默认情况下,当您邀请管理员时,这些管理员具有完全访问权限。
紧急:完全访问权限允许管理员管理所有订阅的服务以及客户管理员 Citrix Cloud 操作(例如邀请更多管理员)。Citrix Cloud 部署至少需要一位具有完全访问权限的管理员。
要为管理员配置自定义访问权限,请执行以下操作:
- 如果您尚未登录,请登录 Citrix Cloud。选择左上角菜单中的 Identity and Access Management(身份和访问管理)> Administrators(管理员)。
- 找到要管理的管理员,单击省略号菜单,然后选择 Edit access(编辑访问权限)。
-
选择 Custom access(自定义访问权限)。要配置特定于服务的自定义访问权限,请在 Virtual Apps and Desktops 下,选中或取消选中“Custom access”(自定义访问权限)列表中一个或多个角色和作用域对旁边的复选标记。
如果尚未创建任何作用域并将其分配给角色,“Custom access”(自定义访问权限)列表中的每个角色都具有“All”(全部)作用域。例如,角色/作用域条目 Delivery Group Administrator,All(交付组管理员,全部)表示角色具有“All”(全部)作用域。
创建角色或作用域时,它将显示在服务的自定义访问权限列表中,并且可以选择。例如,如果您创建了一个名为 Catalog1 的作用域,则“Custom access”(自定义访问权限)列表除了默认的 Machine Catalog Administrator,All(计算机目录管理员,全部)条目外,还包括 Machine Catalog Administrator,Catalog1(计算机目录管理员,Catalog1)条目。
- 如果您正在编辑的管理员已具有自定义访问权限,并且您希望授予该管理员完全访问权限,请选择 Full access(完全访问权限)。
- 完成后,单击保存。
以下屏幕截图显示了完全访问权限和自定义访问权限内置管理员角色。
与本地 Citrix Virtual Apps and Desktops 的区别
如果您熟悉本地 Citrix Virtual Apps and Desktops 产品中的委派管理,则会发现服务版本有几个不同之处。
在 Citrix Cloud 中:
- 管理员通过其 Citrix Cloud 登录名(而非 Active Directory 帐户)来识别。可以为 Active Directory 个人创建角色/作用域对,但不能创建组。
- 管理员在 Citrix Cloud 控制台中创建、配置和删除,而非在服务的管理控制台 (Studio) 中创建、配置和删除。
- 角色/作用域对在 Citrix Cloud 控制台中分配给管理员,而非在服务的管理控制台 (Studio) 中分配。
- 报告不可用。可以在管理控制台中查看管理员、角色和作用域信息。
- 自定义访问云管理员类似于本地版本中的完全权限管理员。两者都具有对正在使用的 Citrix Virtual Apps and Desktops 版本的完全管理和监视权限。但是,在服务中,没有指定的完全权限管理员角色。请勿将 Citrix Cloud 中的“Full access”(完全访问权限)与本地 Citrix Virtual Apps and Desktops 中的“完全权限管理员”等同。Citrix Cloud 中的完全访问权限涵盖平台级别的域、库、通知和资源位置,以及所有订阅的服务。
与早期服务版本的差异
在发布扩展的自定义访问功能(2018 年 9 月)之前,有两个自定义访问管理员角色:完全权限管理员和技术支持管理员。当您的部署启用了委派管理(这是一项平台设置)时,这些角色将自动映射。
- 以前配置为自定义访问权限 Virtual Apps and Desktops(或 XenApp 和 XenDesktop)服务: 完全权限管理员的管理员现在为自定义访问权限云管理员。
- 以前配置为自定义访问权限 Virtual Apps and Desktops(或 XenApp 和 XenDesktop)服务: 技术支持管理员的管理员现在为自定义访问权限技术支持管理员。
更多信息
有关服务的监视控制台中使用的管理员、角色和作用域的信息,请参阅委派管理和监视。