委派管理
注意:
可以使用下面两个管理控制台管理您的 Citrix Virtual Apps and Desktops 部署:Web Studio(基于 Web)和 Citrix Studio(基于 Windows)。本文仅涵盖 Web Studio。有关 Citrix Studio 的信息,请参阅 Citrix Virtual Apps and Desktops 7 2212 或更早版本中的等效文章。
“委派管理”模型可以使用角色和基于对象的控制机制灵活地与组织所需的管理活动委派方式相匹配。委派管理可以适应所有规模的部署,并且随着部署复杂性的增加,可以帮助您更细化地配置权限。委派管理基于三个概念:管理员、角色和作用域。
-
管理员: 管理员是指由 Active Directory 帐户所标识的一个或一组人。每个管理员均与一个或多个角色和作用域对相关联。
-
角色: 角色代表一项工作职能,并且具有定义的关联权限。例如,“交付组管理员”角色具有“创建交付组”和“从交付组中删除桌面”等权限。管理员在一个站点中可以具有多个角色,因此一个人既可以是交付组管理员,又可以是计算机目录管理员。角色可以内置或自定义。
内置角色包括:
角色 权限 完全权限管理员 可以执行所有任务和操作。完全权限管理员始终与“全部”作用域结合。 只读权限管理员 可以查看指定作用域内的所有对象及全局信息,但不能更改任何内容。例如,作用域为“伦敦”的只读权限管理员可以查看所有全局对象(例如配置日志记录)和所有伦敦作用域内的对象(例如,伦敦交付组)。但是,该管理员无法查看“纽约”作用域(假设“纽约”作用域和“伦敦”作用域无重叠)中的对象。 技术支持管理员 可以查看交付组,并管理与之关联的会话和计算机。可以查看正在监视的交付组的计算机目录和主机信息。还可以对这些交付组中的计算机执行会话管理和计算机电源管理操作。 计算机目录管理员 可以创建并管理计算机目录,并将计算机预配到这些目录中。可以从虚拟化基础结构、Provisioning Services 和物理机构建计算机目录。此角色可以管理基础映像并安装软件,但不可以向用户分配应用程序或桌面。 交付组管理员 可以交付应用程序、桌面和计算机,还可管理关联的会话。以及应用程序和桌面配置,如策略和电源管理设置。 主机管理员 可以管理主机连接及其关联的资源设置。可以向用户交付计算机、应用程序或桌面。 在某些产品版本中,您可以根据组织的要求创建自定义角色,并可以更细致地委派权限。您可以使用自定义角色按照控制台中操作或任务的粒度来分配权限。
-
作用域: 一个作用域代表一个对象集合。作用域用来根据组织的具体情况将对象分组(例如,销售团队使用的交付组集合)。对象可以属于多个作用域;可以将对象视为带有多个作用域的标记。系统提供一个内置的作用域“全部”,其包含全部对象。“完全权限管理员”角色始终与“全部”作用域配对。
示例
XYZ 公司决定根据部门(会计、销售和仓库)管理应用程序和桌面以及桌面操作系统(Windows 7 或 Windows 8)。管理员创建了五个作用域,并分别为每个交付组标记了两个作用域:一个用于所用的部门,另一个用于所用的操作系统。
创建了以下管理员:
管理员 | 角色 | 作用域 |
---|---|---|
domain/fred | 完全权限管理员 | 全部(完全权限管理员角色始终拥有全部作用域) |
domain/rob | 只读权限管理员 | 全部 |
domain/heidi | 只读权限管理员、技术支持管理员 | 所有销售 |
domain/warehouseadmin | 技术支持管理员 | 仓库 |
domain/peter | 交付组管理员、计算机目录管理员 | Win7 |
- Fred 是完全权限管理员,可以查看、编辑和删除系统中的所有对象。
- Rob 可以查看站点中的所有对象,但无法编辑或删除对象。
- Heidi 可以查看所有对象并可以对销售作用域中的交付组执行技术支持任务。因此她可以管理与这些组关联的会话和计算机,但无法对交付组执行更改,如添加或删除计算机。
- warehouseadmin Active Directory 安全组成员中的任何人都可以查看“仓库”作用域中的计算机,并对这些计算机执行技术支持任务。
- Peter 是 Windows 7 专员,可以管理所有 Windows 7 计算机目录,还可以交付 Windows 7 应用程序、桌面和计算机,无论它们属于哪个部门作用域。管理员曾考虑让 Peter 成为 Win7 作用域的完全权限管理员。但是,她决定不这样做,因为完全权限管理员对不属于作用域范围的所有对象(例如“站点”和“管理员”)也具有完全权限。
如何使用委派管理
一般而言,管理员的数量及其权限的粒度取决于部署的规模和复杂性。
- 对于小规模部署或概念验证部署,一个或几个管理员便足以完成一切工作。无需委派。在这种情况下,将每个管理员均创建为具有内置“完全权限管理员”角色,该角色拥有“全部”作用域。
- 在包含更多计算机、应用程序和桌面的较大规模部署中,需要更多委派。多个管理员的职责(角色)划分可能更为明确。例如,设置两个完全权限管理员,其他则是技术支持管理员。此外,管理员可能只管理特定的对象组(作用域),如计算机目录。在这种情况下,创建新的作用域,并创建具有内置角色之一及适当作用域的管理员。
- 更大规模的部署可能需要更多(或更明确)的作用域,以及具有非常规角色的不同管理员。在这种情况下,编辑或创建更多作用域,创建自定义角色,并根据内置或自定义角色创建每个管理员以及现有和新的作用域。
为实现配置灵活性和方便性,可以在创建管理员时创建作用域。另外,还可以在创建或编辑计算机目录或连接时指定作用域。
创建和管理管理员
以本地管理员身份创建站点时,您的用户帐户将自动成为对所有对象具有完全权限的“完全权限管理员”。站点创建完成之后,本地管理员不具有任何特殊权限。
完全权限管理员角色始终具有“全部”作用域,此作用域无法更改。
默认情况下启用管理员。如果现在要创建管理员,但此人要在之后某个时间才开始履行管理员职责,则禁用管理员可能很有必要。对于已启用的现有管理员,重新组织对象/作用域时,您可能需要禁用多个管理员,当准备启用更新配置时,再将其重新启用。如果禁用管理员会导致没有启用的完全权限管理员,将不能禁用此管理员。在创建、复制或编辑管理员时,启用/禁用复选框将处于可用状态。
在复制、编辑或删除管理员时,如果删除角色/作用域对,此操作将仅删除此管理员的角色与作用域之间的关系。不会删除角色或作用域。也不会影响配置了该角色/作用域对的任何其他管理员。
要创建和管理管理员,请执行以下步骤:
-
登录 Web Studio,请在左侧窗格中单击管理员,然后单击管理员选项卡。
-
按照要完成的任务的说明进行操作:
- 创建管理员: 在操作栏中单击创建管理员。键入或浏览到用户帐户名称,选择或创建一个作用域,然后选择一个角色。默认情况下,启用新管理员;可以对此进行更改。
- 复制管理员: 选择管理员,然后在操作栏中单击复制管理员。键入或浏览到用户帐户名称。可以选择任何角色/作用域对,然后进行编辑或删除,也可以添加新的角色/作用域对。默认情况下,启用新管理员;可以对此进行更改。
- 编辑管理员: 选择管理员,然后在操作栏中单击编辑管理员。可以编辑或删除任何角色/作用域对,也可以添加新的角色/作用域对。
- 删除管理员: 选择管理员,然后在操作栏中单击删除管理员。如果删除管理员会导致没有启用的完全权限管理员,将不能删除此管理员。
上部窗格显示您创建的管理员。选择管理员以在下部窗格中查看其详细信息。警告列指示与管理员关联的角色和作用域对是否包含不可用的角色或作用域。如果关联的角色和作用域对包含不可用的角色或作用域,将显示以下警告消息:
- 关联的角色或作用域不可用
重要:
仅当关联的角色和作用域对包含不可用的角色或作用域或两者时,才会显示警告消息。
要删除与管理员关联的角色和作用域对,请完成以下步骤之一:
- 删除角色和作用域对。
- 在操作栏中,单击编辑管理员。
- 在管理员名称和详细信息窗口中,选择角色和作用域对,然后单击删除。
- 单击保存退出。
- 删除管理员。
- 在操作栏中,单击删除管理员。
- 在确认窗口中,单击删除。
创建和管理角色
管理员创建或编辑角色时,可以仅启用自己拥有的权限。这将阻止管理员创建具有超过其当前所拥有的权限的角色,然后将其分配给自己(或编辑已分配的角色)。
角色名称最多可以包含 64 个 Unicode 字符;不能包含反斜线、正斜线、分号、冒号、英镑符号、逗号、星号、问号、等号、左右箭头、竖线、左右方括号、左右圆括号、引号和单引号。说明最多可以包含 256 个 Unicode 字符。
无法编辑或删除内置角色。无法删除任意管理员正在使用的自定义角色。
注意:
只有特定产品版本支持自定义角色。只有支持自定义角色的版本在操作栏中有相关项。
要创建和管理角色,请执行以下步骤:
-
登录 Web Studio,请在左侧窗格中单击管理员,然后单击角色选项卡。
-
按照要完成的任务的说明进行操作:
- 查看角色详细信息: 选择角色。下部的窗格列出了对象类型和角色的相关权限。在下部的窗格中单击管理员选项卡,以查看当前具有此角色的管理员列表。
- 创建自定义角色: 在操作窗格中单击创建角色。输入名称和说明。选择对象类型和权限。
- 复制角色: 选择角色,然后在操作栏中单击复制角色。根据需要更改名称、说明、对象类型和权限。
- 编辑自定义角色: 选择角色,然后在操作栏中单击编辑角色。根据需要更改名称、说明、对象类型和权限。
- 删除自定义角色: 选择角色,然后在操作栏中单击删除角色。出现提示时,确认删除。
创建和管理作用域
创建站点时,唯一可用的作用域是不能删除的“全部”作用域。
可以使用以下过程创建作用域。也可以在创建管理员时创建作用域;每个管理员必须至少与一个角色和作用域对相关联。创建或编辑桌面、计算机目录、应用程序或主机时,可将其添加到现有作用域。如果未将其添加到作用域,则它们仍是“全部”作用域的一部分。
站点创建和委派管理员对象(作用域和角色)均无法归入作用域内。但是,无法归入作用域内的对象可包含在“全部”作用域内。(完全权限管理员始终具有“全部”作用域。)计算机、电源操作、桌面和会话不直接作为作用域。管理员可通过相关的计算机目录或交付组分配对这些对象的权限。
创建和管理作用域的规则:
-
作用域名称最多可以包含 64 个 Unicode 字符。作用域名称不能包含:反斜线、正斜线、分号、冒号、英镑符号、逗号、星号、问号、等号、左箭头、右箭头、竖线、左右方括号、左右圆括号、引号和单引号。
-
作用域说明最多可以包含 256 个 Unicode 字符。
-
在复制或编辑作用域时,请记住,从作用域中删除对象会导致管理员无法访问这些对象。如果编辑的作用域与一个或多个角色配对,请确保作用域更新不会使任何角色/作用域对无法使用。
要创建和管理作用域,请执行以下步骤:
-
登录 Web Studio,请在左侧窗格中单击管理员,然后单击作用域选项卡。
-
按照要完成的任务的说明进行操作:
- 创建作用域: 在操作栏中单击创建新作用域。输入名称和说明。要包括特定类型的所有对象(如交付组),请选择对象类型。要包括特定对象,请展开类型,然后选择各个对象(例如,销售团队使用的各个交付组)。
- 复制作用域: 选择作用域,然后在操作栏中单击复制作用域。输入名称和说明。根据需要更改对象类型和对象。
- 编辑作用域: 选择作用域,然后在操作栏中单击编辑作用域。根据需要更改名称、说明、对象类型和对象。
- 删除作用域: 选择作用域,然后在操作栏中单击删除作用域。出现提示时,确认删除。
创建报告
可以创建两种类型的委派管理报告:
-
HTML 报告,此报告将列出与管理员关联的角色/作用域对以及每种对象类型(例如,交付组和计算机目录)的各个权限。通过 Web Studio 生成此报告。
要创建此报告,请执行以下步骤:
- 登录 Web Studio,在左侧窗格中单击管理员
- 选择管理员,然后在操作栏中单击创建报告。
您还可以在创建、复制或编辑管理员时请求此报告。
-
将所有内置和自定义角色映射到权限的 HTML 或 CSV 报告。通过运行名为 OutputPermissionMapping.ps1 的 PowerShell 脚本生成此报告。
要运行此脚本,您必须是完全权限管理员、只读权限管理员或具有读取角色权限的自定义管理员。此脚本位于:Program Files\Citrix\DelegatedAdmin\SnapIn\Citrix.DelegatedAdmin.Admin.V1\Scripts。
语法:
OutputPermissionMapping.ps1 [-Help] [-Csv] [-Path string] [-AdminAddress string] [-Show] [CommonParameters]
参数 说明 -Help
显示脚本帮助。 -Csv
指定 CSV 输出。默认值:HTML -Path string
输出的写入位置。默认值:stdout -AdminAddress string
要连接的 Delivery Controller 的 IP 地址或主机名。默认名称为 localhost -Show
(仅当指定了 -Path
参数时此参数才有效)将输出写入到文件时,-Show
会在相应的程序中打开此输出,例如 Web 浏览器。CommonParameters Verbose
、Debug
、ErrorAction
、ErrorVariable
、WarningAction
、WarningVariable
、OutBuffer
和OutVariable
。有关详细信息,请参阅 Microsoft 文档。
以下示例将 HTML 表写入到名为 Roles.html 的文件,并在 Web 浏览器中打开此表。
& "$env:ProgramFiles\Citrix\DelegatedAdmin\SnapIn\
Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1"
-Path Roles.html –Show
<!--NeedCopy-->
以下示例将 CSV 表写入到名为 Roles.csv 的文件。未显示此表。
& "$env:ProgramFiles\Citrix\DelegatedAdmin\SnapIn\
Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1"
–CSV -Path Roles.csv
<!--NeedCopy-->
在 Windows 命令提示窗口中,上例命令为:
powershell -command "& '%ProgramFiles%\Citrix\DelegatedAdmin\SnapIn\
Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1'
-CSV -Path Roles.csv"
<!--NeedCopy-->