This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
委派管理
注意:
从版本 2511 开始,Citrix Web Studio(基于 Web)是 Citrix Virtual Apps and Desktops™ 的唯一管理控制台。Citrix Studio(基于 MMC)已从安装程序中删除。本文仅适用于 Web Studio。有关 Citrix Studio 的信息,请参阅 Citrix Virtual Apps and Desktops 7 2212 或更早版本中的等效文章。
委派管理模型提供了灵活性,可根据您的组织希望如何使用基于角色和对象的控制来委派管理活动。委派管理适用于所有规模的部署,并允许您在部署复杂性增加时配置更精细的权限。委派管理使用三个概念:管理员、角色和作用域。
-
管理员: 管理员代表由其 Active Directory 帐户标识的个人或人群。每个管理员都与一个或多个角色和作用域对相关联。
-
角色: 角色代表一项工作职能,并具有与之关联的已定义权限。例如,“交付组管理员”角色具有“创建交付组”和“从交付组中删除桌面”等权限。一个管理员可以为一个站点拥有多个角色,因此一个人可以既是交付组管理员,又是计算机目录管理员。角色可以是内置的或自定义的。
内置角色包括:
角色 权限 完全管理员 可以执行所有任务和操作。完全管理员始终与“所有”作用域结合使用。 只读管理员 除了全局信息外,还可以查看指定作用域中的所有对象,但不能更改任何内容。例如,具有 Scope=London 的只读管理员可以查看所有全局对象(例如“配置日志记录”)和任何 London 作用域对象(例如 London 交付组)。但是,该管理员无法查看 New York 作用域中的对象(假设 London 和 New York 作用域不重叠)。 帮助台管理员 可以查看交付组,并管理与这些组关联的会话和计算机。可以查看正在监视的交付组的计算机目录和主机信息。还可以对这些交付组中的计算机执行会话管理和计算机电源管理操作。 计算机目录管理员 可以创建和管理计算机目录,并将计算机预配到其中。可以从虚拟化基础结构、Provisioning Services 和物理计算机构建计算机目录。此角色可以管理基本映像和安装软件,但不能将应用程序或桌面分配给用户。 交付组管理员 可以交付应用程序、桌面和计算机;还可以管理关联的会话。还可以管理应用程序和桌面配置,例如策略和电源管理设置。 主机管理员 可以管理主机连接及其关联的资源设置。不能向用户交付计算机、应用程序或桌面。 成本管理员 可以监视和查看 Azure MCS 目录的成本详细信息,特别是过去 30 天内产生的总成本以及当前和前 30 天期间的比较。 在某些产品版本中,您可以创建自定义角色以匹配您的组织要求,并更详细地委派权限。您可以使用自定义角色以控制台中操作或任务的粒度分配权限。
-
作用域: 作用域代表对象的集合。作用域用于以与您的组织相关的方式对对象进行分组(例如,销售团队使用的交付组集)。对象可以存在于多个作用域中;您可以将对象视为带有一个或多个作用域标签。有一个内置作用域:“所有”,它包含所有对象。“完全管理员”角色始终与“所有”作用域配对。
示例
XYZ 公司决定根据其部门(会计、销售和仓库)及其桌面操作系统(Windows 7 或 Windows 8)来管理应用程序和桌面。管理员创建了五个作用域,然后为每个交付组标记了两个作用域:一个用于它们所使用的部门,另一个用于它们所使用的操作系统。
创建了以下管理员:
| 管理员 | 角色 | 作用域 |
|---|---|---|
| domain/fred | 完全管理员 | 所有(完全管理员角色始终具有“所有”作用域) |
| domain/rob | 只读管理员 | 所有 |
| domain/heidi | 只读管理员、帮助台管理员 | 所有 销售 |
| domain/warehouseadmin | 帮助台管理员 | 仓库 |
| domain/peter | 交付组管理员、计算机目录管理员 | Win7 |
- Fred 是完全管理员,可以查看、编辑和删除系统中的所有对象。
- Rob 可以查看站点中的所有对象,但不能编辑或删除它们。
- Heidi 可以查看所有对象,并可以在“销售”作用域中的交付组上执行帮助台任务。这使她能够管理与这些组关联的会话和计算机;她无法对交付组进行更改,例如添加或删除计算机。
- 任何属于 warehouseadmin Active Directory 安全组的成员都可以在“仓库”作用域中的计算机上查看和执行帮助台任务。
- Peter 是一名 Windows 7 专家,可以管理所有 Windows 7 计算机目录,并可以交付 Windows 7 应用程序、桌面和计算机,无论它们属于哪个部门作用域。管理员曾考虑让 Peter 成为 Win7 作用域的完全管理员。但是,她决定不这样做,因为完全管理员还对所有未作用域的对象(例如“站点”和“管理员”)拥有完全权限。
如何使用委派管理
通常,管理员的数量及其权限的粒度取决于部署的规模和复杂性。
- 在小型或概念验证部署中,一个或几个管理员执行所有操作。没有委派。在这种情况下,为每个管理员创建具有“所有”作用域的内置“完全管理员”角色。
- 在具有更多计算机、应用程序和桌面的大型部署中,需要更多的委派。一些管理员可能具有更具体的功能职责(角色)。例如,两个是完全管理员,其他是帮助台管理员。此外,管理员可能只管理某些对象组(作用域),例如计算机目录。在这种情况下,创建新的作用域,并为管理员分配内置角色之一和适当的作用域。
- 甚至更大的部署可能需要更多(或更具体)的作用域,以及具有非常规角色的不同管理员。在这种情况下,编辑或创建更多作用域,创建自定义角色,并为每个管理员创建具有内置或自定义角色以及现有和新作用域的管理员。
为了灵活性和易于配置,您可以在创建管理员时创建作用域。您还可以在创建或编辑计算机目录或连接时指定作用域。
创建和管理管理员
当您以本地管理员身份创建站点时,您的用户帐户会自动成为完全管理员,对所有对象拥有完全权限。站点创建后,本地管理员没有特殊权限。
“完全管理员”角色始终具有“所有”作用域;您无法更改此设置。
默认情况下,管理员处于启用状态。如果您现在正在创建管理员,但该人员稍后才会开始执行管理职责,则可能需要禁用管理员。对于现有已启用的管理员,您可能希望在重新组织对象/范围时禁用其中一些,然后在准备好使用更新的配置上线时重新启用它们。如果禁用“完全管理员”会导致没有已启用的“完全管理员”,则无法禁用该“完全管理员”。在创建、复制或编辑管理员时,可以使用启用/禁用复选框。
在复制、编辑或删除管理员时删除角色/范围对,只会删除该管理员的角色与范围之间的关系。它不会删除角色或范围。它也不会影响配置了该角色/范围对的任何其他管理员。
要创建和管理管理员,请执行以下步骤:
-
登录 Web Studio,在左侧窗格中单击“管理员”,然后单击“管理员”选项卡。
-
按照要完成的任务的说明进行操作:
- 创建管理员: 在操作栏中单击“创建管理员”。键入或浏览到用户帐户名,选择或创建范围,然后选择角色。新管理员默认启用;您可以更改此设置。
- 复制管理员: 选择管理员,然后在操作栏中单击“复制管理员”。键入或浏览到用户帐户名。您可以选择并编辑或删除任何角色/范围对,并添加新的角色/范围对。新管理员默认启用;您可以更改此设置。
- 编辑管理员: 选择管理员,然后在操作栏中单击“编辑管理员”。您可以编辑或删除任何角色/范围对,并添加新的角色/范围对。
- 删除管理员: 选择管理员,然后在操作栏中单击“删除管理员”。如果删除完全管理员会导致没有启用的完全管理员,则无法删除该完全管理员。
上部窗格显示您创建的管理员。选择一个管理员可在下部窗格中查看其详细信息。“警告”列指示与管理员关联的角色和范围对是否包含不可用的角色或范围。如果关联的角色和范围对包含不可用的角色或范围,则会显示以下警告消息:
- 关联的角色或范围不可用
重要:
仅当关联的角色和范围对包含不可用的角色、不可用的范围或两者都包含时,才会显示警告消息。
要从管理员中删除角色和范围对,请完成以下步骤之一:
- 删除角色和范围对。
- 在操作栏中,单击“编辑管理员”。
- 在“管理员名称和详细信息”窗口中,选择角色和范围对,然后单击“删除”。
- 单击“保存”以退出。
- 删除管理员。
- 在操作栏中,单击“删除管理员”。
- 在确认窗口中,单击“删除”。
创建和管理角色
管理员创建或编辑角色时,只能启用其自身拥有的权限。这可以防止管理员创建具有比其当前权限更多权限的角色,然后将其分配给自己(或编辑已分配给他们的角色)。
角色名称最多可包含 64 个 Unicode 字符;它们不能包含:反斜杠、正斜杠、分号、冒号、井号、逗号、星号、问号、等号、左箭头或右箭头、竖线、左方括号或右方括号、左括号或右括号、引号或撇号。描述最多可包含 256 个 Unicode 字符。
您无法编辑或删除内置角色。如果任何管理员正在使用自定义角色,则无法删除该自定义角色。
注意:
只有某些产品版本支持自定义角色。只有支持自定义角色的版本才会在操作栏中显示相关条目。
要创建和管理角色,请执行以下步骤:
-
登录 Web Studio,在左侧窗格中单击“管理员”,然后单击“角色”选项卡。
-
按照要完成的任务的说明进行操作:
- 查看角色详细信息: 选择角色。下部窗格列出了角色的对象类型和关联权限。单击下部窗格中的“管理员”选项卡可查看当前拥有此角色的管理员列表。
- 创建自定义角色: 在操作窗格中单击“创建角色”。输入名称和描述。选择对象类型和权限。
- 复制角色: 选择角色,然后在操作栏中单击“复制角色”。根据需要更改名称、描述、对象类型和权限。
- 编辑自定义角色: 选择角色,然后在操作栏中单击“编辑角色”。根据需要更改名称、描述、对象类型和权限。
- 删除自定义角色: 选择角色,然后在操作栏中单击“删除角色”。出现提示时,确认删除。
创建和管理范围
创建站点时,唯一可用的范围是“所有”范围,该范围无法删除。
您可以使用以下过程创建作用域。您也可以在创建管理员时创建作用域;每个管理员必须至少与一个角色和作用域对关联。创建或编辑桌面、计算机目录、应用程序或主机时,可以将其添加到现有作用域。如果不将其添加到作用域,它们将保留在“所有”作用域中。
站点创建不能限定作用域,也不能是委派管理对象(作用域和角色)。但是,无法限定作用域的对象包含在“所有”作用域中。(完全管理员始终拥有“所有”作用域。)计算机、电源操作、桌面和会话不直接限定作用域。管理员可以通过关联的计算机目录或交付组获得对这些对象的权限。
创建和管理作用域的规则:
-
作用域名最多可包含 64 个 Unicode 字符。作用域名不能包含:反斜杠、正斜杠、分号、冒号、井号、逗号、星号、问号、等号、左箭头、右箭头、管道符、左方括号或右方括号、左括号或右括号、引号或撇号。
-
作用域描述最多可包含 256 个 Unicode 字符。
-
复制或编辑作用域时,请记住,从作用域中删除对象可能会导致管理员无法访问这些对象。如果编辑的作用域与一个或多个角色配对,请确保作用域更新不会导致任何角色/作用域对无法使用。
要创建和管理作用域,请执行以下步骤:
-
登录 Web Studio,在左侧窗格中单击管理员,然后单击作用域选项卡。
-
按照您要完成的任务的说明进行操作:
- 创建作用域: 在操作栏中单击创建新作用域。输入名称和描述。要包含特定类型的所有对象(例如,交付组),请选择对象类型。要包含特定对象,请展开类型,然后选择单个对象(例如,销售团队使用的交付组)。
- 复制作用域: 选择作用域,然后在操作栏中单击复制作用域。输入名称和描述。根据需要更改对象类型和对象。
- 编辑作用域: 选择作用域,然后在操作栏中单击编辑作用域。根据需要更改名称、描述、对象类型和对象。
- 删除作用域: 选择作用域,然后在操作栏中单击删除作用域。出现提示时,确认删除。
设置租户管理
设置租户管理可在单个 Citrix Virtual Apps™ and Desktops 站点中创建管理分区。每个租户都有独立的资源和配置,例如计算机目录和交付组。具有特定租户访问权限的管理员只能管理与该租户关联的资源和配置。示例用例包括在单个站点中具有不同业务孤岛(独立部门或单独的 IT 管理团队)的公司。
从宏观角度来看,设置租户管理的工作流包括:
创建租户
通过创建租户作用域来创建租户。详细步骤如下:
- 登录 Web Studio,在左侧窗格中单击管理员,然后单击作用域选项卡。
- 单击创建作用域以开始创建租户。
- 为租户作用域输入以下详细信息:
- 为作用域键入描述性名称。此名称也用作租户的标识符。
- (可选)输入简要描述。
- 选择租户作用域。
- 如有必要,请选择与租户关联的对象。您也可以在创建或管理对象时将对象添加到租户作用域。
- 单击确定以完成创建。
完成后,您可以看到:
- 新的租户作用域记录显示在“作用域”列表中,在类型列中标识为租户。
- 作用域名显示在 Web Studio 右上角的所有租户下拉列表中。
使用租户作用域时,请记住以下注意事项:
- 租户属性遵循分层分配顺序:托管 > 计算机目录 > 交付组 > 应用程序。较低级别的对象从较高级别的对象继承租户属性。例如,为租户作用域选择交付组时,请确保您也选择关联的托管和计算机目录。否则,交付组无法继承租户的属性。
- 创建租户作用域后,可以通过修改对象来编辑租户分配。更改租户分配时,它仍然受限于必须分配给相同租户或这些租户的子集。但是,当租户分配更改时,较低级别的对象不会重新评估。更改租户分配时,请确保对象受到适当的限制。例如,如果计算机目录可用于
TenantA和TenantB,则可以为TenantA创建一个交付组,为TenantB创建一个交付组。(TenantA和TenantB都与该计算机目录关联。)然后,您可以将计算机目录更改为仅与TenantA关联。结果,与TenantB关联的交付组将变为无效。
为租户添加管理员
通过为用户帐户分配管理员角色和租户来添加租户管理员。
要添加租户管理员,请执行以下步骤:
- 登录到 Web Studio,在左侧窗格中单击 管理员,然后单击 管理员 选项卡。
- 单击 添加管理员,并按照以下步骤完成操作:
- 键入或浏览到用户帐户名称,然后单击 下一步。
- 选择 自定义访问,然后根据需要选择一个或多个角色(例如,计算机目录管理员)。
- 单击每个角色旁边的 编辑范围,将范围从 所有 更改为所需的租户范围,然后单击 保存。
- 单击 下一步。
- 在 查看和确认 页面上,单击 发送邀请。
创建报告
您可以创建两种类型的委派管理报告:
-
一份 HTML 报告,列出与管理员关联的角色/范围对,以及每种对象类型(例如,交付组和计算机目录)的单独权限。您可以从 Web Studio 生成此报告。
要创建此报告,请执行以下步骤:
- 登录到 Web Studio,在左侧窗格中单击 管理员
- 选择一个管理员,然后在操作栏中单击 创建报告。
您也可以在创建、复制或编辑管理员时请求此报告。
-
一份 HTML 或 CSV 报告,将所有内置和自定义角色映射到权限。您可以通过运行名为
OutputPermissionMapping.ps1的 PowerShell 脚本来生成此报告。要运行此脚本,您必须是完全管理员、只读管理员或具有读取角色权限的自定义管理员。该脚本位于:
Program Files\Citrix\DelegatedAdmin\SnapIn\Citrix.DelegatedAdmin.Admin.V1\Scripts。语法:
OutputPermissionMapping.ps1 [-Help] [-Csv] [-Path string] [-AdminAddress string] [-Show] [CommonParameters]参数 描述 -Help显示脚本帮助。 -Csv指定 CSV 输出。默认 = HTML -Path string输出写入位置。默认 = stdout -AdminAddress string要连接的 Delivery Controller™ 的 IP 地址或主机名。默认 = localhost -Show(仅当同时指定了 -Path参数时有效)当您将输出写入文件时,-Show会导致输出在适当的程序(例如 Web 浏览器)中打开。CommonParametersVerbose、Debug、ErrorAction、ErrorVariable、WarningAction、WarningVariable、OutBuffer和OutVariable。有关详细信息,请参阅 Microsoft 文档。
以下示例将 HTML 表写入名为 Roles.html 的文件并在 Web 浏览器中打开该表。
& "$env:ProgramFiles\Citrix\DelegatedAdmin\SnapIn\
Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1"
-Path Roles.html –Show
<!--NeedCopy-->
以下示例将 CSV 表写入名为 Roles.csv 的文件。该表不显示。
& "$env:ProgramFiles\Citrix\DelegatedAdmin\SnapIn\
Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1"
–CSV -Path Roles.csv
<!--NeedCopy-->
在 Windows 命令提示符下,前面的示例命令为:
powershell -command "& '%ProgramFiles%\Citrix\DelegatedAdmin\SnapIn\
Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1'
-CSV -Path Roles.csv"
<!--NeedCopy-->
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.