Citrix Provisioning

管理角色

分配给某组用户的管理角色控制是否能够在 Citrix Provisioning 服务器实现中查看和管理对象。Citrix Provisioning 使用网络中的现有组(Windows 组或 Active Directory 组)。一个组中的所有成员都具有场内的相同管理权限。如果一个管理员属于多个组,则可以具有多种角色。

可将以下管理角色分配给组:

  • 场管理员
  • 场只读管理员
  • 站点管理员
  • 站点只读管理员
  • 设备管理员
  • 设备只读管理员
  • 设备操作员

使用 Citrix Provisioning 控制台为组分配管理角色后,需要满足某些要求。如果该组的成员尝试连接到其他场,则会显示一个对话框,请求您在该场中标识 Provisioning 服务器。使用当前登录时所用的 Windows 凭据(默认设置),或者输入 Active Directory 凭据。Citrix Provisioning 不支持同时使用域和工作组。

与组关联的角色决定了您在此场中的管理权限。组角色分配可能因场的不同而异。

管理场管理员

场管理员查看和管理场中的所有对象,还创建站点以及管理整个场的角色成员身份。在 Citrix Provisioning 控制台中,管理员执行场级别的任务。

场体系结构示意图

首次使用配置向导配置场时,系统将为创建该场的管理员自动分配场管理员角色。配置场时,该管理员可以通过相应选项,选择使用 Windows 凭据或 Active Directory 凭据进行场内的用户授权。管理员运行配置向导后,可以在控制台中为更多组分配场管理员角色。

分配更多场管理员

  1. 在控制台中,右键单击要向其分配管理员角色的场,然后选择属性。此时将显示场属性对话框。
  2. 选项卡上,突出显示此场中分配有管理角色的所有组,然后单击添加
  3. 安全选项卡上,选择要向其提供只读访问权限的组。未选中的组将具有读写访问权限。单击添加
  4. 单击确定关闭对话框。

注意:

显示的授权方法指示在场中进行用户授权时使用 Windows 凭据还是 Active Directory 凭据。 管理角色的组仅限于本机域中的组和对本机域具有双向信任的域。

管理站点管理员

站点管理员对站点内的所有对象具有完全管理权限。例如,站点管理员管理 Provisioning 服务器、站点属性、目标设备、设备集合、虚拟磁盘分配池。

站点和集合示意图

如果场管理员分配一个站点作为特定存储的所有者,则站点管理员也可以管理该存储。管理存储包括在共享存储中添加和删除虚拟磁盘或者将 Provisioning 服务器分配给存储。站点管理员还可以管理设备管理员和设备操作员的成员身份。

将站点管理员角色分配给一个或多个组及其成员

  1. 在控制台中,右键单击要向其分配管理员角色的站点,然后选择属性。此时将显示站点属性对话框。
  2. 单击安全性选项卡,然后单击添加按钮。此时将显示添加安全组对话框。
  3. 从菜单中选择要为其提供只读访问权限的组。未选中的组将具有读写访问权限。
  4. (可选)重复步骤 2 和 3,以继续分配更多站点管理员。
  5. 单击确定关闭对话框。

管理设备管理员

设备管理员负责管理自己拥有权限的设备集合。管理任务包括分配虚拟磁盘和从设备中删除虚拟磁盘、编辑设备属性以及查看只读虚拟磁盘属性。设备集合由设备的逻辑分组组成。例如,设备集合可能表示物理位置、子网范围或目标设备的逻辑分组。一个目标设备只能属于一个设备集合。

将设备管理员角色分配给一个或多个组及其成员

  1. 在控制台中,展开设备集合所在的站点,然后展开设备集合文件夹。
  2. 在要添加设备管理员的设备集合上单击鼠标右键,然后选择属性。此时将显示设备集合属性对话框。
  3. 安全性选项卡上的 Groups with Device Administrator access(具有设备管理员访问权限的组)列表下,单击添加。此时将显示添加安全组对话框。
  4. 从菜单中选择要为其提供只读访问权限的组。未选中的组将具有读写访问权限。
  5. 单击确定关闭对话框。

管理设备操作员

设备操作员具有管理员权限,可在其拥有权限的设备集合中执行以下任务:

  • 引导和重新启动目标设备
  • 关闭目标设备

将设备操作员角色分配给一个或多个组

  1. 在控制台中,展开设备集合所在的站点,然后展开设备集合文件夹。
  2. 在要添加设备操作员的设备集合上单击鼠标右键,然后选择属性。此时将显示设备集合属性对话框。
  3. 安全性选项卡上的 Groups with Device Operator access(具有设备操作员访问权限的组)列表下,单击添加。此时将显示添加安全组对话框。
  4. 要为组分配设备操作员角色,请选择需要设备操作员权限的每个系统组,然后单击确定
  5. 单击确定关闭对话框。

修改 AD 环境的搜索方法

对于某些包含复杂嵌套组的配置以及具有大量信任关联的域的 AD 环境,默认搜索方法可能找不到用户预期的管理成员身份。为解决此类情形,请使用注册表设置更改搜索方法:

  1. 在注册表设置中,找到 HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\ProvisioningServices
  2. 创建一个名为“DomainSelectOption”的 DWORD。
  3. DomainSelectOption DWORD 中,为所需的搜索方法设置以下值之一(十进制格式):
  • 0 – 默认搜索。此方法首先搜索用户的域,然后搜索管理组域。
  • 1 – 首先在用户的域和管理组域中进行搜索,然后搜索用户的域中的其他可信域。
  • 2 – 已过时。
  • 3 – 首先在用户的域中搜索,然后在管理组域中搜索。发现的组将越过父组的域进一步被枚举。
  • 4 – 首先在用户的域和管理组域中进行搜索,然后搜索用户的域中的其他可信域。发现的组将越过父组的域进一步被枚举。
  • 5 - 从用户域和管理组域中的令牌组中搜索用户的组成员身份。
  • 6 - 首先从用户域和管理组域中的令牌组中搜索用户的组成员身份,然后再从用户域中的其他受信任域中进行搜索。
  • 7 - 直接从授权组搜索用户的组成员身份。
  • 8 - 直接作为“成员”组搜索用户的组成员身份。

关于白名单方法

本部分中的信息仅用于诊断目的。有时,为用户组指定要搜索的特定域可能会有所帮助。要执行此任务,请更新注册表并为白名单域提供 JSON 文件。请仅使用默认搜索选项。如果您提供的是黑名单域,该域将从白名单域中排除。结束列表为空时不会执行任何搜索。

在注册表中:

  1. 查找 HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\ProvisioningServices
  2. 创建 DWORD 条目 WhitelistOnly。将值设置为 1 以启用白名单搜索。
管理角色