Product Documentation

为 XenDesktop 7 之前版本的 VDA 配置权限

May 22, 2017

如果用户在其设备上安装了 XenDesktop 7 之前的 VDA 版本,Director 会通过 Windows 远程管理 (WinRM) 从部署中补充有关实时状态和指标的信息。

此外,使用此过程配置 WinRM,使其能与 XenDesktop 5.6 Feature Pack1 中的 Remote PC 兼容使用。

默认情况下,只有桌面计算机的本地管理员(通常为域管理员及其他特权用户)才具有查看实时数据所需的权限。

有关安装并配置 WinRM 的信息,请参阅 CTX125243

要使其他用户能够查看实时数据,必须向其授予相应权限。例如,假定有多个 Director 用户(HelpDeskUserA、HelpDeskUserB 等等)同属于名为 HelpDeskUsers 的 Active Directory 安全组。已在 Studio 中为该组指定了技术支持管理员角色,从而为这些用户提供了必需的 Delivery Controller 权限。但该组还需要具有从桌面计算机访问实时数据所需的权限。

要提供所需的访问权限,可以通过以下两种方式之一配置必需的权限:
  • 向 Director 用户授予权限(模拟模式)
  • 向 Director 服务授予权限(可信子系统模式)

向 Director 用户授予权限(模拟模式)

默认情况下,Director 使用模拟模式:WinRM 与桌面计算机之间通过 Director 用户身份进行连接。因此,Desktop Director 用户必须在该台式机上具有相应的权限。

可以通过以下两种方式(本文档稍后会介绍)之一配置这些权限:

  1. 将用户添加到桌面计算机的本地管理员组中。
  2. 向用户授予 Director 所需的特定权限。此选项避免了授予 Director 用户(例如,HelpDeskUsers 组)计算机上的完全管理权限。

向 Director 服务授予权限(可信子系统模式)

可以对 Director 进行配置,使 WinRM 连接使用服务标识,并仅向该服务标识授予相应的权限,而无需向 Director 用户授予对桌面计算机的相应权限。

在此模式下,Director 用户本身将无权执行 WinRM 调用。他们可以使用 Director 访问数据。

IIS 中的 Director 应用程序池配置为以服务标识方式运行。默认情况下,这是 APPPOOL\DesktopDirector 虚拟帐户。执行远程连接时,此帐户将显示为服务器的 Active Directory 计算机帐户,例如 MyDomain\DirectorServer$。必须将此帐户配置为具有相应权限。

如果部署了多个 Director Web 站点,则必须将每个 Web 服务器的计算机帐户都置于配置了相应权限的 Active Directory 安全组中。

要将 Director 设置为使用 WinRM 的服务标识而非用户身份,请按高级配置中所述配置以下设置:

Service.Connector.WinRM.Identity = Service

可以通过以下两种方式之一配置这些权限:

  1. 将服务帐户添加到桌面计算机上的本地管理员组中。
  2. 向服务帐户授予 Director 所需的特定权限(如下文介绍)。此选项可避免向服务帐户授予计算机的完全管理权限。

向特定用户或用户组分配权限

要使 Director 能够通过 WinRM 从桌面计算机访问所需的信息,需要具有以下权限:

  • WinRM RootSDDL 中的读取和执行权限
  • WMI 命名空间权限:
    • root/cimv2 - 远程访问权限
    • root/citrix - 远程访问权限
    • root/RSOP - 远程访问权限和执行权限
  • 这些本地组的成员关系:
    • 性能监视用户
    • 事件日志读者

用于自动授予上述权限的 ConfigRemoteMgmt.exe 工具分别位于 x86\Virtual Desktop Agent 文件夹和 x64\Virtual Desktop Agent 文件夹中的安装介质上以及 tools 文件夹中的安装介质上。必须向所有 Director 用户授予上述权限。

要向 Active Directory 安全组、用户和计算机帐户授予这些权限,或授予执行结束应用程序和结束进程操作的权限,使用管理权限从命令提示窗口运行此工具,并在运行时采用以下参数:

ConfigRemoteMgmt.exe /configwinrmuser domain\name

其中 name 为安全组、用户或计算机帐户。

要向某个用户安全组授予所需的权限,请运行:

ConfigRemoteMgmt.exe /configwinrmuser domain\HelpDeskUsers

要向特定计算机帐户授予权限,请运行:

ConfigRemoteMgmt.exe /configwinrmuser domain\DirectorServer$

对于结束进程、结束应用程序和重影操作:

ConfigRemoteMgmt.exe /configwinrmuser domain\name /all

要向某个用户组授予权限,请运行:

ConfigRemoteMgmt.exe /configwinrmuser domain\HelpDeskUsers /all

要显示工具的帮助,请运行:

ConfigRemoteMgmt.exe