Product Documentation

委派管理

Mar 17, 2016
“委派管理”模型可以使用角色和基于对象的控制机制灵活地与组织所需的管理活动委派方式相匹配。 委派管理可以适应所有规模的部署,并且随着部署复杂性的增加,可以帮助您更细化地配置权限。 委派管理基于三个概念:管理员、角色和作用域。
  • 管理员 — 管理员是指由 Active Directory 帐户所标识的一个或一组人。 每个管理员均与一个或多个角色和作用域对相关联。
  • 角色 — 角色代表一项工作职能,并且具有定义的关联权限。 例如,“交付组管理员”角色具有“创建交付组”和“从交付组中删除桌面”等权限。管理员在一个站点中可以具有多个角色,因此一个人既可以是交付组管理员,又可以是计算机目录管理员。 角色可以内置或自定义。
    内置角色包括:
    角色 权限
    完全权限管理员 可以执行全部任务和操作。 完全权限管理员始终与“全部”作用域结合。
    只读权限管理员 可以查看指定作用域内的所有对象以及全局信息,但无法更改任何内容。 例如,作用域为“伦敦”的只读权限管理员可以查看所有全局对象(例如配置日志记录)和所有伦敦作用域内的对象(例如,伦敦交付组)。 但是,该管理员无法查看“纽约”作用域(假设“纽约”作用域和“伦敦”作用域无重叠)中的对象。
    技术支持管理员 可以查看交付组,并可以管理与这些组关联的会话和计算机。 可以查看所监控的交付组的计算机目录和主机信息,还可以对这些交付组中的计算机执行会话管理和计算机电源管理操作。
    计算机目录管理员 可以创建并管理计算机目录,并将计算机置备到这些目录中。 可以从虚拟化基础结构、Provisioning Services 和物理机构建计算机目录。 此角色可以管理基础映像并安装软件,但不可以向用户分配应用程序或桌面。
    交付组管理员 可以交付应用程序、桌面和计算机;还可以管理关联的会话, 以及应用程序和桌面配置,如策略和电源管理设置。
    主机管理员 可以管理主机连接及其关联的资源设置。 可以向用户交付计算机、应用程序或桌面。

    在某些产品版本中,您可以根据组织的要求创建自定义角色,并可以更细致地委派权限。 您可以使用自定义角色按照控制台中操作或任务的粒度来分配权限。

  • 作用域 — 一个作用域代表一个对象集合。 作用域用来根据组织的具体情况将对象分组(例如,销售团队使用的交付组集合)。 对象可以属于多个作用域;可以将对象视为带有多个作用域的标记。 系统提供一个内置的作用域“全部”,其包含全部对象。 “完全权限管理员”角色始终与“全部”作用域配对。

示例

XYZ 公司决定根据部门(会计、销售和仓库)管理应用程序和桌面以及桌面操作系统(Windows 7 或 Windows 8)。 管理员创建了五个作用域,并分别为每个交付组标记了两个作用域:一个用于所用的部门,另一个用于所用的操作系统。

创建了以下管理员:
管理员 角色 作用域

domain/fred

完全权限管理员

全部(完全权限管理员角色始终拥有全部作用域)

domain/rob

只读权限管理员

全部

domain/heidi

只读权限管理员

技术支持管理员

全部

销售

domain/warehouseadmin

技术支持管理员

仓库

domain/peter

交付组管理员

计算机目录管理员

Win7

  • Fred 是完全权限管理员,可以查看、编辑和删除系统中的所有对象。
  • Rob 可以查看站点中的所有对象,但无法编辑或删除对象。
  • Heidi 可以查看所有对象并可以对销售作用域中的交付组执行技术支持任务。 因此她可以管理与这些组关联的会话和计算机,但无法对交付组执行更改,如添加或删除计算机。
  • WarehouseAdmins Active Directory 安全组成员中的任何人都可以查看“仓库”作用域中的计算机,并对这些计算机执行技术支持任务。
  • Peter 是 Windows 7 专员,可以管理所有 Windows 7 计算机目录,还可以交付 Windows 7 应用程序、桌面和计算机,无论它们属于哪个部门作用域。 管理员曾考虑让 Peter 成为 Win7 作用域的完全权限管理员;但是,她决定不这样做,因为完全权限管理员对不属于作用域范围的所有对象(例如“站点”和“管理员”)也具有完全权限。

如何使用委派管理

一般而言,管理员的数量及其权限的粒度取决于部署的规模和复杂性。
  • 对于小规模部署或概念验证部署,一个或几个管理员便足以完成一切工作,无需委派。 在这种情况下,将每个管理员均创建为具有内置“完全权限管理员”角色,该角色拥有“全部”作用域。
  • 在包含更多计算机、应用程序和桌面的较大规模部署中,需要更多委派。 多个管理员的职责(角色)划分可能更为明确。 例如,设置两个完全权限管理员,其他则是技术支持管理员。 另外,管理员可能只管理特定的对象组(作用域),如计算机目录。 在这种情况下,创建新的作用域,并创建具有内置角色之一及适当作用域的管理员。
  • 更大规模的部署可能需要更多(或更明确)的作用域,以及具有非常规角色的不同管理员。 在这种情况下,编辑或创建更多作用域,创建自定义角色,并根据内置或自定义角色创建每个管理员以及现有和新的作用域。

为实现配置灵活性和方便性,可以在创建管理员时创建新的作用域。 另外,还可以在创建或编辑计算机目录或连接时指定作用域。

创建和管理管理员

以本地管理员身份创建站点时,您的用户帐户将自动成为对所有对象具有完全权限的“完全权限管理员”。 站点创建完成之后,本地管理员不具有任何特殊权限。

完全权限管理员角色始终具有“全部”范围,此范围无法更改。

默认情况下启用管理员。 如果现在要创建新管理员,但此人要在之后某个时间才开始履行管理员职责,则禁用管理员可能很有必要。 对于已启用的现有管理员,重新组织对象/范围时,您可能需要禁用多个管理员,当准备启用更新配置时,再将其重新启用。 如果禁用管理员会导致没有启用的完全权限管理员,将不能禁用此管理员。 在创建、复制或编辑管理员时,启用/禁用复选框将处于可用状态。

在复制、编辑或删除管理员时,如果删除角色/作用域对,此操作将仅删除此管理员的角色与作用域之间的关系,而不会删除角色或作用域本身,也不会影响配置了此角色/作用域对的其他任何管理员。

要管理管理员,请在 Studio 导航窗格中单击配置 > 管理员,然后单击中上方窗格中的管理员选项卡。
  • 要创建管理员,请在“操作”窗格中单击 Create new Administrator(创建新管理员)。 键入或浏览到用户帐户名称,选择或创建一个作用域并选择一个角色。 默认情况下,新管理员处于启用状态;可以对此进行更改。
  • 要复制管理员,请在中间窗格中选择管理员,然后在“操作”窗格中单击复制管理员。 键入或浏览到用户帐户名称。 可以选择任何角色/作用域对,然后进行编辑或删除,也可以添加新的角色/作用域对。 默认情况下,新管理员处于启用状态;可以对此进行更改。
  • 要编辑管理员,请在中间窗格中选择管理员,然后在“操作”窗格中单击编辑管理员。 可以编辑或删除任何角色/作用域对,也可以添加新的角色/作用域对。
  • 要删除管理员,请在中间窗格中选择管理员,然后在“操作”窗格中单击删除管理员。 如果删除管理员会导致没有启用的完全权限管理员,将不能删除此管理员。

创建和管理角色

角色名称最多可以包含 64 个 Unicode 字符,并且不能包含以下字符:\(反斜线)、/(正斜线)、;(分号)、:(冒号)、#(英镑符号)、,(逗号)、*(星号)、? (问号)、=(等号)、<(左箭头)、>(右箭头)、|(竖线)、[ ](左右方括号)、( )(左右圆括号)、"(引号)和 '(单引号)。 说明最多可以包含 256 个 Unicode 字符。

无法编辑或删除内置角色。 无法删除任意管理员正在使用的自定义角色。

注意:只有特定产品版本支持自定义角色。 不支持自定义角色的版本在“操作”窗格中没有相关项。
要管理角色,请在 Studio 导航窗格中单击配置 > 管理员,然后单击中上方窗格中的角色选项卡。
  • 要查看角色详细信息,请在中间窗格中选择角色。 中间窗格下方列出了对象类型和角色的相关权限。 在下方窗格中单击管理员选项卡,以显示当前具有此角色的管理员列表。
  • 要创建自定义角色,请在“操作”窗格中单击创建新角色。 输入名称和说明。 选择对象类型和权限。
  • 要复制角色,请在中间窗格中选择角色,然后在“操作”窗格中单击复制角色。 根据需要更改名称、说明、对象类型和权限。
  • 要编辑自定义角色,请在中间窗格中选择角色,然后在“操作”窗格中单击编辑角色。 根据需要更改名称、说明、对象类型和权限。
  • 要删除自定义角色,请在中间窗格中选择角色,然后在“操作”窗格中单击删除角色。 出现提示时,确认删除。

创建和管理作用域

创建站点时,唯一可用的作用域是不能删除的“全部”作用域。

可以使用以下过程创建作用域。 也可以在创建管理员时创建作用域;每个管理员必须至少与一个角色和作用域对相关联。 创建或编辑桌面、计算机目录、应用程序或主机时,可将其添加到现有作用域;如果未将其添加到作用域,则它们仍是“全部”作用域的一部分。

站点创建和委派管理员对象(作用域和角色)均无法归入作用域内。 但是,无法归入作用域内的对象可包含在“全部”作用域内。 (具有完全权限的管理员始终具有“全部”作用域。)计算机、电源操作、桌面和会话不会直接归入作用域;管理员可通过相关的计算机目录或交付组分配对这些对象的权限。

作用域名称最多可以包含 64 个 Unicode 字符,并且不能包含以下字符:\(反斜线)、/(正斜线)、;(分号)、:(冒号)、#(英镑符号)、,(逗号)、*(星号)、? (问号)、=(等号)、<(左箭头)、>(右箭头)、|(竖线)、[ ](左右方括号)、( )(左右圆括号)、"(引号)和 '(单引号)。 说明最多可以包含 256 个 Unicode 字符。

在复制或编辑作用域时,请记住,从作用域中删除对象会导致管理员无法访问这些对象。 如果编辑的作用域与一个或多个角色配对,请确保对作用域所做的更新不会使任何角色/作用域对无法使用。

要管理作用域,请在 Studio 导航窗格中单击配置 > 管理员,然后单击中上方窗格中的作用域选项卡。
  • 要创建作用域,请在“操作”窗格中单击创建新作用域。 输入名称和说明。 要包括特定类型的所有对象(如交付组),请选择对象类型。 要包括特定对象,请展开类型,然后选择各个对象(例如,销售团队使用的各个交付组)。
  • 要复制作用域,请在中间窗格中选择作用域,然后在“操作”窗格中单击复制作用域。 输入名称和说明。 根据需要更改对象类型和对象。
  • 要编辑作用域,请在中间窗格中选择作用域,然后在“操作”窗格中单击编辑作用域。 根据需要更改名称、说明、对象类型和对象。
  • 要删除作用域,请在中间窗格中选择作用域,然后在“操作”窗格中单击删除作用域。 出现提示时,确认删除。

创建报告

可以创建两种类型的委派管理报告:
  • HTML 报告,此报告将列出与管理员关联的角色/作用域对以及每种对象类型(例如,交付组和计算机目录)的各个权限。 通过 Studio 生成此报告。

    要创建此报告,请在导航窗格中单击配置 > 管理员。 在中间窗格中选择管理员,然后在“操作”窗格中单击创建报告

    您还可以在创建、复制或编辑管理员时请求此报告。

  • 将所有内置和自定义角色映射到权限的 HTML 或 CSV 报告。 通过运行名为 OutputPermissionMapping.ps1 的 PowerShell 脚本生成此报告。

    要运行此脚本,您必须是完全权限管理员、只读权限管理员或具有读取角色权限的自定义管理员。 此脚本位于:Program Files\Citrix\DelegatedAdmin\SnapIn\Citrix.DelegatedAdmin.Admin.V1\Scripts\。

    语法:

    OutputPermissionMapping.ps1 [-Help] [-Csv] [-Path <string>] [-AdminAddress <string>] [-Show] [<通用参数>]

    参数 说明
    -Help 显示脚本帮助。
    -Csv 指定 CSV 输出。 默认值:HTML
    -Path <字符串> 输出的写入位置。 默认值:stdout
    -AdminAddress <字符串> 要连接的 Delivery Controller 的 IP 地址或主机名。 默认名称为 localhost
    -Show (仅当指定了 -Path 参数时此参数才有效)将输出写入到文件时,-Show 会在相应的程序中打开此输出,例如 Web 浏览器。
    <通用参数> Verbose、Debug、ErrorAction、ErrorVariable、WarningAction、WarningVariable、OutBuffer 和 OutVariable。 有关详细信息,请参阅 Microsoft 文档。
以下示例将 HTML 表写入到名为 Roles.html 的文件,并在 Web 浏览器中打开此表。
& "$env:ProgramFiles\Citrix\DelegatedAdmin\SnapIn\ Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1"  -Path Roles.html –Show
以下示例将 CSV 表写入到名为 Roles.csv 的文件。 未显示此表。
& "$env:ProgramFiles\Citrix\DelegatedAdmin\SnapIn\ Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1"  –CSV -Path Roles.csv
在 Windows 命令提示窗口中,上例命令为:
powershell -command "& '%ProgramFiles%\Citrix\DelegatedAdmin\SnapIn\ Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1'  -CSV -Path Roles.csv"