用户帐户、角色和注册

的端点管理控制台中执行用户配置任务管理选项卡,设置页面。除非另有说明，否则本文将提供以下任务的步骤。

• 注册安全模式和邀请
  • 从设置>招生，最多配置七种注册安全模式并发送注册邀请。每个注册安全模式都有自己的安全级别和用户注册其设备必须采取的步骤数。
• 用户帐户和组的角色
  • 从设置>基于角色的访问控制，为用户和组分配预定义的角色或权限集。这些权限控制用户对系统功能的访问级别。有关更多信息，请参见通过RBAC配置角色．
  • 从设置>通知模板，以创建或更新通知模板，以便在自动操作、注册和发送给用户的标准通知消息中使用。您将通知模板配置为通过三个不同的通道发送消息:安全集线器、SMTP或SMS。有关更多信息，请参见:创建和更新通知模板．
• 用户帐号和组:

  • 从管理>用户，您可以手动添加本地用户帐户，或使用.csv配置文件导入帐户并管理本地组。但是，大多数端点管理部署连接到LDAP以获取用户和组信息。您可能更喜欢在以下用例中本地创建用户帐户：

    • 在零售等环境中，设备是共享的，而不是专用于个人用户。
    • 如果您使用了不支持的目录，例如Novell eDirectory。

  • 从设置>工作流，使用工作流来管理用户帐户的创建和删除。

关于用户帐户

端点管理用户帐户可以是本地用户、Active Directory用户或云用户。

• 云用户:云用户是在将管理员添加到您的Citrix cloud客户帐户时创建的特殊用户帐户。云用户使用与Citrix cloud管理员相同的用户名，默认角色为“Admin”。云用户帐户提供单点登录和执行其他管理功能。

  要将管理员添加到Citrix云帐户，请参阅邀请新管理员．

云用户:

• 您可以通过Citrix cloud控制台修改云用户的角色和用户属性。看到管理Citrix云管理员．
• 要更改密码，请参阅管理员．
• 要删除云用户，请在Citrix cloud中，转到身份和访问管理>管理员．单击用户行末尾的省略号，然后选择删除管理员．
• 无法将云用户添加到本地组。

配置注册安全模式

您可以配置设备注册安全模式，以在端点管理中指定用于设备注册的安全级别和通知模板。

端点管理提供了六种注册安全模式，每种模式都有自己的安全级别和用户注册设备时必须采取的步骤。的端点管理控制台中配置注册安全模式管理>注册邀请页面。信息,请参阅入学邀请．

注:

如果您计划使用自定义通知模板，则必须先设置模板，然后再配置注册安全模式。有关通知模板的更多信息，请参见创建或更新通知模板．

1. 在端点管理控制台上，单击控制台右上角的齿轮图标。的设置页面出现。

2. 点击注册．的注册页，其中包含所有可用的注册安全模式的表。缺省情况下，启用所有的注册安全模式。

3. 在列表中选择任何注册安全模式来编辑它。设置为默认模式或禁用该模式。

   选择注册安全模式旁边的复选框以查看选项菜单。或者，单击列表中的任何其他位置以查看列表右侧的选项菜单。

   提示:

   当编辑注册安全模式时，您可以指定一个截止日期，在此日期之后，用户不能注册其设备。信息,请参阅编辑注册安全模式在这篇文章中。该值出现在用户和组注册邀请配置页面中。

   您有以下注册安全模式的选择，取决于您的平台:

   • 用户名+密码
   • 邀请URL
   • 邀请网址+密码
   • 邀请地址+密码
   • 两个因素
   • 用户名+ PIN

   有关特定于平台的注册安全模式的信息，请参见基于平台的注册安全模式．

   您可以使用注册邀请作为一种有效的方法来限制注册特定用户或组的能力。要发送报名邀请，您只能使用邀请URL，邀请网址+密码或邀请地址+密码注册安全模式。用于注册的设备用户名+密码，双因素身份验证或用户名+ PIN时，用户必须在安全集线器中手动输入凭据。

   您可以使用一次性PIN(有时也称为OTP)注册邀请作为双因素身份验证解决方案。一次性PIN注册邀请控制用户可以注册的设备数量。OTP邀请对Windows设备不可用。

编辑注册安全模式

1. 在注册列表，选择注册安全模式，单击编辑．的编辑注册模式页面出现。根据您选择的模式，您可能会看到不同的选项。

2. 如有需要，请更改以下资料:

   • 到期后:键入用户无法注册其设备的过期期限。此值显示在用户和组注册邀请配置页面中。

     类型0以防止邀请过期。

   • 天:在列表中，单击天或小时以对应您输入的截止日期到期后．

   • 最大尝试次数：键入用户在被锁定在注册过程之前可以尝试注册的次数。此值出现在用户和组注册邀请配置页面中。

     类型0允许无限的尝试。

   • 销长度:输入一个数字来设置生成的PIN的长度。

   • 数字:在列表中，单击数字或字母数字为PIN类型。

   • 通知模板：

     • 注册模板URL:在列表中，单击要用于注册URL的模板。例如，注册邀请模板向用户发送电子邮件或短信。该方法取决于您如何配置模板，让他们在端点管理中注册设备。有关通知模板的详细信息，请参阅创建或更新通知模板．
     • 报名密码模板:在列表中，单击要用于注册PIN的模板。
     • 报名确认模板:在列表中，单击要使用的模板来通知用户他们已成功注册。

3. 点击保存．

将注册安全模式设置为默认模式

默认注册安全模式用于所有设备注册请求，除非选择其他注册安全模式。如果未将注册安全模式设置为默认模式，则必须为每个设备注册创建注册请求。

1. 如果您希望使用的默认注册安全模式未启用，请选中该模式并单击使可能. 可以用作默认值的唯一注册安全模式是用户名+密码，两个因素或用户名+ PIN．

2. 2 .选择安全模式，单击默认的．所选模式现在是默认模式。如果将任何其他注册安全模式设置为默认模式，则该模式不再是默认模式。

禁用注册安全模式

禁用安全模式后，该安全模式将无法用于群组邀请和自助门户。您可以通过禁用一种注册安全模式和启用另一种注册安全模式来更改允许用户注册设备的方式。

1. 选择注册安全模式。

   不能禁用默认的注册安全模式。如果要禁用默认的注册安全模式，必须先删除其默认状态。

2. 点击禁用．注册安全模式不再启用。

新增、编辑、解锁、删除本地用户帐号

您可以手动将本地用户帐户添加到端点管理，也可以使用配置文件导入帐户。有关从配置文件导入用户帐户的步骤，请参阅导入用户帐户．

所有Citrix云管理员都被创建为端点管理管理员。如果创建具有自定义访问权限的Citrix云管理员，请确保访问权限包括端点管理。有关添加Citrix云管理员的信息，请参阅添加管理员．

1. 在端点管理控制台中，单击管理>用户．的用户页面出现。

2. 点击显示过滤器过滤列表。

添加本地用户

1. 在用户页面,点击添加本地用户．的添加本地用户页面出现。

2. 配置这些设置:

   • 用户名:输入名称，一个必需的字段。名称中可以包含空格、大写字母和小写字母。
   • 密码:键入可选的用户密码。密码长度必须至少为14个字符，并满足以下所有条件：
     • 至少包括两个数字
     • 包括至少一个大写字母和一个小写字母
     • 至少包含一个特殊字符
     • 不要包含字典单词或限制词汇，比如你的Citrix用户名或电子邮件地址
     • 不要包含三个以上的连续和重复字符或键盘模式，如1111、1234或asdf
   • 角色:在列表中单击用户角色。有关角色的更多信息，请参见通过RBAC配置角色．可能的选项是:
     • 管理
     • DEVICE_PROVISIONING
     • 支持
     • 用户
   • 会员:在列表中，单击要添加用户的组。
   • 用户属性:添加可选的用户属性。对于要添加的每个用户属性，单击添加然后做以下事情:
     • 用户属性:在列表中，单击一个属性，然后在该属性旁边的字段中键入用户属性属性。
     • 点击完成保存用户属性或单击取消．

   若要删除现有的用户属性，请将鼠标悬停在包含该属性的行上，然后单击X在右边。该属性立即被删除。

   若要编辑现有的用户属性，请单击该属性并进行更改。点击完成保存已更改的列表或取消保持清单不变。

3. 点击保存．创建用户后，用户类型本地用户帐户的字段保持为空。

编辑本地用户帐户

1. 在用户页面中，在用户列表中，单击选择用户，然后单击编辑．的编辑本地用户页面出现。

2. 如有需要，请更改以下资料:

   • 用户名:用户名不能修改。
   • 密码:修改或添加用户密码。
   • 角色:在列表中单击用户角色。
   • 会员:在列表中，单击要添加或编辑用户帐户的一个或多个组。若要从组中删除用户帐户，请清除组名旁边的复选框。
   • 用户属性:做以下其中之一:
     • 对于您想要更改的每个用户属性，单击该属性并进行更改。点击完成保存已更改的列表或取消保持清单不变。
     • 对于要添加的每个用户属性，单击添加然后做以下事情:
       • 用户属性:在列表中，单击一个属性，然后在该属性旁边的字段中键入用户属性属性。
       • 点击完成保存用户属性或单击取消．
     • 对于要删除的每个现有用户属性，将鼠标悬停在包含该属性的行上，然后单击X在右边。该属性立即被删除。

3. 点击保存要保存您的更改，请单击取消使用户保持不变。

解锁本地用户

根据以下服务器属性锁定本地用户帐户：

• local.user.account.lockout.time

• local.user.account.lockout.limit

  有关更多信息，请参见服务器属性定义．

当本地用户帐户被锁定时，您可以从Endpoint Management控制台解锁该帐户。

1. 在用户页面中，在用户帐号列表中，单击，选择用户帐号。

2. 点击解锁用户. 此时会出现一个确认对话框。

3. 点击解锁解锁或单击取消使用户保持不变。

无法从端点管理控制台解锁活动目录用户。被锁定的Active Directory用户必须联系他们的Active Directory帮助台进行密码重置。

删除本地用户

1. 在用户页面中，在用户帐号列表中，单击，选择用户帐号。

   通过选择每个用户帐户旁边的复选框，可以选择多个要删除的用户帐户。

2. 点击删除. 此时会出现一个确认对话框。

3. 点击删除删除用户帐号或单击取消．

删除Active Directory用户的步骤

如果需要一次删除一个或多个Active Directory用户，请选中需要删除的用户，单击删除．

如果删除的用户已经注册了设备，需要重新注册设备，请先删除设备，再重新注册。删除设备，执行管理>设备，选择设备，然后单击删除．

导入用户帐户

您可以从名为配置文件的.csv文件导入本地用户帐户和属性，您可以手动创建该文件。有关格式化设置文件的详细信息，请参阅配置文件格式．

注:

• 对于本地用户，请在导入文件中使用域名和用户名。例如，指定username@domain. 如果您创建或导入的本地用户是端点管理中的托管域的用户，则该用户无法使用相应的LDAP凭据进行注册。
• 如果要将用户帐号导入到Endpoint Management内部用户目录，请禁用默认域，以加快导入过程。请记住，禁用域名会影响注册。内部用户导入完成后，请重新启用默认域。
• 本地用户支持UPN (User Principal Name)格式。但是，Citrix建议您不要使用托管域。例如，如果管理的是example.com，则不允许创建UPN格式为user@example.com的本地用户。

准备好配置文件后，按照以下步骤将文件导入到Endpoint Management。

1. 在端点管理控制台中，单击管理>用户．的用户页面出现。

2. 点击导入本地用户．的导入配置文件对话框出现了。

3. 选择用户或财产您正在导入的配置文件的格式。

4. 通过单击选择要使用的配置文件浏览然后导航到文件位置。

5. 点击进口．

配置文件格式

您可以创建一个配置文件，并使用它将用户帐户和属性导入到Endpoint Management。配置文件的格式如下:

• 用户配置文件字段:用户、密码、角色;group1 group2
• 用户属性配置文件字段:用户;propertyName1 propertyValue1; propertyName2 propertyValue2

注:

• 使用分号(;)分隔配置文件中的字段。如果字段的一部分包含分号，则使用反斜杠()进行转义。例如，键入属性propertyV;测试;1;2作为不动产；测试\；1\;2.在配置文件中。
• 的有效值角色是预定义的角色USER、ADMIN、SUPPORT和DEVICE_PROVISIONING，以及您定义的任何其他角色。
• 使用句点字符(.)作为分隔符来创建组层次结构。不要在组名中使用句号。
• 属性配置文件中的属性属性使用小写字母。数据库区分大小写。

用户发放内容示例

条目用户user01; pwd \ \ o1;; myGroup.users01; myGroup.users02; myGroup.users.users01意思是:

• 用户:user01
• 密码:pwd;01
• 角色:用户
• 组:
  • myGroup.users01
  • myGroup.users02
  • myGroup.users.users.users01

另外一个例子,AUser0; 1.密码;用户;ActiveDirectory.test.net意思是:

• 用户:AUser0
• 密码:1.密码
• 角色:用户
• 组：ActiveDirectory.test.net

用户属性配置内容示例

条目user01; propertyN; propertyV \ \测试;1 \;2,道具2;prop2价值意思是:

• 用户:user01
• 属性1
  • 名称:propertyN
  • 价值：propertyV;测试;1;2
• 性质2:
  • 名称:支持2
  • 价值：prop2价值

添加或删除组

您可以在管理组端点管理控制台中以下页面上的对话框：用户，添加本地用户或编辑本地用户．没有组编辑命令。

添加本地组

1. 做以下其中之一:

   • 在用户页面,点击管理本地组．
   • 在添加本地用户页面或编辑本地用户页面,点击管理组．

   的管理组对话框出现了。

2. 在组列表下方，键入新组名，然后单击加号(+）.将用户组添加到列表中。

3. 点击关．

要删除一个组

删除组对用户帐户没有影响。相反，删除组只删除与该组的用户关联。用户也无法访问配送组提供的应用程序或与该组相关的配置文件。然而，任何其他群体的关联都保持不变。如果用户没有与任何其他本地组关联，则在顶层关联。

1. 做以下其中之一:

   • 在用户页面,点击管理本地组．
   • 在添加本地用户页面或编辑本地用户页面,点击管理组．

   的管理组对话框出现了。

2. 在管理组对话框中，单击想要删除的群组。

3. 单击组名称右侧的垃圾箱图标。此时会出现一个确认对话框。

4. 点击删除确认操作并删除组。

   重要的是:

   您不能撤消此操作。

5. 在管理组对话框中,单击关．

创建和管理工作流程

您可以使用工作流来管理用户帐户的创建和删除。在创建工作流之前，请确定组织中有权批准用户帐户请求的个人。然后，使用工作流模板创建和批准用户帐户请求。

在首次设置端点管理时，您配置了工作流电子邮件设置，在使用工作流之前必须设置这些设置。您可以随时更改工作流电子邮件设置。这些设置包括电子邮件服务器、端口、电子邮件地址，以及创建用户帐户的请求是否需要批准。

您可以在端点管理中的两个地方配置工作流:

• 在设置>工作流页。在工作流页，您可以配置多个工作流使用应用程序配置。当您在“工作流”页面配置工作流时，您可以在配置应用时选择工作流。
• 当您在应用程序中配置应用程序连接器时，请提供工作流名称，然后配置个人以批准用户帐户请求。看到添加应用程序．

您可以分配最多三个级别的管理员审批用户帐户。如果您需要其他人来批准您的用户帐户，您可以使用他们的姓名或电子邮件地址进行搜索和选择。当端点管理找到人员时，您可以将他们添加到工作流中。工作流中的所有个人都会收到电子邮件，以批准或拒绝新用户帐户。

1. 在端点管理控制台中，单击控制台右上角的齿轮图标。的设置页面出现。

2. 点击工作流．的工作流页面出现。

3. 点击添加．的添加工作流页面出现。

4. 配置这些设置:

   • 姓名：为工作流键入唯一名称。
   • 描述:可以选择键入工作流的描述。
   • 电子邮件批准模板:在列表中，选择要分配的邮件审批模板。中创建电子邮件模板通知模板下节设置在端点管理控制台中。当您单击该字段右侧的眼睛图标时，您将看到正在配置的模板的预览。
   • 经理批准级别:在列表中，选择此工作流所需的经理审批级别的数量。默认值是1级．可能的选项是:
     • 不需要
     • 1级
     • 2水平
     • 3个层次
   • 选择Active Directory域:在列表中，选择要用于工作流的相应Active Directory域。
   • 寻找其他所需的批准人:在搜索栏中输入姓名，然后单击搜索．名称起源于Active Directory。
   • 当名称出现在字段中时，选择名称旁边的复选框。姓名和电子邮件地址出现在选择其他所需的批准人员列表。
     • 要从列表中删除一个名字，请执行下列操作之一:
       • 点击搜索查看所选域中的所有人的列表。
       • 在搜索框中键入完整或部分名称，然后单击搜索以限制搜索结果。
       • 人的选择其他所需的批准人员列表在搜索结果列表中他们的名字旁边有检查标记。滚动列表并清除要删除的每个名称旁边的复选框。

5. 点击保存．创建的工作流显示在工作流页面。

创建工作流后，您可以查看工作流的详细信息，查看与工作流关联的应用程序，或者删除工作流。创建工作流后，不能编辑工作流。如果您需要一个具有不同审批级别或审批人员的工作流，则创建另一个工作流。

查看详细信息并删除工作流

1. 在工作流页中，在现有工作流列表中，选择一个特定的工作流。为此，单击表中的行或选择工作流旁边的复选框。

2. 如果需要删除工作流，单击删除. 此时会出现一个确认对话框。点击删除一次。

   重要的是:

   您不能撤消此操作。