委托政府
委托管理模型提供了灵活性,可以使用角色和基于对象的控制来匹配您的组织希望如何委托管理活动。委派管理可适应各种规模的部署,并允许您在部署复杂性增加时配置更多的权限粒度。委托管理使用三个概念:管理员、角色和范围。
管理员:管理员代表个人或一群由其Active Directory帐户确定的人。每个管理员都与一个或多个角色和范围对关联。
角色:角色代表一个作业功能,并具有与之关联的已定义的权限。例如,投递组管理员角色具有“创建投递组”和“从投递组删除桌面”等权限。管理员可以对站点具有多个角色,因此一个人可以是Delivery Group administrator和Machine Catalog administrator。角色可以是内置的,也可以是自定义的。
内置角色包括:
角色 权限 完全管理员 可以执行所有任务和操作。完整的管理员始终与所有范围组合。 只读管理员 可以查看指定范围内的所有对象以及全局信息,但不能更改任何内容。例如,Scope=London的只读管理员可以查看所有全局对象(如配置日志记录)和任何伦敦范围的对象(如伦敦交付组)。但是,该管理员无法看到纽约作用域中的对象(假设伦敦作用域和纽约作用域不重叠)。 服务台管理员 可以查看传递组,并管理与这些组关联的会话和计算机。可以查看正在监视的传送组的机器目录和主机信息。还可以为这些传递组中的机器执行会话管理和机器电源管理操作。 机目录管理员 可以创建和管理机器目录,并将机器配置到其中。可以从虚拟化基础设施、供应服务和物理机器构建机器目录。该角色可以管理基本映像和安装软件,但不能为用户分配应用程序或桌面。 交付组管理员 可以交付应用程序、台式机和机器;也可以管理关联的会话。还可以管理应用程序和桌面配置,如策略和电源管理设置。 主机管理员 可以管理主机连接及其关联的资源设置。无法向用户提供计算机,应用程序或桌面。 在某些产品版本中,您可以创建自定义角色以符合组织的要求,并授予更详细的权限。您可以使用自定义角色在控制台中按操作或任务的粒度分配权限。
范围:范围表示对象的集合。作用域用于以与您的组织相关的方式对对象进行分组(例如,销售团队使用的交付组集)。对象可以在多个作用域中;可以将对象标记为一个或多个作用域。有一个内置作用域:' All ',它包含所有对象。“完全管理员”角色总是与“全部”作用域配对。
例子
XYZ公司根据其部门(账户,销售和仓库)及其桌面操作系统(Windows 7或Windows 8)管理应用程序和桌面。管理员创建了五个范围,然后用两个范围标记了每个传送组:一个用于它们的部门,其中一个用于他们使用的操作系统。
创建以下管理员:
| 行政人员 | 角色 | 作用域 |
|---|---|---|
| 域/弗雷德 | 完全管理员 | All(完全管理员角色始终具有All作用域) |
| 域名/抢劫 | 只读管理员 | 所有 |
| 域/海蒂 | 只读管理员、帮助台管理员 | 所有的销售 |
| 域名/仓库 | 服务台管理员 | 仓库 |
| 域/彼得 | 传递组管理员、计算机目录管理员 | 这个主题 |
- Fred是一个完全管理员,可以查看、编辑和删除系统中的所有对象。
- Rob可以查看站点中的所有对象,但不能编辑或删除它们。
- 海蒂可以查看所有对象,并可以在销售范围内的交付组上执行帮助台任务。这允许她管理与这些组相关的会话和机器;她不能对Delivery Group进行更改,例如添加或移除机器。
- 任何作为Warehouseadmin Active Directory安全组的成员的人都可以在仓库范围内查看和执行在机器上的帮助台任务。
- Peter是一个Windows 7专家,可以管理所有的Windows 7机器目录,可以提供Windows 7应用程序,台式机和机器,无论它们在哪个部门范围。管理员考虑将Peter设置为Win7范围的Full administrator。但是,她决定不这么做,因为完全管理员对所有没有限定范围的对象也有完全权限,比如“Site”和“Administrator”。
如何使用委托管理
通常,管理员的数量及其权限的粒度取决于部署的大小和复杂性。
- 在小型或概念验证部署中,一个或几个管理员负责所有工作。没有代表团。在本例中,使用内置的Full administrator角色创建每个管理员,该角色具有All范围。
- 在具有更多计算机、应用程序和台式机的大型部署中,需要更多的委派。几个管理员可能具有更具体的功能职责(角色)。例如,两个是完全管理员,另一个是帮助台管理员。此外,管理员可能只管理特定的对象组(作用域),例如计算机目录。在本例中,创建新的作用域,以及具有内置角色之一和适当作用域的管理员。
- 甚至更大的部署可能需要更多(或更具体)的范围,以及具有非传统角色的不同管理员。在这种情况下,编辑或创建更多范围,创建自定义角色,并使用内置或自定义角色以及现有和新的范围创建每个管理员。
为了配置的灵活性和易用性,您可以在创建管理员时创建范围。还可以在创建或编辑机器目录或连接时指定范围。
创建和管理管理员
当您以本地管理员身份创建站点时,您的用户帐户将自动成为具有所有对象的完全权限的“完全管理员”。创建站点后,本地管理员没有特权。
“完全管理员”角色始终具有“全部”作用域;您无法更改此作用域。
缺省情况下,管理员处于启用状态。如果您现在正在创建管理员,则可能需要禁用管理员,但该管理员要到稍后才会开始管理职责。对于已启用的管理员,您可能希望在重新组织对象/作用域时禁用其中一些管理员,然后在准备使用更新后的配置时重新启用它们。如果禁用完全管理员会导致没有启用完全管理员,则不能禁用完全管理员。当您创建、复制或编辑管理员时,可以使用启用/禁用复选框。
当复制、编辑或删除管理员时,删除角色/作用域对时,只删除该管理员的角色和作用域之间的关系。它既不删除角色也不删除作用域。它也不会影响配置了该角色/范围对的任何其他管理员。
管理管理员,单击配置>管理员,然后单击管理员选项卡中。
- 创建管理员:点击创建新管理员在Actions窗格中。键入或浏览到用户帐户名,选择或创建一个范围,并选择一个角色。默认情况下,新管理员是启用的;你可以改变这个。
- 复制管理员:在中间窗格中选择管理员,然后单击复制管理员在操作窗格中。键入或浏览到用户帐户名。您可以选择、编辑或删除任何角色/作用域对,然后添加新的角色/作用域对。默认启用新管理员;你可以改变这个。
- 编辑管理员:在中间窗格中选择管理员,然后单击编辑管理员在Actions窗格中。您可以编辑或删除任何角色/范围对,并添加新的角色。
- 删除管理员:在中间窗格中选择管理员,然后单击删除管理员在操作窗格中。如果删除完全管理员会导致没有启用完全管理员,则无法删除该管理员。
上面的窗格显示您创建的管理员。选择管理员,在下面的窗格中查看其详细信息。的警告列指示与管理员关联的角色和范围对是否包含不可用的角色或范围。如果关联的角色和范围对包含不可用的角色或范围,则出现以下警告消息:
- 关联的角色或范围不可用
- 从管理员中删除角色和作用域对。
重要的:
仅在关联的角色和范围对包含不可用的角色或范围或两者之间时,才会出现警告消息。
要从管理员删除角色和范围对,请完成以下步骤之一:
- 删除角色和作用域对。
- 在里面行动窗格中,单击编辑管理员.
- 在里面编辑管理员窗口中,选择角色和作用域对,然后单击删去.
- 点击好的退出。
- 删除管理员。
- 在里面行动窗格中,单击删除管理员.
- 在里面工作室窗口,点击删去.
创建和管理角色
管理员创建或编辑角色时,只能启用自己拥有的权限。这可以防止管理员创建权限超过当前权限的角色,然后将其分配给自己(或编辑已经分配的角色)。
角色名称最多可包含64个Unicode字符;它们不能包含:反斜杠、正斜杠、分号、冒号、磅号、逗号、星号、问号、等号、左箭头或右箭头、管道、左括号或右括号、左括号或右括号、引号或撇号。描述最多可包含256个Unicode字符。
不能编辑或删除内置角色。当已有管理员使用自定义角色时,不能删除该角色。
笔记:
只有某些产品版本支持自定义角色。只支持自定义角色的版本只有“操作”窗格中的相关条目。
要管理角色,请单击配置>管理员,然后单击角色选项卡中。
- 查看角色详细信息:选择中间窗格中的角色。中间窗格的下半部分列出了角色的对象类型和关联权限。单击下方窗格中的“管理员”选项卡以显示当前具有此角色的管理员列表。
- 创建自定义角色:点击创建新角色在操作窗格中。输入名称和说明。选择对象类型和权限。
- 复制一个角色:在中间窗格中选择角色,然后单击复制的作用在操作窗格中。根据需要更改名称、说明、对象类型和权限。
- 编辑自定义角色:在中间窗格中选择角色,然后单击编辑角色在操作窗格中。根据需要更改名称、说明、对象类型和权限。
- 删除自定义角色:在中间窗格中选择角色,然后单击删除角色在Actions窗格中。出现提示时,请确认删除。
创建和管理作用域
创建站点时,唯一可用的作用域是“All”作用域,不能删除该作用域。
可以使用以下过程创建作用域。还可以在创建管理员时创建作用域;每个管理员必须至少与一个角色和范围对相关联。在创建或编辑桌面、机器目录、应用程序或主机时,可以将它们添加到现有范围。如果不将它们添加到范围中,则它们仍然是“All”范围的一部分。
站点创建无法范围,也无法委托管理对象(范围和角色)。但是,您无法范围的对象包含在“所有”范围内。(完整管理员始终拥有全部范围。)机器,电源操作,桌面和会话不是直接范围的。管理员可以通过关联的计算机目录或传递组分配这些对象的权限。
作用域名称最多可以包含64个Unicode字符。作用域名称不能包括:反斜杠、正斜杠、分号、冒号、磅号、逗号、星号、问号、等号、左箭头、右箭头、管道、左括号或右括号、左括号或右括号、引号或撇号。描述最多可包含256个Unicode字符。
复制或编辑作用域时,请记住,从作用域中删除对象可能会使管理员无法访问这些对象。如果编辑的作用域与一个或多个角色配对,请确保作用域更新不会使任何角色/作用域对不可用。
要管理作用域,请单击配置>管理员,然后单击作用域选项卡中。
- 创建范围:点击创建新的范围在Actions窗格中。输入名称和描述。要包含特定类型的所有对象(例如Delivery Groups),请选择对象类型。要包含特定对象,请展开类型,然后选择单个对象(例如,Sales团队使用的Delivery Groups)。
- 复制一个范围:在中间窗格中选择范围,然后单击复制范围在Actions窗格中。输入名称和描述。根据需要更改对象类型和对象。
- 编辑一个范围:在中间窗格中选择范围,然后单击编辑范围在Actions窗格中。根据需要修改名称、描述、对象类型和对象。
- 删除一个范围:在中间窗格中选择范围,然后单击删除范围在Actions窗格中。出现提示时,请确认删除。
创建报告
您可以创建两种类型的委派管理报告:
列出与管理员关联的角色/范围对的HTML报告,以及每种类型对象的各个权限(例如,传递组和机器目录)。您从Studio生成此报告。
要创建此报告,请单击配置>管理员在工作室导航窗格中。在中间窗格中选择管理员,然后单击创建报告在Actions窗格中。
您也可以在创建、复制或编辑管理员时请求此报告。
HTML或CSV报告将所有内置和自定义角色映射到权限。您通过运行名为OutputPermissionMapping.ps1的PowerShell脚本来生成此报告。
要运行此脚本,您必须是完全管理员、只读管理员或具有读取角色权限的自定义管理员。脚本位于:Program Files\Citrix\DelegatedAdmin\SnapIn\Citrix.DelegatedAdmin.Admin.V1\Scripts。
语法:
OutputPermissionMapping.ps1[-Help][-Csv][Path string][-AdminAddress string][-Show][CommonParameters]参数 描述 -显示脚本的帮助。 -Csv指定CSV输出。默认的HTML = -路径字符串在哪里写入输出。默认= stdout -Adminaddress字符串要连接到的传递控制器的IP地址或主机名。默认= localhost -展示(仅当 路径参数)将输出写入文件时,-展示使输出在适当的程序(如web浏览器)中打开。公共参数 详细的,调试,错误行为,ErrorVariable,警告行动,WarningVariable,OutBuffer,OutVariable.具体操作请参见Microsoft文档。
以下示例将HTML表写入名为Roles.HTML的文件,并在web浏览器中打开该表。
&“env美元:ProgramFiles \ Citrix \ DelegatedAdmin \ \ OutputPermissionMapping SnapIn \ Citrix.DelegatedAdmin.Admin.V1 \脚本。ps1" -Path Roles.html -Show 以下示例将CSV表写入名为Roles.csv的文件。表格未显示。
&“env美元:ProgramFiles \ Citrix \ DelegatedAdmin \ \ OutputPermissionMapping SnapIn \ Citrix.DelegatedAdmin.Admin.V1 \脚本。ps1" -CSV -Path Roles.csv 从Windows命令提示符,前面的示例命令是:
powershell -command "& '%ProgramFiles%\Citrix\DelegatedAdmin\SnapIn\ Citrix.DelegatedAdmin. admin . v1 \Scripts\OutputPermissionMapping。ps1' -CSV -Path Roles.csv"