委任管理

委任管理モデルにより，役割やオブジェクトベースの制御により，组织の管理业务の分担に基づいて柔软に管理権限を委任することができます。あらゆる规模のサイトで委任管理机能を使用でき，展开环境が复雑化するにつれてより详细な権限の分担を构成できます。管理権限の委任机能では，管理者，役割，およびスコープという3つの概念が使用されます。

• 管理者：管理者は,Active Directoryアカウントにより識別される,管理権限を持つ個人またはそのグループを示します。各管理者には1つまたは複数の役割とスコープのペアが割り当てられます。

• 役割：役割は管理ジョブの机能を表し，それぞれ定义された権限が割り当てられています。たとえば，[デリバリーグループ管理者]の役割には，「デリバリーグループの作成」および「デリバリーグループからのデスクトップの削除」などの権限があります。管理者は，サイトに対して复数の役割を有することができ，1人の管理者がデリバリーグループ管理者とマシンカタログ管理者を兼ねることができます。役割には，组み込みの役割とカスタムの役割があります。

  組み込みの役割は,次のとおりです。

  役割	権限
  すべての管理権限を実行できる管理者	すべてのタスクおよび操作を実行できます。[すべての管理権限を実行できる管理者]の役割は,常に[すべて]のスコープとペアになります。
  読み取り専用管理者	全体的な情報に加えて,指定されたスコープのすべてのオブジェクトを表示できますが,変更はできません。たとえば,”大阪”というスコープを作成して読み取り専用管理者に割り当てると,構成ログなどのグローバルオブジェクトと,大阪支社用のデリバリーグループなど,[大阪]スコープのオブジェクトを表示できます。ただし,この管理者は”ニューヨーク”スコープのオブジェクトを表示できません。
  ヘルプデスク管理者	デリバリーグループを表示して,そのセッションやマシンを管理できます。監視対象のデリバリーグループについて,マシンカタログとホスト情報を表示できます。また,それらのデリバリーグループ内のマシンのセッションや電源を管理できます。
  マシンカタログ管理者	マシンカタログを作成および管理したり，マシンカタログにマシンをプロビジョニングしたりできます。仮想化インフラストラクチャ，规范服务，および物理マシンを使用してマシンカタログを作成できます。この役割では，基本イメージを管理したりソフトウェアをインストールしたりできますが，アプリケーションやデスクトップをユーザーに割り当てることはできません。
  デリバリーグループ管理者	アプリケーション,デスクトップ,およびマシンを配信したり,それらのセッションを管理したりできます。ポリシーや電源管理設定など,アプリケーションおよびデスクトップの構成を管理することもできます。
  ホスト管理者	ホスト接続およびその关连リソース设定を管理できます。マシン，アプリケーション，またはデスクトップをユーザーに配信することはできません。

  この製品の一部のエディションでは,必要に応じてカスタムの役割を作成して,より詳細な権限を委任することができます。カスタムの役割では,コンソールにおける操作またはタスク単位で権限を割り当てることができます。

• スコープ:接続,マシンカタログ,デリバリーグループなど,その管理者が管理できるオブジェクトをグループ化したものです。スコープでは、組織の要件に基づいてオブジェクトをグループ化します（営業チームで使用されるデリバリーグループのセットなど）。オブジェクトを複数のスコープに含めることができます。つまり、1つまたは複数のスコープでオブジェクトをラベル付けすることができます。組み込みのスコープである「すべて」には、すべてのオブジェクトが含まれています。［すべての管理権限を実行できる管理者］の役割は、常にこのスコープとペアになります。

例

XYZ社は自社の部署(経理,営業,倉庫)およびそのデスクトップオペレーティングシステム(Windows 7またはWindows 8)に基づいてアプリケーションとデスクトップを管理することにしました。管理者は5つのスコープを作成し,各デリバリーグループに2つのスコープ(部署を表すスコープと使用するオペレーティングシステムを表すスコープ)を割り当てました。

次の管理者を作成しました。

• 弗雷德は“すべての管理権限を実行できる管理者”で,システム内のすべてのオブジェクトを表示,編集,および削除できます。
• Robはサイト内のすべてのオブジェクトを表示できますが,それらを編集または削除することはできません。
• 海蒂はすべてのオブジェクトを表示でき，[営业]スコープのデリバリーグループでヘルプデスクタスクを実行できます。これにより，[営业]スコープのデリバリーグループに割り当てられているセッションとマシンを管理できます。ただし，これらのデリバリーグループに（マシンの追加や削除などの）変更を加えることはできません。
• Active Directory中セキュリティグループwarehouseadminのすべてのメンバーは，[仓库]スコープのマシンに対するヘルプデスクタスクを表示および実行できます。
• 彼得は的Windows 7の専门家で，すべてのWindows 7的マシンカタログを管理でき，所属している部署のスコープに关系なくWindows 7的アプリケーション，デスクトップ，およびマシンを配信できます。当初，管理者は彼得を[的Win7]スコープの「すべての管理権限を実行できる管理者」にしようとしました。しかし，管理者はこれを考え直しました。これは，「すべての管理権限を実行できる管理者」には，そのスコープに含まれていないオブジェクト（「サイト「や」管理者」など）に対する全権限が付与されるためです。

委任管理の使用方法

一般的に,管理者数およびその権限の細分性は展開のサイズおよびその複雑度に応じて異なります。

• 小规模または検证用の展开サイトでは，1人または少数の管理者ですべてを管理します。委任管理はありません。この场合，组み込みの[すべての管理権限を実行できる管理者]役割（および[すべて]スコープ）の管理者を作成します。
• より多くのマシン,アプリケーション,およびデスクトップがあるサイトでは,委任管理者の配置が必要になります。何人かの管理者に,より専門的な管理責任(役割)を付与できます。たとえば2人の”すべての管理権限を実行できる管理者”を設定して,残りをヘルプデスク管理者にします。さらに,マシンカタログなど,特定グループ(スコープ)のオブジェクトの管理を1人の管理者に委任することもできます。この場合,新しいスコープを作成して,組み込みの役割とそのスコープをペアにした管理者を作成します。
• 大規模サイトにおいても,より多くの(またはより詳細な)スコープと,特殊な役割を持つさまざまな管理者が必要になることがあります。この場合は,追加のスコープを作成または編集して,カスタムの役割を作成し,組み込みまたはカスタムの役割と既存または新しいスコープを持つ各管理者を作成します。

スコープは,管理者を作成するときに作成できます。また,マシンカタログやホスト接続を作成または編集するときにスコープを指定することもできます。

管理者の作成と管理

ローカルの管理者アカウントを使用してサイトを作成するときは,すべてのオブジェクトに対する完全な管理権限を持つ管理者としてそのアカウントが設定されます。ただし,サイトを作成した後では,ローカル管理者には特別な特権は与えられません。

すべての管理タスクの実行権限を持つ管理者には,常に[すべて]のスコープが割り当てられます。これを変更することはできません。

デフォルトでは,管理者は有効になります。管理者を作成するときに、その管理者が実際に作業を始めるまで管理者を無効にしておく必要が生じる場合があります。また、オブジェクトやスコープを再構成するときに、既存の管理者を一時的に無効にすることもできます。完全な管理権限を持つ管理者が1人しかいない環境では、その管理者を無効にすることはできません。管理者の有効/無効は、管理者を作成、コピー、または編集するときの［管理者を有効にする］チェックボックスで設定できます。

管理者を编集したりコピーしたりするときのダイアログボックスでスコープ/役割ペアを削除すると，その管理者とスコープ/役割ペアとの关连付けが削除され，个々のスコープや役割は削除されません。役割やスコープは削除されません。また，同じスコープ/役割ペアが割り当てられている管理者がいる场合でも，その关连付けは削除されません。

管理者者管理するには，工作室ののペインで[构成]> [管理者]の順にクリックし,中央ペインの上部の［管理者］タブをクリックします。

• 管理者を作成する:[操作]ペインの[管理者の作成]をクリックします。ユーザーアカウント名を入力するか参照し,スコープを選択または作成して,役割を選択します。新しい管理者はデフォルトで有効になりますが,無効にすることもできます。
• 管理者をコピーする:中央ペインで管理者を選択し,[操作]ペインの(管理者のコピー]をクリックします。ユーザーアカウント名を入力するか参照します。必要に応じて，スコープ/役割ペアを编集または削除したり，新しいペアを追加したりできます。新しい管理者はデフォルトで有效になりますが，无效にすることもできます。
• 管理者を編集する:中央ペインで管理者を選択し,[操作]ペインの(管理者の編集)ををクリックして必要に応じ，スコープ/役割ペアをまたは削除たり，新しいペアを追。
• 管理者を削除する:中央ペインで管理者を選択し,[操作]ペインの(管理者の削除)をクリックします。完全な管理権限を持つ管理者が1人しかいない环境では，その管理者を削除することはできません。

上ペインに，作成した管理者が表示されます。管理者を选択すると，その详细が下ペインに表示されます。[警告]列に，管理者に割り当てられ役割とスコープペアににれでき役割またはスコープがれいるいるどうかれますますますますますます。割り当てられた役割スコープのペア使でき役割またはスコープが含まれいるいる合，次次の警告メッセージメッセージがされ：

• 割り当てられている役割またはスコープが使用できません
  • 管理者からスコープ/役割ペアを削除します。

重要：

警告メッセージは,割り当てられた役割とスコープのペアに使用できない役割またはスコープ(もしくはその両方)が含まれている場合にのみ表示されます。

管理者から役割とスコープのペアを削除するには,次のいずれかの手順を実行します:

• 役割とスコープのペアを削除する。
  1. [アクション]ペインで,(管理者の編集)をクリックします。
  2. (管理者の編集)ウィンドウで,役割とスコープのペアを選択し,［削除］をクリックします。
  3. [OK]をクリックして終了します。
• 管理者を削除する。
  1. [アクション]ペインで,(管理者の削除)をクリックします。
  2. [工作室]ウィンドウで,［削除］をクリックします。

役割の作成と管理

管理者が役割を作成または编集する场合，自身が持っている権限のみを有效にできます。これにより，管理者は现在よりも多くの権限を持つ役割を作成して自身に割り当てる（または既に割り当てられた役割を编集する）ことができなくなります。

役割には，64文库までのunicode文章で名前を付けるますことができます。ただし，バックスラッシュ，スラッシュ，セミコロン，コロン，番号，コンマ，アスタリスク，疑问符，等楼，小なり议号，大なり记码，パイプ，角かっこ，丸かっこ，二二使用符，およびアポストロフィは使使ませ。说明には，256文章までのUnicode文章ををできます。

組み込みの役割を編集または削除することはできません。いずれかの管理者が使用しているカスタムの役割は削除できません。

注：

カスタムの役割を作成するには，特定の制品エディションが必要です。カスタムの役割をサポートするエディションのみで，[操作]ペインに关连エントリが表示されます。

役割を管理するには,工作室のナビゲーションペインで[构成]> [管理者]の順にクリックし,中央ペインの上部の［役割］タブをクリックします。

• 役割の詳細を表示する:中央ペインでその役割を選択します。中央ペインの下部に,その役割のオブジェクトの種類および許可される権限が表示されます。ここで[管理者]タブをクリックすると,その役割が割り当てられている管理者が表示されます。
• カスタム役割を作成する:[操作]ペインの(役割の作成)をクリックします。名字と説明を入力します。この役割に割り当てるオブジェクトの種類と権限を選択します。
• 役割をコピーする：中央ペインで役割を選択し,[操作]ペインの(役割のコピー]をクリックします。必要に応じて，役割の名前，说明，および権限を変更します。
• カスタム役割を編集する:中央ペインで役割を選択し,[操作]ペインの(役割の編集)をクリックします。必要に応じて，役割の名前，说明，および権限を変更します。
• カスタム役割を削除する:中央ペインで役割を選択し,[操作]ペインの(役割の削除)をクリックします。確認のメッセージが表示されたら,[削除]をクリックします。

スコープの作成と管理

サイトを作成すると,[すべて]のスコープのみが使用可能になります。このスコープは削除できません。

スコープを作成するには,次の手順を使用します。管理者を作成するときにスコープを作成することもできます。すべての管理者は、少なくとも1つの役割とスコープのペアが割り当てられている必要があります。デスクトップ、マシンカタログ、アプリケーション、またはホストを作成したり編集したりするときに、それらを既存のスコープに追加できます。ただし、特定のスコープに追加しない場合でも、自動的に［すべて］のスコープに追加されます。

サイトの作成および委任管理オブジェクト(スコープおよび役割)をスコープに含めることはできません。ただし,スコープに含めることができないオブジェクトも[すべて]のスコープには含まれています。すべての管理タスクの実行権限を持つ管理者には,常に[すべて]のスコープが割り当てられます。マシン,電源操作,デスクトップ,およびセッションはスコープに含まれません。これらのオブジェクトに対する管理者は,マシンカタログまたはデリバリーグループで割り当てることができます。

スコープには,Unicode文字で64文字以下の名前を付けることができます。スコープ名には、次の文字は使用できません：バックスラッシュ、スラッシュ、セミコロン、コロン、番号記号、コンマ、アスタリスク、疑問符、等号、小なり記号、大なり記号、パイプ、角かっこ、丸かっこ、二重引用符、アポストロフィ。説明には、256文字までのUnicode文字を入力できます。

スコープをコピーまたは編集するときにオブジェクトをスコープから削除すると,管理者がそのオブジェクトにアクセスできなくなる可能性があることに注意してください。編集するスコープにいくつかの役割が関連付けられている場合は,編集により役割/スコープのペアが使用できなくならないかどうかを確認してください。

スコープを管理するには,工作室のナビゲーションペインで[构成]> [管理者]の順にクリックし,中央ペインの上部の[スコープ]タブをクリックします。

• スコープを作成する:[操作]ペインの[スコープの作成)をクリックします。名字と説明を入力します。オブジェクトの種類（［デリバリーグループ］チェックボックスなど）を選択すると、その種類のすべてのオブジェクトがスコープに追加されます。特定のオブジェクトを追加するには、オブジェクトの種類を開き、個々のオブジェクトを選択します（営業部で使用される特定のデリバリーグループを選択する場合など）。
• スコープのコピー:中央ペインでスコープを選択し,[操作]ペインの[スコープのコピー]をクリックします。名字と説明を入力します。必要に応じて、オブジェクトの種類とオブジェクトを変更します。
• スコープの編集:中央ペインでスコープを選択し,[操作]ペインの[スコープの編集)をクリックします。必要に応じて,名前,説明,オブジェクトの種類,およびオブジェクトを変更します。
• スコープの削除：中央ペインでスコープを選択し,[操作]ペインの[スコープの削除)をクリックします。確認のメッセージが表示されたら,[削除]をクリックします。

レポートの作成

2次の種類の委任管理レポートを作成できます:

• 管理者に关连付けられているスコープ/役割ペアと各种类のオブジェクト（デリバリーグループ，マシンカタログなど）に対する个々の権限の一覧についてのHTMLレポート.Studioで生成できます。

  このレポートを作成するには,ナビゲーションペインで[构成]> [管理者]の順に選択します。中央ペインで管理者を選択し,操作ペインで[レポートの作作]をクリックします。

  このレポートは，管理者の作成，コピー，および编集时に作成することもできます。

• 組み込みおよびカスタムの役割とそれらに関連付けられた権限を一覧表示するHTMLまたはCSVレポート。このレポートは,PowerShellスクリプトOutputPermissionMapping.ps1を実行して生成します。

  このスクリプトを実行するには,すべての管理権限を実行できる管理者,読み取り専用管理者,または役割の読み取り権限を持つ管理者である必要があります。このスクリプトは,程序文件\ Citrix \ DelegatedAdmin \ SnapIn \ Citrix.DelegatedAdmin.Admin。V1 \ Scripts \にあります。

  構文：

  OutputPermissionMapping。ps1 [-Help] [-Csv] [-Path string] [-AdminAddress string] [-Show] [CommonParameters]参数说明

  パラメーター	説明
  - 帮助	スクリプトのヘルプを表示します。
  csv	CSVレポートを作成します。デフォルト値:HTML
  路径字符串	出力先を指定します。デフォルト値:stdout
  -AdminAddress字符串	接続先の交付控制器のIPアドレスまたはホスト名を指定します。デフォルト値:localhost
  显示	（-Pathパラメーターを指定した場合のみ有効)ファイルに出力する場合に显示を指定すると,显示によりレポートが適切なアプリケーションプログラム(Webブラウザーなど)で表示されます。
  CommonParameters	详细的、调试、ErrorAction、ErrorVariable、WarningAction、WarningVariable、OutBuffer、OutVariable。詳しくは,微软社のドキュメントを参照してください。

次の例では，Roles.htmlという名前のファイルにHTMLテーブルが出力され，网络ブラウザーで表示されます。

＆ “$ ENV：PROGRAMFILES \思杰\ DelegatedAdmin \管理单元\ Citrix.DelegatedAdmin.Admin.V1 \脚本\ OutputPermissionMapping.ps1” -Path Roles.html -Show

次の例では，Roles.csvという名前のファイルにCSVテーブルが出力されます。このテーブルは自动的には表示されません。

&“env美元:ProgramFiles \ Citrix \ DelegatedAdmin \ \ OutputPermissionMapping SnapIn \ Citrix.DelegatedAdmin.Admin.V1 \脚本。ps1" -CSV -Path Roles.csv

上の例を的Windowsコマンドプロンプトから実行する场合は，次のコマンドを実行します：

的powershell -command “＆ '％PROGRAMFILES％\的Citrix \ DelegatedAdmin \管理单元\ Citrix.DelegatedAdmin.Admin.V1 \脚本\ OutputPermissionMapping.ps1' -CSV -Path Roles.csv”