委任管理
委任管理モデルにより,役割やオブジェクトベースの制御により,组织の管理业务の分担に基づいて柔软に管理権限を委任することができます。あらゆる规模のサイトで委任管理机能を使用でき,展开环境が复雑化するにつれてより详细な権限の分担を构成できます。管理権限の委任机能では,管理者,役割,およびスコープという3つの概念が使用されます。
管理者- 管理者は,Active Directory中アカウントにより识别される,管理権限を持つ个人またはそのグループを示します各管理者には,1つまたは复数の役割とスコープのペアが割り当てられます。
役割- 役割は管理ジョブの机能を表し,それぞれ定义された権限が割り当てられていますたとえば,[デリバリーグループ管理者]の役割には,「デリバリーグループの作成」および「デリバリーグループからのデスクトップの削除」などの権限があります。管理者は,サイトに対して复数の役割を有することができ,1人の管理者がデリバリーグループ管理者とマシンカタログ管理者を兼ねることができます。役割には,组み込みの役割とカスタムの役割があります。
组み込みの役割は,次のとおりです。
役割 権限 すべての管理権限を実行できる管理者 すべてのタスクおよび操作を実行できます。[すべての管理権限を実行できる管理者]の役割は,常に[すべて]のスコープとペアになります。 読み取り専用管理者 全体的な情報および指定されたスコープのすべてのオブジェクトを表示できますが,変更はできません。たとえば,”大阪”というスコープを作成して読み取り専用管理者に割り当てると,構成ログなどのグローバルオブジェクトと,大阪支社用のデリバリーグループなど,[大阪]スコープのオブジェクトを表示できます。ただし,この管理者は”ニューヨーク”スコープのオブジェクトを表示できません。 ヘルプデスク管理者 デリバリーグループを表示して,そのセッションやマシンを管理できます。デリバリーグループのマシンカタログやホスト情報を表示したり,デリバリーグループのマシンのセッションや電源を管理したりできます。 マシンカタログ管理者 マシンカタログを作成および管理したり,マシンカタログにマシンをプロビジョニングしたりできます。仮想化インフラストラクチャ,供应服务,および物理マシンを使用してマシンカタログを作成できます。この役割では,基本イメージを管理したりソフトウェアをインストールしたりできますが,アプリケーションやデスクトップをユーザーに割り当てることはできません。 デリバリーグループ管理者 アプリケーション,デスクトップ,およびマシンを配信したり,それらのセッションを管理したりできます。ポリシーや电源管理设定など,アプリケーションおよびデスクトップの构成を管理することもできます。 ホスト管理者 ホスト接続およびその关连リソース设定を管理できます。マシン,アプリケーション,またはデスクトップをユーザーに配信することはできません。 この制品の一部のエディションでは,必要に応じてカスタムの役割を作成して,より详细な権限を委任することができます。カスタムの役割では,コンソールにおける操作またはタスク単位で権限を割り当てることができます。
スコープ- 接続,マシンカタログ,デリバリーグループなど,その管理者が管理できるオブジェクトをグループ化したものですスコープでは,组织の要件に基づいてオブジェクトをグループ化します(営业チームで使用されるデリバリーグループのセットなど。)。オブジェクトを复数のスコープに含めることができます。つまり,1つまたは复数のスコープでオブジェクトをラベル付けすることができます。组み込みのスコープである「すべて」には,すべてのオブジェクトが含まれています。[すべての管理権限を実行できる管理者]の役割は,常にこのスコープとペアになります。
例
XYZ社は自社の部署(経理,営业,仓库)およびそのデスクトップオペレーティングシステム(视窗7または视窗8)に基づいてアプリケーションとデスクトップを管理することにしました。管理者は5つのスコープを作成し,各デリバリーグループに2つのスコープ(部署を表すスコープと使用するオペレーティングシステムを表すスコープ)を割り当てました。
次の管理者を作成しました。
| 管理者 | 役割 | スコープ |
|---|---|---|
| ドメイン/弗雷德 | すべての管理権限を実行できる管理者 | すべて([すべての管理権限を実行できる管理者]の役割は,常に[すべて]スコープとペアになります) |
| ドメイン/抢 | 読み取り専用管理者 | すべて |
| ドメイン/海蒂 | 読み取り専用管理者,ヘルプデスク管理者 | すべての営业担当者 |
| ドメイン/ warehouseadmin | ヘルプデスク管理者 | 仓库 |
| ドメイン/彼得 | デリバリーグループ管理者,マシンカタログ管理者 | Win7. |
- 弗雷德は「すべての管理権限を実行できる管理者」で,システム内のすべてのオブジェクトを表示,编集,および削除できます。
- 罗布はサイト内のすべてのオブジェクトを表示できますが,それらを编集または削除することはできません。
- 海蒂はすべてのオブジェクトを表示でき,[営业]スコープのデリバリーグループでヘルプデスクタスクを実行できます。これにより,[営业]スコープのデリバリーグループに割り当てられているセッションとマシンを管理できます。ただし,これらのデリバリーグループに(マシンの追加や削除などの)変更を加えることはできません。
- Active Directoryセキュリティグループwarehouseadminのすべてのメンバーは,[倉庫]スコープのマシンに対するヘルプデスクタスクを表示および実行できます。
- 彼得は的Windows 7の専门家で,すべてのWindows 7的マシンカタログを管理でき,所属している部署のスコープに关系なくWindows 7的アプリケーション,デスクトップ,およびマシンを配信できます。当初,管理者は彼得を[的Win7]スコープの「すべての管理権限を実行できる管理者」にしようとしましたが,考え直しました。これは,「すべての管理権限を実行できる管理者」には,そのスコープに含まれていないオブジェクト(「サイト「や」管理者」など)に対する全権限が付与されるためです。
委任管理の使用方法
一般的に,管理者数およびその権限の细分性は展开のサイズおよびその复雑度に応じて异なります。
- 小规模または検证用の展开サイトでは,1人または少数の管理者ですべてを管理し,委任管理者は存在しません。この场合,组み込みの[すべての管理権限を実行できる管理者]役割(および[すべて]スコープ)の管理者を作成します。
- より多くのマシン,アプリケーション,およびデスクトップがあるサイトでは,委任管理者の配置が必要になります。何人かの管理者に,より専门的な管理责任(役割)を付与できます。たとえば,2人の「すべての管理権限を実行できる管理者」を设定して,残りをヘルプデスク管理者にします。さらに,マシンカタログなど,特定グループ(スコープ)のオブジェクトの管理を1人の管理者に委任することもできます。この场合,新しいスコープを作成して,组み込みの役割とそのスコープをペアにした管理者を作成します。
- 大规模サイトにおいても,より多くの(またはより详细な)スコープと,特殊な役割を持つさまざまな管理者が必要になることがあります。この场合は,追加のスコープを作成または编集して,カスタムの役割を作成し,组み込みまたはカスタムの役割と既存または新しいスコープを持つ各管理者を作成します。
新しいスコープは,管理者を作成するときに作成できます。また,マシンカタログやホスト接続を作成または編集するときにスコープを指定することもできます。
管理者の作成と管理
ローカルの管理者アカウントを使用してサイトを作成するときは,すべてのオブジェクトに対する完全な管理権限を持つ管理者としてそのアカウントが设定されます。ただし,サイトを作成した后では,ローカル管理者には特别な特権は与えられません。
すべての管理タスクの実行権限を持つ管理者には,常に[すべて]のスコープが割り当てられます。これを変更することはできません。
デフォルトでは,管理者は有效になります。新しい管理者を作成するときに,その管理者が実际に作业を始めるまで管理者を无效にしておく必要が生じる场合があります。また,オブジェクトやスコープを再构成するときに,既存の管理者を一时的に无效にすることもできます。完全な管理権限を持つ管理者が1人しかいない环境では,その管理者を无效にすることはできません。管理者の有效/无效は,管理者を作成,コピー,または编集するときの[管理者を有效にする]チェックボックスで设定できます。
管理者を编集したりコピーしたりするときのダイアログボックスでスコープ/役割ペアを削除すると,その管理者とスコープ/役割ペアとの关连付けが削除され,个々のスコープや役割は削除されません。また,同じスコープ/役割ペアが割り当てられている管理者がいる场合でも,その关连付けは削除されません。
管理者を管理するには,工作室のナビゲーションペインで[構成]>[管理者]の順にクリックし,中央ペインの上部の[管理者]タブをクリックします。
- 管理者を作成するには,[操作]ペインの[管理者の作成]をクリックします。ユーザーアカウント名を入力するか参照し,スコープを選択または作成して,役割を選択します。新しい管理者はデフォルトで有効になりますが,無効にすることもできます。
- 管理者をコピーするには,中央ペインで管理者を选択し,[操作]ペインの[管理者のコピー]をクリックします。ユーザーアカウント名を入力するか参照します。必要に応じて,スコープ/役割ペアを编集または削除したり,新しいペアを追加したりできます。新しい管理者はデフォルトで有效になりますが,无效にすることもできます。
- 管理者を编集するには,中央ペインで管理者を选択し,[操作]ペインの[管理者の编集]をクリックします。必要に応じて,スコープ/役割ペアを编集または削除したり,新しいペアを追加したりできます。
- 管理者を削除するには,中央ペインで管理者を选択し,[操作]ペインの[管理者の削除]をクリックします。完全な管理権限を持つ管理者が1人しかいない环境では,その管理者を削除することはできません。
役割の作成と管理
役割には,64文字までのUnicode的文字で名前を付けることができますただし,バックスラッシュ(\),スラッシュ(/),セミコロン(;),コロン(:),番号记号(#),コンマ(,),アスタリスク(*),疑问符(),等号(=),小なり记号(<),大なり记号(>),パイプ(|),角かっこ([]),丸かっこ(())、二重引用符(”)、およびアポストロフィ(’)は使用できません。説明には、256文字までのUnicode文字を入力できます。
组み込みの役割を编集または削除することはできません。いずれかの管理者が使用しているカスタムの役割は削除できません。
注:カスタムの役割を作成するには,特定の製品エディションが必要です。カスタムの役割をサポートしないエディションでは,[操作]ペインに関連エントリが表示されません。
役割を管理するには,工作室のナビゲーションペインで[构成]> [管理者]の顺にクリックし,中央ペインの上部の[役割]タブをクリックします。
- 役割の详细を表示するには,中央ペインでその役割を选択します。中央ペインの下部に,その役割のオブジェクトの种类および许可される権限が表示されます。ここで[管理者]タブをクリックすると,その役割が割り当てられている管理者が表示されます。
- カスタムの役割を作成するには,[操作]ペインの[役割の作成]をクリックします。名前と説明を入力します。この役割に割り当てるオブジェクトの種類と権限を選択します。
- 役割をコピーするには,中央ペインで役割を选択し,[操作]ペインの[役割のコピー]をクリックします。必要に応じて,役割の名前,说明,および権限を変更します。
- カスタムの役割を编集するには,中央ペインで役割を选択し,[操作]ペインの[役割の编集]をクリックします。必要に応じて,役割の名前,说明,および権限を変更します。
- カスタムの役割を削除するには,中央ペインで役割を選択し,[操作]ペインの[役割の削除]をクリックします。確認のメッセージが表示されたら,[削除]をクリックします。
スコープの作成と管理
サイトを作成すると,[すべて]のスコープが使用可能になります。このスコープは削除できません。
スコープを作成するには,次の手顺を使用します。管理者を作成するときにスコープを作成することもできます。すべての管理者は,少なくとも1つの役割とスコープのペアが割り当てられている必要があります。デスクトップ,マシンカタログ,アプリケーション,またはホストを作成したり编集したりするときに,それらを既存のスコープに追加できます。ただし,特定のスコープに追加しない场合でも,自动的に[すべて]のスコープに追加されます。
サイトの作成および委任管理オブジェクト(スコープおよび役割)をスコープに含めることはできません。ただし,スコープに含めることができないオブジェクトも[すべて]のスコープには含まれています。すべての管理タスクの実行権限を持つ管理者には,常に[すべて]のスコープが割り当てられます。マシン,電源操作,デスクトップ,およびセッションはスコープに含まれません。これらのオブジェクトに対する管理者は,マシンカタログまたはデリバリーグループで割り当てることができます。
スコープには64文字までのUnicode文字で名前を付けることができます。ただし,バックスラッシュ(\),スラッシュ(/),セミコロン(,),コロン(:),番号記号(#),コンマ(,),アスタリスク(*),疑問符(?),等号(=),小なり記号(<),大なり記号(>),パイプ(|),角かっこ([]),丸かっこ(()),二重引用符(“),およびアポストロフィ(')は使用できません。説明には256文字までのUnicode文字を入力できます。
スコープをコピーまたは编集するときにオブジェクトをスコープから削除すると,管理者がそのオブジェクトにアクセスできなくなる可能性があることに注意してください。编集するスコープにいくつかの役割が关连付けられている场合は,编集によりスコープと役割のペアが使用できなくならないかどうかを确认してください。
スコープを管理するには,工作室のナビゲーションペインで[构成]> [管理者]の顺にクリックし,中央ペインの上部の[スコープ]タブをクリックします。
- スコープを作成するには,[操作]ペインの[スコープの作成]をクリックします。名前と说明を入力します。オブジェクトの种类([デリバリーグループ]チェックボックスなど)を选択すると,その种类のすべてのオブジェクトがスコープに追加されます。特定のオブジェクトを追加するには,オブジェクトの种类を开き,个々のオブジェクトを选択します(営业部で使用される特定のデリバリーグループを选択する场合など)。
- スコープをコピーするには,中央ペインでスコープを选択し,[操作]ペインの[スコープのコピー]をクリックします。名前と说明を入力します。必要に応じて,オブジェクトの种类とオブジェクトを変更します。
- スコープを編集するには,中央ペインでスコープを選択し,[操作]ペインの[スコープの編集]をクリックします。必要に応じて,名前,説明,オブジェクトの種類,およびオブジェクトを変更します。
- スコープを削除するには,中央ペインでスコープを选択し,[操作]ペインの[スコープの削除]をクリックします。确认のメッセージが表示されたら,[削除]をクリックします。
レポートの作成
2次の種類の委任管理レポートを作成できます。
管理者に関連付けられているスコープ/役割ペアと各種類のオブジェクト(デリバリーグループ,マシンカタログなど)に対する個々の権限の一覧についてのHTMLレポート。工作室で生成できます。
このレポートを作成するには,ナビゲーションペインで[构成]> [管理者]の顺に选択します。中央ペインで管理者を选択し,操作ペインで[レポートの作成]をクリックします。
このレポートは,管理者の作成,コピー,および編集時に作成することもできます。
组み込みおよびカスタムの役割とそれらに关连付けられた権限を一覧表示するHTMLまたはCSVレポート。このレポートは,PowerShell的スクリプトOutputPermissionMapping.ps1を実行して生成します。
このスクリプトを実行するには,すべての管理権限を実行できる管理者,読み取り専用管理者,または役割の読み取り権限を持つ管理者である必要があります。このスクリプトは,程序文件\ Citrix \ DelegatedAdmin \ SnapIn \ Citrix.DelegatedAdmin.Admin.V1 \ Scripts \にインストールされています。
構文:
OutputPermissionMapping.ps1 [-Help] [-CSV] [-Path <字符串>] [-AdminAddress <字符串>] [-Show] [
] パラメーター 説明 -帮助 スクリプトのヘルプを表示します。 -csv CSVレポートを作成しますデフォルト値:HTML 路径<字符串> 出力先を指定しますデフォルト値:标准输出 -AdminAddress <字符串> 接続先の交付控制器のIPアドレスまたはホスト名を指定しますデフォルト値:本地主机 -展示 (-Pathパラメーターを指定した场合のみ有效)ファイルに出力する场合に-Showを指定すると,レポートが适切なアプリケーションプログラム(网络ブラウザーなど)で表示されます。 < CommonParameters > 冗长,调试、ErrorAction ErrorVariable、WarningAction WarningVariable, OutBuffer,およびOutVariable。詳しくは,微软社のドキュメントを参照してください。
次の例では,Roles.htmlという名前のファイルにHTMLテーブルが出力され,网络ブラウザーで表示されます。
&“env美元:ProgramFiles \ Citrix \ DelegatedAdmin \ \ OutputPermissionMapping SnapIn \ Citrix.DelegatedAdmin.Admin.V1 \脚本。ps1" -Path Roles.html -Show 次の例では,Roles.csvという名前のファイルにCSVテーブルが出力されます。このテーブルは自动的には表示されません。
&“env美元:ProgramFiles \ Citrix \ DelegatedAdmin \ \ OutputPermissionMapping SnapIn \ Citrix.DelegatedAdmin.Admin.V1 \脚本。ps1" -CSV -Path Roles.csv 窗户上の例をコマンドプロンプトから実行する場合は,次のコマンドを実行します:
powershell -command "& '%ProgramFiles%\Citrix\DelegatedAdmin\SnapIn\ Citrix.DelegatedAdmin. admin . v1 \Scripts\OutputPermissionMapping。ps1' -CSV -Path Roles.csv"