用户帐户、角色和注册

您可以在终端管理控制台的管理选项卡和设置页面上执行用户配置任务。除非另有说明，否则本文提供完成以下任务的步骤。

• 注册安全模式和邀请
  • 从设置 > 注册，配置最多七种注册安全模式并发送注册邀请。每种注册安全模式都有自己的安全级别和用户注册设备所必须采取的步骤数。
• 用户帐户和组的角色
  • 从设置 > 基于角色的访问控制，向用户和组分配预定义角色或权限集合。这些权限控制用户对系统功能的访问级别。有关详细信息，请参阅使用rbac配置角色。
  • 从设置 > 通知模板，创建或更新用于自动化操作、注册和发送给用户的标准通知消息的通知模板。配置通知模板以通过三种不同的通道发送消息:安全集线器，SMTP或SMS。有关更多信息，请参阅：创建和更新通知模板。
• 用户帐户和组：

  • 从管理 > 用户中，手动添加用户帐户或使用.csv预配文件导入帐户并管理本地组。但是、大多数端点管理部署都连接到LDAP以获取用户和组信息。在以下用例中，您可能希望在本地创建用户帐户：

    • 在零售等环境中，设备是共用的，而不是由单个用户专用。
    • 如果您使用不受支持的目录，例如Novell eDirectory。

  • 从设置 > 工作流，使用工作流对用户帐户的创建和删除进行管理。

关于用户帐户

端点管理用户帐户适用于本地，活动目录或云用户。

• 云用户：云用户是Citrix云在将管理员添加到您的Citrix云客户帐户时创建的特殊用户帐户。云用户帐户使用与Citrix Cloud上的管理员帐户相同的用户名，并且默认为管理员角色。云用户帐户提供单点登录并执行其他管理功能。

  若要向Citrix Cloud帐户添加管理员，请参见邀请新管理员．

对于云用户：

• 您可以通过Citrix Cloud控制台更改云用户的角色和用户属性。请参阅管理Citrix Cloud管理员。
• 要更改密码，请参阅管理员。
• 要删除云用户，请在Citrix Cloud中转到身份和访问管理 > 管理员。单击用户行末尾的省略号，然后选择删除管理员。
• 您无法将云用户添加到本地组。

配置注册安全模式

您可以配置设备注册安全模式,以便在端点管理中为设备注册指定安全级别和通知模板。

端点管理提供六种注册安全模式,每种模式都有自己的安全级别以及用户注册设备必须采取的步骤。您可以从管理 > 注册邀请页面在终端管理控制台中配置注册安全模式。有关信息，请参阅注册邀请。

注意：

如果计划使用自定义通知模板，则必须先设置模板，然后再配置注册安全模式。有关通知模板的详细信息，请参阅创建或更新通知模板。

1. 在端点管理控制台上，单击控制台右上角的齿轮图标。此时将显示设置页面。

2. 单击注册。此时将显示注册页面，其中包含所有可用注册安全模式的表格。默认情况下，启用所有注册安全模式。

3. 在列表中选择任何注册安全模式以对其进行编辑。然后，将模式设置为默认模式或禁用该模式。

   选中注册安全模式旁边的复选框以查看选项菜单。或者，单击列表中的其他任意位置可查看列表右侧的选项菜单。

   提示：

   编辑注册安全模式时，可以指定过期截止日期，在截止日期之后，用户将无法注册其设备。有关信息，请参阅本文中的编辑注册安全模式。此值显示在用户和组注册邀请配置页面。

   

   根据您的平台，您可以选择以下注册安全模式：

   • 用户名 + 密码
   • 邀请url
   • 邀请url + pin
   • 邀请url +密码
   • 双重
   • 用户名+ pin

   有关特定于平台的注册安全模式的信息，请参阅各平台的注册安全模式。

   可以将注册邀请用作限制为特定用户或组注册的功能的有效方式。要发送注册邀请，只能使用邀请url、邀请url + pin或邀请url +密码注册安全模式。对于使用用户名 + 密码、双重身份验证或用户名+ pin注册的设备，用户必须在安全集线器中手动输入其凭据。

   您可以使用一次性pin(有时又称为otp)注册邀请作为双重身份验证解决方案。一次性pin码注册邀请控制用户可以注册的设备数量。OTP邀请不适用于Windows设备。

编辑注册安全模式

1. 在注册列表中，选择注册安全模式，然后单击编辑。此时将显示编辑注册模式页面。根据所选择的模式，您可能会看到不同的选项。

   

2. 适当更改以下信息：

   • 此时间后过期：键入过期期限，过了此期限后用户将无法注册其设备。此值显示在用户和组注册邀请配置页面。

     键入0可防止邀请过期。

   • 天：在列表中，单击天或小时，对应于您在此时间后过期中输入的过期期限。

   • 最大尝试次数：键入用户可以尝试注册的次数，超出此次数后用户将被锁定，无法进行注册过程。此值显示在用户和组注册邀请配置页面。

     键入0表示尝试次数不受限制。

   • Pin长度:键入用于设置生成的pin码的长度的数字。

   • 数字：在列表中，单击数字或字母数字以选择pin码类型。

   • 通知模板：

     • 注册url模板:在列表中，单击用于注册url的模板。例如，注册邀请模板向用户发送电子邮件或短信。方法取决于您是如何配置用于允许用户在终端管理中注册其设备的模板。有关通知模板的详细信息，请参阅创建或更新通知模板。
     • 注册pin模板:在列表中，单击用于注册pin的模板。
     • 注册确认模板：在列表中，单击用于向用户通知已成功注册的模板。

3. 单击保存。

将注册安全模式设为默认模式

除非您选择不同的注册安全模式，否则默认注册安全模式用于所有设备注册请求。如果没有将注册安全模式设置为默认模式，则必须为每个设备注册创建注册请求。

1. 如果未启用要用作默认值的注册安全模式，请选择它并单击启用。唯一可以用作默认的注册安全模式是用户名 + 密码、双因素或用户名+ pin码。

2. 选择注册安全模式，然后单击默认。所选模式现已成为默认模式。如果将任何其他注册安全模式设为默认模式，此模式将不再作为默认模式。

禁用注册安全模式

禁用注册安全模式将使此模式不可供用户使用，既不可用于组注册邀请，也不可在自助服务门户中提供。您可以通过禁用一种注册安全模式并启用另一种注册安全模式来更改允许用户注册设备的方式

1. 选择注册安全模式。

   不能禁用默认注册安全模式。如果要禁用默认注册安全模式，必须首先删除其默认状态。

2. 单击禁用。注册安全模式不再处于启用状态。

添加、编辑、解锁或删除本地用户帐户

可以手动向端点管理中添加本地用户帐户,也可以使用预配文件导入帐户。有关从置备文件导入用户帐户的步骤，请参阅导入用户帐户。

所有Citrix云管理员都是作为端点管理管理员创建的。如果创建具有自定义访问权限的Citrix云管理员,请确保访问包括端点管理。有关添加Citrix Cloud管理员的信息，请参阅添加管理员。

1. 在端点管理控制台中，单击管理 > 用户。此时将显示用户页面。

   

2. 单击显示过滤器以过滤列表。

添加本地用户帐户

1. 在用户页面上，单击添加本地用户。此时将显示添加本地用户页面。

   

2. 配置以下设置：

   • 用户名：键入名称，这是必填字段。您可以在名称中包括以下内容：空格、大写字母和小写字母。
   • 密码：键入可选用户密码。密码的长度至少为 14 个字符，并且必须满足以下全部条件：
     • 至少包含两个数字
     • 至少包含一个大写字母和一个小写字母
     • 至少包含一个特殊字符
     • 不要包含字典单词或限制单词，例如Citrix用户名或电子邮件地址。
     • 不要包含三个以上的连续字符和重复字符或键盘模式，例如1111,1234或asdf
   • 角色：在列表中，单击用户角色。有关角色的更多信息，请参阅使用rbac配置角色。可能的选项包括：
     • 管理
     • DEVICE_PROVISIONING
     • 支持
     • 用户
   • 成员身份：在列表中，单击要添加此用户的一个或多个组。
   • 用户属性：添加可选用户属性。对于要添加的每个用户属性，单击添加，然后执行以下操作：
     • 用户属性：在列表中，单击某个属性，然后在该属性旁边的字段中键入用户属性。
     • 单击完成保存用户属性或单击取消。

   要删除现有用户属性，请将鼠标悬停在包含该属性的行上方，然后单击右侧的X。属性立即被删除。

   要编辑现有用户属性，请单击属性并进行更改。单击完成保存更改后的列表，或者单击取消保留列表不变。

3. 单击保存。创建用户后，本地用户帐户的用户类型字段将保留为空。

编辑本地用户帐户

1. 在用户页面上的用户列表中，通过单击选择某个用户，然后单击编辑。此时将显示编辑本地用户页面。

   

2. 适当更改以下信息：

   • 用户名：无法更改用户名。
   • 密码：更改或添加用户密码。
   • 角色：在列表中，单击用户角色。
   • 成员身份：在列表中，单击要添加或编辑用户帐户的一个或多个组。要从组中删除用户帐户，请取消选中组名称旁边的复选框。
   • 用户属性：请执行以下操作之一：
     • 对于您要更改的各个用户属性，请单击属性并进行更改。单击完成保存更改后的列表，或者单击取消保留列表不变。
     • 对于要添加的每个用户属性，单击添加，然后执行以下操作：
       • 用户属性：在列表中，单击某个属性，然后在该属性旁边的字段中键入用户属性。
       • 单击完成保存用户属性或单击取消。
     • 对于要删除的每个现有用户属性，请将鼠标悬停在包含此属性的行上，然后单击右侧的X。属性立即被删除。

3. 单击保存以保存您所做的更改，或者单击取消保留用户不变。

解锁本地用户帐户

根据以下服务器属性，本地用户帐户被锁定：

• local.user.account.lockout.time

• local.user.account.lockout.limit

  有关详细信息，请参阅服务器属性定义。

当本地用户帐户被锁定时，您可以从端点管理控制台解锁该帐户。

1. 在用户页面上的用户帐户列表中，通过单击选择某个用户帐户。

2. 单击解锁用户。此时将显示确认对话框。

3. 单击解锁以解锁用户帐户，或者单击取消保持用户不变。

无法从终端管理控制台解锁活动目录用户。锁定的Active Directory用户必须联系其Active Directory技术支持重置密码。

删除本地用户帐户

1. 在用户页面上的用户帐户列表中，通过单击选择某个用户帐户。

   可以通过选中每个用户帐户旁边的复选框，选择多个要删除的用户帐户。

2. 单击删除。此时将显示确认对话框。

3. 单击删除以删除用户帐户或单击取消。

删除活动目录用户

要一次删除一个或多个活动目录用户，请选择这些用户，然后单击删除。

如果要删除的用户具有已注册的设备，而您希望重新注册这些设备，请先删除这些设备，然后再重新注册。要删除某个设备，请转至管理 > 设备，选择该设备，然后单击删除。

导入用户帐户

您可以从称为预配文件的.csv文件导入本地用户帐户和属性，该文件可以手动创建。有关设置预配文件格式的详细信息，请参阅预配文件的格式。

注意：

• 对于本地用户，请使用域名以及导入文件中的用户名。例如，指定username@domain。如果在端点管理中将创建或导入的本地用户用于托管域,则用户无法使用对应的LDAP凭据进行注册。
• 如果将用户帐户导入到端点管理内部用户目录,请禁用默认域以加快导入过程的速度。请注意，禁用域会影响注册。您可以在内部用户导入完成后重新启用默认域。
• 本地用户可以采用用户主体名称(upn)格式。但是，Citrix建议您不要使用托管域。例如,如果example.com处于托管状态,请勿使用以下UPN格式创建本地用户:user@example.com。

准备好预配文件后，请按照以下步骤将此文件导入到端点管理中。

1. 在端点管理控制台中，单击管理 > 用户。此时将显示用户页面。

2. 单击导入本地用户。此时将显示导入预配文件对话框。

   

3. 对于要导入的预配文件的格式，选择用户或属性。

4. 通过单击浏览并导航到要使用的预配文件所在位置，选择此文件。

5. 单击导入。

预配文件的格式

可以创建预配文件，并用其将用户帐户和属性导入端点管理。对预配文件使用以下格式之一：

• 用户置备文件字段：用户、密码、角色;group1 group2
• 用户属性置备文件字段：用户;propertyName1 propertyValue1; propertyName2 propertyValue2

注意：

• 使用分号 (;) 分隔预配文件中的字段。如果某个字段的某一部分包含分号，请使用反斜杠字符 () 进行转义。例如，在预配文件中，按照propertyV;测试;1;2格式键入属性propertyV;测试;1;2。
• 角色的有效值为预定义的角色用户、管理、支持和DEVICE_PROVISIONING以及您定义的任何其他角色。
• 使用句点字符 (.) 作为分隔符来创建组层次结构。请勿在组名称中使用句点。
• 属性预配文件中的属性使用小写。数据库区分大小写。

用户预配内容示例

条目用户user01; pwd \ \ o1;; myGroup.users01; myGroup.users02; myGroup.users.users01表示：

• 用户：user01
• 密码：pwd;01
• 角色：用户
• 组：
  • myGroup.users01
  • myGroup.users02
  • myGroup.users.users.users01

另一个示例AUser0; 1.密码;用户;ActiveDirectory.test.net表示：

• 用户：AUser0
• 密码：1.密码
• 角色：用户
• 组：ActiveDirectory.test.net

用户属性预配内容示例

条目user01;propertyN;propertyV\;test\;1\;2表示：

• 用户：user01
• 属性 1
  • 名称：propertyN
  • 值：propertyV;测试;1;2
• 属性 2：
  • 名称：支持2
  • 值：prop2价值

添加或删除组

在终端管理控制台中的以下页面上的管理组对话框中管理组：用户、添加本地用户或编辑本地用户。没用组编辑命令。

添加本地组

1. 执行以下操作之一：

   • 在用户页面上，单击管理本地组。

   

   • 在添加本地用户页面或编辑本地用户页面上，单击管理组。

   

   此时将显示管理组对话框。

   

2. 在组列表下方，键入组名称，然后单击加号 (+)。用户组已添加到列表中。

3. 单击关闭。

删除组

删除组不会影响用户帐户。相反，删除组将仅删除用户与该组的关联。用户还会丧失该组关联的交付组提供的应用程序或配置文件的访问权限。但是，任何其他组关联仍保持不变。如果用户不与任何其他本地组关联，这些用户将在顶层关联。

1. 执行以下操作之一：

   • 在用户页面上，单击管理本地组。
   • 在添加本地用户页面或编辑本地用户页面上，单击管理组。

   此时将显示管理组对话框。

   

2. 在管理组对话框上，单击要删除的组。

3. 单击组名称右侧的垃圾桶图标。此时将显示确认对话框。

4. 单击删除以确认操作并删除该组。

   重要：

   此操作无法撤消。

5. 在管理组对话框上，单击关闭。

创建和管理工作流

可以使用工作流对用户帐户的创建和删除进行管理。应先确定组织中有权批准用户帐户请求的人员，才能创建工作流。然后，使用工作流模板创建和批准用户帐户请求。

首次设置端点管理时,要配置工作流电子邮件设置,您必须先配置此设置才能使用工作流。随时可以更改工作流电子邮件设置。这些设置包括电子邮件服务器、端口、电子邮件地址以及创建用户帐户的请求是否需要进行审批。

可以在终端管理中的两个位置配置工作流:

• 在终端管理控制台的设置 > 工作流页面中。在工作流页面上，可以配置多个用于应用程序配置的工作流。在“工作流”页面上配置工作流时，可以在配置应用程序时选择工作流。
• 配置应用程序连接器时，请在应用程序中提供工作流名称，然后配置审批用户帐户请求的人员。请参阅添加应用。

可以为用户帐户分配最多三个经理审批级别。如果需要其他人员批准用户帐户，可以使用其姓名或电子邮件地址搜索和选择这些人员。端点管理找到相应的人员时，您可以将其添加到工作流中。工作流中的所有人员都将收到电子邮件，以批准或拒绝新用户帐户。

1. 在端点管理控制台中，单击控制台右上角的齿轮图标。此时将显示设置页面。

2. 单击工作流。此时将显示工作流页面。

3. 单击添加。此时将显示添加工作流页面。

   

4. 配置以下设置：

   • 名称：键入工作流的唯一名称。
   • 说明：（可选）键入工作流的说明。
   • 电子邮件审批模板：在列表中，选择要指定的电子邮件审批模板。在Endpoint Management 控制台中设置下方的通知模板部分创建电子邮件模板。单击此字段右侧的眼睛图标，即可预览正在配置的模板。
   • 经理审批级别：在列表中，选择此工作流所需的经理审批级别数。默认值为1 级。可能的选项包括：
     • 不需要
     • 1 级
     • 2 级
     • 3 级
   • 选择Active Directory域:在列表中，选择用于工作流的合适活动目录域。
   • 查找所需的其他审批者：在搜索字段中键入姓名，然后单击搜索。源于活动目录的姓名。
   • 姓名显示在此字段中后，选中姓名旁边的复选框。姓名和电子邮件地址显示在选定的其他所需审批者列表中。
     • 要从列表中删除某个姓名，请执行以下操作之一：
       • 单击搜索以查找选定域中的所有人员列表。
       • 在搜索框中键入完整姓名或部分姓名，然后单击搜索以限制搜索结果。
       • 在搜索结果列表中，选定的其他所需审批者列表中的人员姓名旁边有一个复选标记。滚动列表，并取消选中要删除的各个姓名旁边的复选框。

5. 单击保存。已创建的工作流显示在工作流页面上。

创建工作流后，您可以查看工作流详细信息，查看与工作流相关的应用程序，或者删除工作流。工作流创建后无法进行编辑。如果需要使用不同审批级别或审批者的工作流，请创建另一个工作流。

查看详细信息和删除工作流

1. 在工作流页面上的现有工作流列表中，选择一个特定的工作流。为此，请单击列表中的行，或者选中工作流旁边的复选框。

2. 要删除工作流，请单击删除。此时将显示确认对话框。再次单击删除。

   重要：

   此操作无法撤消。