Citrix Provisioning 2112

Roles administrativos

El rol administrativo asignado a un grupo de usuarios determina la capacidad para ver y administrar objetos dentro de una implementación de servidor de Citrix Provisioning. Citrix Provisioning utiliza grupos que ya existen dentro de la red (grupos de Windows o de Active Directory). Todos los miembros de un grupo tienen los mismos privilegios administrativos dentro de una comunidad. Un administrador tiene varios roles si pertenece a más de un grupo.

Es posible asignar los siguientes roles administrativos a un grupo:

  • Farm administrator (Administrador de la comunidad)
  • Site administrator (Administrador del sitio)
  • Device administrator (Administrador de dispositivos)
  • Device operator (Operador de dispositivos)

Después de asignar un rol administrativo a un grupo mediante la consola de Citrix Provisioning, se requieren ciertos requisitos. Si un miembro de ese grupo intenta conectarse a otra comunidad de servidores, aparece un cuadro de diálogo en el que se solicita que identifique un servidor de aprovisionamiento de esa comunidad. Utilice las credenciales de Windows con las que inició la sesión actual (configuración predeterminada) o introduzca las credenciales de Active Directory. En Citrix Provisioning, no se admite el uso simultáneo de dominios y grupos de trabajo.

El rol asociado al grupo determina los privilegios administrativos dentro de esta comunidad de servidores. Las asignaciones de roles de grupo varían según la comunidad.

Gestionar administradores de la comunidad

Los administradores de la comunidad ven y administran todos los objetos de una comunidad, y también pueden crear sitios y administrar los miembros de roles en toda la comunidad. En la consola de Citrix Provisioning, los administradores de la comunidad realizan tareas al nivel de la comunidad.

Imagen de la arquitectura de la comunidad

La primera vez que se configura una comunidad con Configuration Wizard, se asigna automáticamente el rol Farm Administrator (Administrador de la comunidad) al administrador que crea la comunidad. Durante la configuración de la comunidad, ese administrador selecciona la opción para utilizar credenciales de Windows o de Active Directory en la autorización de usuarios dentro de la comunidad. Después de que un administrador ejecute el asistente Configuration Wizard, se pueden asignar más grupos al rol de administrador de la comunidad desde la consola.

Para asignar más administradores de la comunidad

  1. En la consola, haga clic con el botón secundario en la comunidad a la que asignar el rol de administrador y seleccione Properties. Aparecerá el cuadro de diálogo Farm Properties.
  2. En la ficha Groups, resalte todos los grupos a los que asignar los roles administrativos en esta comunidad y, a continuación, haga clic en Add.
  3. En la ficha Security, resalte todos los grupos a los que asignar el rol de administrador de la comunidad (Farm Administrator) y, a continuación, haga clic en Add.
  4. Haga clic en OK para cerrar el cuadro de diálogo.

Nota:

Se muestra el método de autorización para indicar si se utilizan credenciales de Windows o de Active Directory en la autorización de usuarios de esta comunidad. Los grupos de roles administrativos se limitan a los grupos del dominio nativo y a aquellos dominios que tengan una relación bidireccional de confianza con el dominio nativo.

Gestionar administradores del sitio

Los administradores del sitio disponen de un acceso administrativo completo a todos los objetos dentro de un sitio. Por ejemplo, el administrador de sitios administra servidores de aprovisionamiento, propiedades de los sitios, dispositivos de destino, colecciones de dispositivos, asignaciones de discos virtuales y agrupaciones de discos virtuales.

Imagen del sitio y las colecciones

Si un administrador de la comunidad asigna un sitio como el propietario de un almacén específico, el administrador del sitio también puede administrar ese almacén. La administración de un almacén incluye agregar y eliminar los discos virtuales que haya en un almacenamiento compartido o asignar servidores de aprovisionamiento al almacén. Asimismo, el administrador del sitio puede administrar miembros operadores y administradores de dispositivos.

Para asignar el rol de administrador del sitio a uno o varios grupos y sus miembros

  1. En la consola, haga clic con el botón secundario en el sitio al que asignar el rol de administrador y seleccione Properties. Aparecerá el cuadro de diálogo Site Properties.
  2. Haga clic en la ficha Security y, a continuación, en el botón Add. Aparecerá el cuadro de diálogo Add Security Group.
  3. En el menú, seleccione cada grupo que se va a asociar al rol de administrador del sitio y haga clic en OK.
  4. Puede repetir los pasos 2 y 3 para asignar más administradores del sitio.
  5. Haga clic en OK para cerrar el cuadro de diálogo.

Gestionar administradores de dispositivos

Los administradores de dispositivos administran las colecciones de dispositivos en las que tienen privilegios. Las tareas de administración incluyen asignar y quitar discos virtuales de un dispositivo, modificar las propiedades de un dispositivo y ver las propiedades de un disco virtual (solo lectura). Las colecciones de dispositivos se componen de una agrupación lógica de dispositivos. Por ejemplo, una colección de dispositivos puede representar una ubicación física, un intervalo de subredes o una agrupación lógica de dispositivos de destino. Un dispositivo de destino solamente puede pertenecer a una colección de dispositivos.

Para asignar el rol de administrador de dispositivos a uno o varios grupos y sus miembros

  1. En la consola, expanda el sitio donde reside la colección de dispositivos y, a continuación, expanda la carpeta Device Collections.
  2. Haga clic con el botón secundario en la colección de dispositivos a la que agregar administradores de dispositivos y, a continuación, seleccione Properties. Aparecerá el cuadro de diálogo Device Collection Properties.
  3. En la ficha Security, en la lista Groups with Device Administrator access, haga clic en Add. Aparecerá el cuadro de diálogo Add Security Group.
  4. Para asignar el rol de administrador de dispositivos a un grupo, seleccione cada grupo del sistema que necesite privilegios de administrador de dispositivos y, a continuación, haga clic en OK.
  5. Haga clic en OK para cerrar el cuadro de diálogo.

Gestionar operadores de dispositivos

Un operador de dispositivos dispone de privilegios de administrador para realizar las siguientes tareas en una colección de dispositivos sobre la que tiene privilegios:

  • Arrancar y reiniciar un dispositivo de destino
  • Apagar un dispositivo de destino

Para asignar el rol de operador de dispositivos a uno o varios grupos

  1. En la consola, expanda el sitio donde reside la colección de dispositivos y, a continuación, expanda la carpeta Device Collections.
  2. Haga clic con el botón secundario en la colección de dispositivos a la que agregar operadores de dispositivos y, a continuación, seleccione Properties. Aparecerá el cuadro de diálogo Device Collection Properties.
  3. En la ficha Security, en la lista Groups with Device Operator access, haga clic en Add. Aparecerá el cuadro de diálogo Add Security Group.
  4. Para asignar el rol de operador de dispositivos a un grupo, seleccione cada grupo del sistema que necesita privilegios de operador de dispositivos y, a continuación, haga clic en OK.
  5. Haga clic en OK para cerrar el cuadro de diálogo.

Modificar el enfoque de búsqueda para entornos de AD

En algunos entornos de AD que contienen configuraciones con grupos complejos anidados y dominios con muchas asociaciones de confianza, el método de búsqueda predeterminado puede no encontrar las pertenencias administrativas esperadas del usuario. Para resolver dichas situaciones, use un parámetro de Registro que permite cambiar el enfoque de búsqueda:

  1. En el parámetro de Registro, busque HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\ProvisioningServices.
  2. Cree un DWORD llamado “DomainSelectOption”.
  3. En DomainSelectOption DWORD, establezca uno de los siguientes valores (en formato decimal) para el enfoque de búsqueda pertinente:
  • 0: La búsqueda predeterminada. Este método busca en el dominio del usuario, seguido de los dominios del grupo administrativo.
  • 1: Buscar en el dominio del usuario y en el dominio de grupo administrativo, seguido de otros dominios de confianza dentro del dominio de un usuario.
  • 2: Obsoleto.
  • 3: Este método busca en el dominio del usuario, seguido de los dominios del grupo administrativo. Los grupos que se detectan se enumeran en el dominio principal.
  • 4: Buscar en el dominio del usuario y en el dominio de grupo administrativo, seguido de otros dominios de confianza dentro del dominio de un usuario. Los grupos que se detectan se enumeran en el dominio principal.
  • 5: Buscar la pertenencia a grupos del usuario en grupos de tokens del dominio del usuario y del dominio del grupo administrativo.
  • 6: Buscar la pertenencia a grupos del usuario en grupos de tokens del dominio del usuario y del dominio del grupo administrativo, seguido de otros dominios de confianza dentro del dominio de un usuario.
  • 7: Buscar la pertenencia a grupos del usuario directamente en los grupos de autorización.
  • 8: Buscar la pertenencia a grupos del usuario directamente como grupos “Miembro de”.

Acerca de los métodos de incorporación en lista de admitidos

Utilice la información de esta sección únicamente si es para diagnósticos. A veces, puede resultar útil especificar un dominio concreto para buscar un grupo de usuarios. Para realizar esta tarea, actualice el Registro y proporcione un archivo JSON para el dominio en lista de admitidos. Utilice solamente la opción de búsqueda predeterminada. Si proporciona un dominio en lista de bloqueados, se excluye de los dominios en lista de admitidos. No se produce ninguna búsqueda cuando la lista final está vacía.

En el Registro:

  1. Busque HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\ProvisioningServices.
  2. Cree una entrada DWORD WhitelistOnly. Establezca el valor en 1 para habilitar la búsqueda en listas de admitidos.
Roles administrativos