-
-
-
-
Configurar permisos para VDA anteriores a XenDesktop 7
-
Solucionar problemas de usuarios
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
Configurar permisos para VDA anteriores a XenDesktop 7
Si los usuarios tienen agentes VDA anteriores a XenDesktop 7, Director complementa la información de la implementación con estados y métricas en tiempo real a través de la Administración remota de Windows (WinRM).
Además, use este procedimiento para configurar WinRM para su uso con Remote PC en XenDesktop 5.6 Feature Pack 1.
De forma predeterminada, solo los administradores locales de la máquina de escritorio (por lo general, los administradores de dominio y otros usuarios con privilegios) tienen los permisos necesarios para ver los datos en tiempo real.
Para obtener más información acerca de la instalación y la configuración de WinRM, consulte CTX125243.
Para permitir que otros usuarios vean los datos en tiempo real, debe concederles permisos. Por ejemplo, supongamos que hay varios usuarios de Director (HelpDeskUserA, HelpDeskUserB, etc.) que son miembros de un grupo de seguridad de Active Directory denominado HelpDeskUsers. Al grupo se le ha asignado el rol de administrador del servicio de asistencia de Studio, por lo que los miembros obtienen los permisos necesarios de Delivery Controller. Sin embargo, el grupo necesita además obtener acceso a la información desde la máquina de escritorio.
Para otorgar el acceso necesario, puede configurar los permisos requeridos mediante uno de los siguientes métodos:
- Conceder permisos a los usuarios de Director (modelo de suplantación)
- Conceder permisos al servicio de Director (modelo de subsistema de confianza)
Para conceder permisos a los usuarios de Director (modelo de suplantación)
De forma predeterminada, Director utiliza un modelo de suplantación: la conexión de WinRM con la máquina de escritorio se realiza mediante la identidad del usuario de Director. De este modo, el usuario debe tener los permisos correspondientes en el escritorio.
Puede configurar estos permisos de dos formas distintas (descritas más adelante en este documento):
- Agregar usuarios al grupo de administradores local en la máquina de escritorio.
- Conceder a los usuarios los permisos específicos requeridos por Director. Esta opción impide conceder permisos administrativos completos en la máquina a los usuarios de Director (por ejemplo, el grupo HelpDeskUsers).
Para conceder permisos al servicio de Director (modelo de subsistema de confianza)
En lugar de proporcionar a los usuarios de Director permisos en las máquinas de escritorio, puede configurar Director para que realice las conexiones de WinRM mediante una identidad de servicio y que conceda los permisos adecuados solo a esa identidad de servicio.
Con este modelo, los usuarios de Director no tienen permisos para realizar llamadas de WinRM por sí mismos. Solo pueden obtener acceso a los datos mediante Director.
El grupo de aplicaciones Director en IIS está configurado para que se ejecute como la identidad de servicio. De forma predeterminada, esta es la cuenta virtual APPPOOL\Director. Cuando establece conexiones remotas, esta cuenta aparece como la cuenta del equipo de Active Directory del servidor, por ejemplo, MyDomain\DirectorServer$. Debe configurar esta cuenta con los permisos adecuados.
Si se implementan varios sitios web de Director, debe colocar cada cuenta de equipo del servidor Web en un grupo de seguridad de Active Directory configurado con los permisos adecuados.
Para configurar Director de modo que utilice la identidad de servicio para WinRM en lugar de la identidad del usuario, configure el siguiente parámetro como se describe en Configuración avanzada:
Service.Connector.WinRM.Identity = Service
<!--NeedCopy-->
Puede configurar estos permisos de una de las siguientes maneras:
- Agregar la cuenta del servicio al grupo de administradores local en la máquina de escritorio.
- Conceda a la cuenta de servicio los permisos específicos requeridos por Director (descritos a continuación). Esta opción impide conceder permisos administrativos completos a la cuenta de servicio en la máquina.
Para asignar permisos a un usuario o grupo específico
Los siguientes permisos son obligatorios para que Director acceda a la información que requiere desde la máquina de escritorio a través de WinRM:
- Permisos de lectura y ejecución en RootSDDL de WinRM
- Permisos de espacio de nombres WMI:
- root/cimv2: acceso remoto
- root/citrix: acceso remoto
- root/RSOP: acceso remoto y ejecución
- Pertenencia a estos grupos locales:
- Usuarios de Performance Monitor
- Lectores de registros de sucesos
La herramienta ConfigRemoteMgmt.exe se utiliza para conceder automáticamente estos permisos. En los medios de instalación, se encuentra en las carpetas x86\Virtual Desktop Agent y x64\Virtual Desktop Agent, así como en la carpeta C:\inetpub\wwwroot\Director\tools de los medios de instalación. Debe conceder permisos a todos los usuarios de Director.
Para conceder permisos a un grupo de seguridad, usuario o cuenta de equipo de Active Directory, o para acciones como Finalizar aplicación y Finalizar proceso, ejecute la herramienta con privilegios administrativos desde un símbolo del sistema con los siguientes argumentos:
ConfigRemoteMgmt.exe /configwinrmuser domain\name
<!--NeedCopy-->
donde “name” es un grupo de seguridad, usuario o cuenta de equipo.
Para conceder los permisos necesarios a un grupo de seguridad de usuarios:
ConfigRemoteMgmt.exe /configwinrmuser domain\HelpDeskUsers
<!--NeedCopy-->
Para conceder los permisos a una cuenta de equipo específica:
ConfigRemoteMgmt.exe /configwinrmuser domain\DirectorServer$
<!--NeedCopy-->
Para acciones de Finalizar proceso, Finalizar aplicación y Remedar:
ConfigRemoteMgmt.exe /configwinrmuser domain\name /all
<!--NeedCopy-->
Para conceder permisos a un grupo de usuarios:
ConfigRemoteMgmt.exe /configwinrmuser domain\HelpDeskUsers /all
<!--NeedCopy-->
Para mostrar la ayuda de la herramienta:
ConfigRemoteMgmt.exe
<!--NeedCopy-->
Compartir
Compartir
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.