-
-
-
-
Configurar permisos para VDA anteriores a XenDesktop 7
-
Solucionar problemas de usuario
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
Configurar permisos para VDA anteriores a XenDesktop® 7
Si los usuarios tienen VDA anteriores a XenDesktop 7, Director complementa la información de la implementación con el estado y las métricas en tiempo real a través de Windows Remote Management (WinRM).
Además, utilice este procedimiento para configurar WinRM para su uso con Remote PC en XenDesktop 5.6 Feature Pack1.
De forma predeterminada, solo los administradores locales de la máquina de escritorio (normalmente administradores de dominio y otros usuarios con privilegios) tienen los permisos necesarios para ver los datos en tiempo real.
Para obtener información sobre la instalación y configuración de WinRM, consulte CTX125243.
Para permitir que otros usuarios vean los datos en tiempo real, debe concederles permisos. Por ejemplo, supongamos que hay varios usuarios de Director (HelpDeskUserA, HelpDeskUserB, etc.) que son miembros de un grupo de seguridad de Active Directory llamado HelpDeskUsers. Al grupo se le ha asignado el rol de administrador de Help Desk en Studio, lo que les proporciona los permisos de Delivery Controller™ necesarios. Sin embargo, el grupo también necesita acceso a la información de la máquina de escritorio.
Para proporcionar el acceso necesario, puede configurar los permisos requeridos de una de estas dos maneras:
- Conceder permisos a los usuarios de Director (modelo de suplantación)
- Conceder permisos al servicio de Director (modelo de subsistema de confianza)
Para conceder permisos a los usuarios de Director (modelo de suplantación)
De forma predeterminada, Director utiliza un modelo de suplantación: la conexión WinRM a la máquina de escritorio se realiza utilizando la identidad del usuario de Director. Por lo tanto, es el usuario quien debe tener los permisos adecuados en el escritorio.
Puede configurar estos permisos de una de estas dos maneras (descritas más adelante en este documento):
- Agregar usuarios al grupo de administradores locales en la máquina de escritorio.
- Conceder a los usuarios los permisos específicos requeridos por Director. Esta opción evita otorgar a los usuarios de Director (por ejemplo, el grupo HelpDeskUsers) permisos administrativos completos en la máquina.
Para conceder permisos al servicio de Director (modelo de subsistema de confianza)
En lugar de proporcionar a los usuarios de Director permisos en las máquinas de escritorio, puede configurar Director para que realice conexiones WinRM utilizando una identidad de servicio y conceder solo a esa identidad de servicio los permisos adecuados.
Con este modelo, los usuarios de Director no tienen permisos para realizar llamadas WinRM por sí mismos. Solo pueden acceder a los datos mediante Director.
El grupo de aplicaciones de Director en IIS está configurado para ejecutarse como la identidad de servicio. De forma predeterminada, esta es la cuenta virtual APPPOOL\Director. Al realizar conexiones remotas, esta cuenta aparece como la cuenta de equipo de Active Directory del servidor; por ejemplo, MyDomain\DirectorServer$. Debe configurar esta cuenta con los permisos adecuados.
Si se implementan varios sitios web de Director, debe colocar la cuenta de equipo de cada servidor web en un grupo de seguridad de Active Directory que esté configurado con los permisos adecuados.
Para configurar Director para que use la identidad de servicio para WinRM en lugar de la identidad del usuario, configure la siguiente opción, como se describe en Configuración avanzada:
Service.Connector.WinRM.Identity = Service
<!--NeedCopy-->
Puede configurar estos permisos de dos maneras:
- Agregue la cuenta de servicio al grupo de administradores local en la máquina de escritorio.
- Conceda a la cuenta de servicio los permisos específicos requeridos por Director (que se describen a continuación). Esta opción evita otorgar a la cuenta de servicio permisos administrativos completos en la máquina.
Para asignar permisos a un usuario o grupo específico
Se requieren los siguientes permisos para que Director acceda a la información que necesita de la máquina de escritorio a través de WinRM:
- Permisos de lectura y ejecución en el WinRM RootSDDL
- Permisos de espacio de nombres WMI:
- root/cimv2 - acceso remoto
- root/citrix - acceso remoto
- root/RSOP - acceso remoto y ejecución
- Pertenencia a estos grupos locales:
- Usuarios del Monitor de Rendimiento
- Lectores de Registros de Eventos
La herramienta ConfigRemoteMgmt.exe, que se utiliza para conceder automáticamente estos permisos, se encuentra en el medio de instalación, en las carpetas x86\Virtual Desktop Agent y x64\Virtual Desktop Agent, y en la carpeta C:\inetpub\wwwroot\Director\tools. Debe conceder permisos a todos los usuarios de Director.
Para conceder los permisos a un grupo de seguridad de Active Directory, a un usuario o a una cuenta de equipo, o para acciones como Finalizar aplicación y Finalizar proceso, ejecute la herramienta con privilegios administrativos desde un símbolo del sistema utilizando los siguientes argumentos:
ConfigRemoteMgmt.exe /configwinrmuser domain\name
<!--NeedCopy-->
donde nombre es un grupo de seguridad, un usuario o una cuenta de equipo.
Para conceder los permisos necesarios a un grupo de seguridad de usuarios:
ConfigRemoteMgmt.exe /configwinrmuser domain\HelpDeskUsers
<!--NeedCopy-->
Para conceder los permisos a una cuenta de equipo específica:
ConfigRemoteMgmt.exe /configwinrmuser domain\DirectorServer$
<!--NeedCopy-->
Para las acciones Finalizar proceso, Finalizar aplicación y Sombra:
ConfigRemoteMgmt.exe /configwinrmuser domain\name /all
<!--NeedCopy-->
Para conceder los permisos a un grupo de usuarios:
ConfigRemoteMgmt.exe /configwinrmuser domain\HelpDeskUsers /all
<!--NeedCopy-->
Para mostrar la ayuda de la herramienta:
ConfigRemoteMgmt.exe
<!--NeedCopy-->
Compartir
Compartir
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.