Documentación de productos
XenApp and XenDesktop
7.15 LTSR
Ver PDF

Administración delegada

May 20, 2026
Contribución de: 
C C

El modelo de Administración delegada ofrece la flexibilidad necesaria para que su organización delegue las actividades de administración, utilizando un control basado en roles y objetos. La Administración delegada se adapta a implementaciones de todos los tamaños y le permite configurar una mayor granularidad de permisos a medida que su implementación crece en complejidad. La Administración delegada utiliza tres conceptos: administradores, roles y ámbitos.

  • Administradores — Un administrador representa a una persona individual o a un grupo de personas identificadas por su cuenta de Active Directory. Cada administrador está asociado a uno o varios pares de rol y ámbito.

  • Roles — Un rol representa una función de trabajo y tiene permisos definidos asociados a él. Por ejemplo, el rol de Administrador de grupos de entrega tiene permisos como ‘Crear grupo de entrega’ y ‘Quitar escritorio del grupo de entrega’. Un administrador puede tener varios roles para un sitio, por lo que una persona podría ser Administrador de grupos de entrega y Administrador de catálogos de máquinas. Los roles pueden ser integrados o personalizados.

    Los roles integrados son:

    Rol Permisos
    Administrador completo Puede realizar todas las tareas y operaciones. Un Administrador completo siempre se combina con el ámbito Todo.
    Administrador de solo lectura Puede ver todos los objetos en los ámbitos especificados, así como la información global, pero no puede cambiar nada. Por ejemplo, un Administrador de solo lectura con Ámbito=Londres puede ver todos los objetos globales (como el Registro de configuración) y cualquier objeto con ámbito de Londres (por ejemplo, Grupos de entrega de Londres). Sin embargo, ese administrador no puede ver objetos en el ámbito de Nueva York (suponiendo que los ámbitos de Londres y Nueva York no se superpongan).
    Administrador de asistencia técnica Puede ver los Grupos de entrega y administrar las sesiones y máquinas asociadas a esos grupos. Puede ver el Catálogo de máquinas y la información del host de los Grupos de entrega que se están supervisando, y también puede realizar operaciones de administración de sesiones y administración de energía de máquinas para las máquinas de esos Grupos de entrega.
    Administrador de catálogos de máquinas Puede crear y administrar Catálogos de máquinas y aprovisionar las máquinas en ellos. Puede crear Catálogos de máquinas a partir de la infraestructura de virtualización, Provisioning Services y máquinas físicas. Este rol puede administrar imágenes base e instalar software, pero no puede asignar aplicaciones o escritorios a los usuarios.
    Administrador de grupo de entrega Puede entregar aplicaciones, escritorios y máquinas; también puede administrar las sesiones asociadas. También puede administrar las configuraciones de aplicaciones y escritorios, como las directivas y la configuración de administración de energía.
    Administrador de host Puede administrar las conexiones de host y su configuración de recursos asociada. No puede entregar máquinas, aplicaciones o escritorios a los usuarios.

    En algunas ediciones del producto, puede crear roles personalizados para que coincidan con los requisitos de su organización y delegar permisos con más detalle. Puede usar roles personalizados para asignar permisos con la granularidad de una acción o tarea en una consola.

  • Ámbitos — Un ámbito representa una colección de objetos. Los ámbitos se utilizan para agrupar objetos de una manera que sea relevante para su organización (por ejemplo, el conjunto de grupos de entrega utilizados por el equipo de ventas). Los objetos pueden estar en más de un ámbito; puede pensar que los objetos están etiquetados con uno o más ámbitos. Hay un ámbito integrado: ‘Todos’, que contiene todos los objetos. El rol de Administrador completo siempre se empareja con el ámbito ‘Todos’.

Ejemplo

La empresa XYZ decidió administrar las aplicaciones y los escritorios en función de su departamento (Contabilidad, Ventas y Almacén) y su sistema operativo de escritorio (Windows 7 o Windows 8). El administrador creó cinco ámbitos y luego etiquetó cada grupo de entrega con dos ámbitos: uno para el departamento donde se utilizan y otro para el sistema operativo que utilizan.

Se crearon los siguientes administradores:

Administrador Roles Ámbitos
domain/fred Administrador completo Todos (el rol de Administrador completo siempre tiene el ámbito ‘Todos’)
domain/rob Administrador de solo lectura Todos
domain/heidi Administrador de solo lectura, Administrador de asistencia técnica Todas las ventas
domain/warehouseadmin Administrador de asistencia técnica Almacén
domain/peter Administrador de grupos de entrega, Administrador de catálogos de máquinas Win7
  • Fred es un Administrador completo y puede ver, editar y eliminar todos los objetos del sistema.
  • Rob puede ver todos los objetos del sitio, pero no puede editarlos ni eliminarlos.
  • Heidi puede ver todos los objetos y realizar tareas de asistencia técnica en los grupos de entrega dentro del ámbito de ventas. Esto le permite administrar las sesiones y las máquinas asociadas a esos grupos; no puede realizar cambios en el grupo de entrega, como añadir o eliminar máquinas.
  • Cualquier persona que sea miembro del grupo de seguridad de Active Directory warehouseadmin puede ver y realizar tareas de asistencia técnica en las máquinas del ámbito Warehouse.
  • Peter es un especialista en Windows 7 y puede administrar todos los catálogos de máquinas de Windows 7, así como entregar aplicaciones, escritorios y máquinas de Windows 7, independientemente del ámbito de departamento al que pertenezcan. La administradora consideró nombrar a Peter Administrador completo para el ámbito Win7; sin embargo, lo descartó, porque un Administrador completo también tiene derechos plenos sobre todos los objetos que no están dentro de un ámbito, como ‘Sitio’ y ‘Administrador’.

Cómo usar la administración delegada

Generalmente, el número de administradores y la granularidad de sus permisos dependen del tamaño y la complejidad de la implementación.

  • En implementaciones pequeñas o de prueba de concepto, uno o unos pocos administradores lo hacen todo; no hay delegación. En este caso, cree cada administrador con el rol integrado de Administrador completo, que tiene el ámbito Todos.
  • En implementaciones más grandes con más máquinas, aplicaciones y escritorios, se necesita más delegación. Varios administradores pueden tener responsabilidades funcionales más específicas (roles). Por ejemplo, dos son Administradores completos y otros son Administradores de asistencia técnica. Además, un administrador puede gestionar solo ciertos grupos de objetos (ámbitos), como los catálogos de máquinas. En este caso, cree nuevos ámbitos, además de administradores con uno de los roles integrados y los ámbitos adecuados.
  • Las implementaciones aún más grandes pueden requerir más ámbitos (o más específicos), además de diferentes administradores con roles no convencionales. En este caso, edite o cree ámbitos adicionales, cree roles personalizados y cree cada administrador con un rol integrado o personalizado, además de los ámbitos existentes y nuevos.

Para mayor flexibilidad y facilidad de configuración, puede crear nuevos ámbitos al crear un administrador. También puede especificar ámbitos al crear o editar catálogos de máquinas o conexiones.

Crear y administrar administradores

Cuando crea un sitio como administrador local, su cuenta de usuario se convierte automáticamente en un Administrador completo con permisos plenos sobre todos los objetos. Una vez creado un sitio, los administradores locales no tienen privilegios especiales.

El rol de Administrador completo siempre tiene el ámbito Todos; no puede cambiar esto.

De forma predeterminada, un administrador está habilitado. Deshabilitar un administrador puede ser necesario si está creando el nuevo administrador ahora, pero esa persona no comenzará las tareas de administración hasta más tarde. Para los administradores habilitados existentes, es posible que desee deshabilitar varios de ellos mientras reorganiza sus objetos/ámbitos, y luego volver a habilitarlos cuando esté listo para implementar la configuración actualizada. No puede deshabilitar un Administrador completo si esto resultaría en que no hubiera ningún Administrador completo habilitado. La casilla de verificación habilitar/deshabilitar está disponible al crear, copiar o editar un administrador.

Cuando elimina un par rol/ámbito al copiar, editar o eliminar un administrador, solo se elimina la relación entre el rol y el ámbito para ese administrador; no se elimina ni el rol ni el ámbito, ni afecta a ningún otro administrador que esté configurado con ese par rol/ámbito.

Para administrar administradores, haga clic en Configuración > Administradores en el panel de navegación de Studio y, a continuación, haga clic en la pestaña Administradores en el panel central superior.

  • Para crear un administrador, haga clic en Crear nuevo administrador en el panel Acciones. Escriba o busque el nombre de la cuenta de usuario, seleccione o cree un ámbito y seleccione un rol. El nuevo administrador está habilitado de forma predeterminada; puede cambiar esto.
  • Para copiar un administrador, seleccione el administrador en el panel central y, a continuación, haga clic en Copiar administrador en el panel Acciones. Escriba o busque el nombre de la cuenta de usuario. Puede seleccionar y, a continuación, modificar o eliminar cualquiera de los pares rol/ámbito, y añadir otros nuevos. El nuevo administrador está habilitado de forma predeterminada; puede cambiar esto.
  • Para modificar un administrador, seleccione el administrador en el panel central y, a continuación, haga clic en Modificar administrador en el panel Acciones. Puede modificar o eliminar cualquiera de los pares rol/ámbito, y añadir otros nuevos.
  • Para eliminar un administrador, seleccione el administrador en el panel central y, a continuación, haga clic en Eliminar administrador en el panel Acciones. No puede eliminar un administrador con todos los permisos si esto resultara en que no hubiera ningún administrador con todos los permisos habilitado.

Crear y administrar roles

Los nombres de rol pueden contener hasta 64 caracteres Unicode; no pueden contener los siguientes caracteres: \ (barra invertida), / (barra), ; (punto y coma), : (dos puntos), # (signo de almohadilla) , (coma), * (asterisco), ? (signo de interrogación), = (signo igual), < (flecha izquierda), > (flecha derecha), | (barra vertical), [ ] (corchete izquierdo o derecho), ( ) (paréntesis izquierdo o derecho), “ (comillas) y ‘ (apóstrofo). Las descripciones pueden contener hasta 256 caracteres Unicode.

No puede modificar ni eliminar un rol integrado. No puede eliminar un rol personalizado si algún administrador lo está utilizando.

Nota: Solo algunas ediciones del producto admiten roles personalizados. Las ediciones que no admiten roles personalizados no tienen entradas relacionadas en el panel Acciones.

Para administrar roles, haga clic en Configuración > Administradores en el panel de navegación de Studio y, a continuación, haga clic en la ficha Roles en la parte superior del panel central.

  • Para ver los detalles del rol, seleccione el rol en el panel central. La parte inferior del panel central enumera los tipos de objeto y los permisos asociados para el rol. Haga clic en la ficha Administradores en el panel inferior para mostrar una lista de los administradores que tienen este rol actualmente.
  • Para crear un rol personalizado, haga clic en Crear nuevo rol en el panel Acciones. Introduzca un nombre y una descripción. Seleccione los tipos de objeto y los permisos.
  • Para copiar un rol, seleccione el rol en el panel central y, a continuación, haga clic en Copiar rol en el panel Acciones. Cambie el nombre, la descripción, los tipos de objeto y los permisos, según sea necesario.
  • Para modificar un rol personalizado, seleccione el rol en el panel central y, a continuación, haga clic en Modificar rol en el panel Acciones. Cambie el nombre, la descripción, los tipos de objeto y los permisos, según sea necesario.
  • Para eliminar un rol personalizado, seleccione el rol en el panel central y, a continuación, haga clic en Eliminar rol en el panel Acciones. Cuando se le solicite, confirme la eliminación.

Crear y administrar ámbitos

Cuando se crea un sitio, el único ámbito disponible es el ámbito ‘Todos’, que no se puede eliminar.

Puede crear ámbitos mediante el procedimiento que se describe a continuación. También puede crear ámbitos al crear un administrador; cada administrador debe estar asociado a, al menos, un par de rol y ámbito. Al crear o modificar escritorios, catálogos de máquinas, aplicaciones o hosts, puede agregarlos a un ámbito existente; si no los agrega a un ámbito, seguirán formando parte del ámbito ‘Todos’.

La creación de sitios no puede delimitarse por ámbito, como tampoco pueden hacerlo los objetos de Administración delegada (ámbitos y roles). Sin embargo, los objetos que no se pueden delimitar por ámbito se incluyen en el ámbito ‘Todos’. (Los administradores con todos los permisos siempre tienen el ámbito Todos). Las máquinas, las acciones de energía, los escritorios y las sesiones no se delimitan directamente por ámbito; los administradores pueden asignar permisos sobre estos objetos a través de los catálogos de máquinas o los grupos de entrega asociados.

Los nombres de ámbito pueden contener hasta 64 caracteres Unicode; no pueden incluir los siguientes caracteres: \ (barra invertida), / (barra diagonal), ; (punto y coma), : (dos puntos), # (signo de almohadilla) , (coma), * (asterisco), ? (signo de interrogación), = (signo igual), < (flecha izquierda), > (flecha derecha), | (barra vertical), [ ] (corchete izquierdo o derecho), ( ) (paréntesis izquierdo o derecho), “ (comillas) y ‘ (apóstrofo). Las descripciones pueden contener hasta 256 caracteres Unicode.

Al copiar o modificar un ámbito, tenga en cuenta que la eliminación de objetos del ámbito puede hacer que esos objetos sean inaccesibles para el administrador. Si el ámbito modificado está emparejado con uno o más roles, asegúrese de que las actualizaciones del ámbito que realice no hagan que ningún par rol/ámbito sea inutilizable.

Para administrar ámbitos, haga clic en Configuración > Administradores en el panel de navegación de Studio y, a continuación, haga clic en la ficha Ámbitos en el panel central superior.

  • Para crear un ámbito, haga clic en Crear nuevo ámbito en el panel Acciones. Introduzca un nombre y una descripción. Para incluir todos los objetos de un tipo determinado (por ejemplo, grupos de entrega), seleccione el tipo de objeto. Para incluir objetos específicos, expanda el tipo y, a continuación, seleccione objetos individuales (por ejemplo, grupos de entrega utilizados por el equipo de ventas).
  • Para copiar un ámbito, seleccione el ámbito en el panel central y, a continuación, haga clic en Copiar ámbito en el panel Acciones. Introduzca un nombre y una descripción. Cambie los tipos de objeto y los objetos, según sea necesario.
  • Para modificar un ámbito, seleccione el ámbito en el panel central y, a continuación, haga clic en Modificar ámbito en el panel Acciones. Cambie el nombre, la descripción, los tipos de objeto y los objetos, según sea necesario.
  • Para eliminar un ámbito, seleccione el ámbito en el panel central y, a continuación, haga clic en Eliminar ámbito en el panel Acciones. Cuando se le solicite, confirme la eliminación.

Crear informes

Puede crear dos tipos de informes de Administración delegada:

  • Un informe HTML que enumera los pares rol/ámbito asociados a un administrador, además de los permisos individuales para cada tipo de objeto (por ejemplo, grupos de entrega y catálogos de máquinas). Este informe se genera desde Studio.

    Para crear este informe, haga clic en Configuración > Administradores en el panel de navegación. Seleccione un administrador en el panel central y, a continuación, haga clic en Crear informe en el panel Acciones.

    También puede solicitar este informe al crear, copiar o modificar un administrador.

  • Un informe HTML o CSV que asigna todos los roles integrados y personalizados a los permisos. Este informe se genera ejecutando un script de PowerShell llamado OutputPermissionMapping.ps1.

    Para ejecutar este script, debe ser un administrador completo, un administrador de solo lectura o un administrador personalizado con permiso para leer roles. El script se encuentra en: Program Files\Citrix\DelegatedAdmin\SnapIn\Citrix.DelegatedAdmin.Admin.V1\Scripts\.

    Sintaxis:

    OutputPermissionMapping.ps1 [-Help] [-Csv] [-Path <cadena>] [-AdminAddress <cadena>] [-Show] [<ParámetrosComunes>]

    Parámetro Descripción
    -Help Muestra la ayuda del script.
    -Csv Especifica la salida CSV. Predeterminado = HTML
    -Path Dónde escribir la salida. Predeterminado = stdout
    -AdminAddress Dirección IP o nombre de host del Delivery Controller al que conectarse. Predeterminado = localhost
    -Show (Válido solo cuando también se especifica el parámetro -Path) Cuando se escribe la salida en un archivo, -Show hace que la salida se abra en un programa adecuado, como un navegador web.
    Verbose, Debug, ErrorAction, ErrorVariable, WarningAction, WarningVariable, OutBuffer y OutVariable. Para obtener más información, consulte la documentación de Microsoft.

El siguiente ejemplo escribe una tabla HTML en un archivo llamado Roles.html y abre la tabla en un navegador web.

& "$env:ProgramFiles\Citrix\DelegatedAdmin\SnapIn\
Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1"
-Path Roles.html –Show
<!--NeedCopy-->

El siguiente ejemplo escribe una tabla CSV en un archivo llamado Roles.csv. La tabla no se muestra.

& "$env:ProgramFiles\Citrix\DelegatedAdmin\SnapIn\
Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1"
–CSV -Path Roles.csv
<!--NeedCopy-->

Desde un símbolo del sistema de Windows, el comando del ejemplo anterior es:

powershell -command "& '%ProgramFiles%\Citrix\DelegatedAdmin\SnapIn\
Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1'
-CSV -Path Roles.csv"
<!--NeedCopy-->
Administración delegada
May 20, 2026
Contribución de: 
C C
May 20, 2026
Contribución de: 
C C

En este artículo

Comentarios sobre el sitio | Your privacy choices footer linkSus opciones de privacidad | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.