Administration déléguée
Remarque :
Vous pouvez gérer votre déploiement de Citrix Virtual Apps and Desktops à l’aide de deux consoles de gestion : Web Studio (console basée sur le Web) et Citrix Studio (console basée sur Windows). Cet article ne concerne que Web Studio. Pour plus d’informations sur Citrix Studio, consultez l’article équivalent dans Citrix Virtual Apps and Desktops 7 2212 ou version antérieure.
Grâce à l’utilisation d’un contrôle basé sur des objets et des rôles, le modèle d’administration déléguée vous offre une souplesse permettant d’adapter les activités d’administration déléguée aux besoins de votre entreprise. L’administration déléguée prend en charge les déploiements de toutes les tailles et vous permet d’affiner la granularité des autorisations à mesure que votre déploiement gagne en complexité. L’administration déléguée utilise trois concepts : les administrateurs, les rôles et les étendues.
-
Administrateurs : un administrateur représente une personne ou un groupe de personnes identifié par leur compte Active Directory. Chaque administrateur est associé à une ou plusieurs paires rôle/étendue.
-
Rôles : un rôle représente une fonction de tâche à laquelle des permissions sont associées. Par exemple, le rôle Administrateur du groupe de mise à disposition possède des autorisations telles que « Créer un groupe de mise à disposition » et « Supprimer le bureau d’un groupe de mise à disposition ». Un administrateur peut avoir plusieurs rôles pour un même site, donc une personne peut être administrateur du groupe de mise à disposition et administrateur du catalogue de machines. Les rôles peuvent être intégrés ou personnalisés.
Les rôles intégrés sont :
Rôle Autorisations Administrateur complet Peut effectuer toutes les tâches et toutes les opérations. Un administrateur complet est toujours associé à l’étendue Tout. Administrateur en lecture seule Peut afficher tous les objets dans les étendues spécifiées ainsi que les informations générales, mais ne peut rien modifier. Par exemple, un administrateur en lecture seule avec l’étendue = Londres peut voir tous les objets globaux (tels que la journalisation de la configuration) et les objets associés à Londres (par exemple, les groupes de mise à disposition Londres). Toutefois, cet administrateur ne peut pas afficher d’objets dans l’étendue New York (en supposant que les étendues Londres et New York ne se chevauchent pas). Administrateur du service d’assistance Peut voir les groupes de mise à disposition et gérer les sessions et machines associées à ces groupes. Peut afficher le catalogue de machines et les informations d’hôte des groupes de mise à disposition en cours de surveillance. Peut également effectuer des opérations de gestion de session et de gestion de l’alimentation de la machine pour les machines figurant dans ces groupes de mise à disposition. Administrateur du catalogue de machines Peut créer et de gérer des catalogues de machines et y provisionner des machines. Peut créer des catalogues de machines à partir de l’infrastructure de virtualisation, Provisioning Services et des machines physiques. Ce rôle peut gérer les images de base et installer le logiciel, mais ne peut pas assigner les applications ou bureaux aux utilisateurs. Administrateur du groupe de mise à disposition Peut mettre à disposition des applications, bureaux et machines ; peut également gérer les sessions associées. Il peut également gérer les configurations d’applications et de bureaux, telles que les stratégies et les paramètres de gestion de l’alimentation. Administrateur hôte Peut gérer des connexions hôtes et leurs paramètres de ressource associés. Impossible de mettre à disposition des machines, applications ou bureaux aux utilisateurs. Dans certaines éditions du produit, vous pouvez créer des rôles personnalisés correspondant aux besoins de votre organisation, et déléguer des autorisations plus granulaires. Vous pouvez utiliser les rôles personnalisés pour allouer des autorisations à la précision d’une action ou d’une tâche dans la console.
-
Étendues : une étendue représente une collection d’objets. Les étendues sont utilisées pour grouper les objets de manière pertinente pour votre organisation (par exemple, l’ensemble de groupes de mise à disposition utilisé par l’équipe des ventes). Les objets peuvent appartenir à plus d’une étendue ; par exemple, un objet peut être marqué comme appartenant à une ou plusieurs étendues. Il existe une étendue intégrée appelée « Tout » qui contient tous les objets. Le rôle d’administrateur complet est toujours associé à l’étendue Tout.
Exemple
La société XYZ a décidé de gérer les applications et bureaux en fonction de leur département (Comptabilité, Ventes et Production) et de leur système d’exploitation de bureau (Windows 7 ou Windows 8). L’administrateur a créé cinq étendues, puis en a attribué deux à chaque groupe de mise à disposition : une pour le département où les applications et bureaux sont utilisés et une pour le système d’exploitation qu’ils utilisent.
Les administrateurs suivants ont été créés :
Administrateur | Rôles | Étendues |
---|---|---|
domaine/fred | Administrateur complet | Tous (le rôle Administrateur complet a toujours la portée Tout) |
domaine/rob | Administrateur en lecture seule | Tous |
domaine/heidi | Administrateur en lecture seule, Administrateur du service d’assistance | Toutes les ventes |
domaine/warehouseadmin | Administrateur du service d’assistance | Distribution |
domaine/peter | Administrateur du groupe de mise à disposition, Administrateur du catalogue de machines | Win7 |
- Fred est un administrateur complet qui peut afficher, modifier et supprimer tous les objets dans le système.
- Rob peut afficher tous les objets dans le site mais ne peut pas les modifier ou les supprimer.
- Heidi peut afficher tous les objets et peut effectuer des tâches de support technique sur les groupes de mise à disposition dans l’étendue Ventes. Cela lui permet de gérer les sessions et les machines associées à ces groupes ; elle ne peut pas effectuer de modifications dans le groupe de mise à disposition, telles que l’ajout ou la suppression de machines.
- Toute personne qui est membre du groupe de sécurité Active Directory warehouseadmin peut afficher et effectuer des tâches d’assistance sur des machines dans l’étendue Distribution.
- Peter est un spécialiste Windows 7 et peut gérer tous les catalogues de machines Windows 7 et mettre à disposition des applications, bureaux et machines Windows 7, quelle que soit l’étendue du département auquel elles appartiennent. L’administrateur a envisagé de donner à Peter le rôle d’administrateur complet pour l’étendue Win7. Elle en a décidé autrement, car un administrateur complet a également des droits complets sur tous les objets qui ne sont pas inclus dans l’étendue, tels que « Site » et « Administrateur ».
Comment utiliser l’administration déléguée
En général, le nombre d’administrateurs et la granularité de leurs autorisations dépendent de la taille et de la complexité du déploiement.
- Dans les déploiements de petite taille ou de preuve de concept, toutes les tâches sont effectuées par un ou plusieurs administrateurs. Il n’y a pas de délégation. Dans ce cas, créez chaque administrateur avec le rôle Administrateur complet intégré, qui a la portée Tout.
- Dans les déploiements plus importants avec plus d’ordinateurs, d’applications et de bureaux, une plus grande délégation est nécessaire. Plusieurs administrateurs ont peut-être des responsabilités fonctionnelles plus spécifiques (rôles). Par exemple, deux sont des administrateurs complets et les autres sont des administrateurs du service d’assistance. En outre, un administrateur peut ne gérer que certains groupes d’objets (étendues), tels que des catalogues de machines. Dans ce cas, créez de nouvelles étendues, ainsi que des administrateurs avec l’un des rôles intégrés et les étendues appropriées.
- Même les déploiements plus importants peuvent nécessiter plus (ou plus spécifiques) d’étendues, ainsi que des administrateurs différents dotés de rôles non conventionnels. Dans ce cas, modifiez ou créez des étendues supplémentaires, créez des rôles personnalisés et créez chaque administrateur avec un rôle personnalisé ou intégré, ainsi que des étendues existantes et nouvelles.
Pour garantir une souplesse et facilité de configuration, vous pouvez créer des étendues lorsque vous créez un administrateur. Vous pouvez également spécifier des étendues lors de la création ou de la modification de catalogues de machines ou de connexions.
Créer et gérer des administrateurs
Lorsque vous créez un site en tant qu’administrateur local, votre compte d’utilisateur devient automatiquement un administrateur complet avec autorisations complètes sur tous les objets. Après la création d’un site, les administrateurs locaux n’ont pas de privilèges spéciaux.
Le rôle administrateur complet a toujours l’étendue Tout ; vous ne pouvez pas le modifier.
Par défaut, un administrateur est activé. La désactivation d’un administrateur peut être nécessaire si vous créez l’administrateur maintenant, mais cette personne ne possèdera des droits d’administration que bien plus tard. Pour les administrateurs activés existants, il se peut que vous souhaitiez désactiver plusieurs d’entre eux pendant que vous réorganisez vos objets/étendues, puis les réactiver lorsque vous êtes prêt à utiliser la configuration mise à jour dans votre environnement de production. Vous ne pouvez pas désactiver un administrateur complet si cela a pour conséquence qu’il n’existe plus d’administrateur complet activé. La case à cocher activer/désactiver est disponible lors de la création, de la copie ou de la modification d’un administrateur.
Lorsque vous supprimez une paire rôle/étendue lors de la copie, la modification ou la suppression d’un administrateur, il supprime uniquement la relation entre le rôle et l’étendue de cet administrateur. Il ne peut pas supprimer le rôle ou l’étendue. Il n’affecte aucun autre administrateur qui est configuré avec cette paire rôle/étendue.
Pour créer et gérer des administrateurs, procédez comme suit :
-
Connectez-vous à Web Studio, cliquez sur Administrateurs dans le volet de gauche, puis sur l’onglet Administrateurs.
-
Suivez les instructions relatives à la tâche que vous souhaitez effectuer :
- Créer un administrateur : cliquez sur Créer l’administrateur dans la barre d’actions. Entrez le nom ou recherchez le nom du compte d’utilisateur, sélectionnez ou créez une étendue, puis sélectionnez un rôle. Le nouvel administrateur est activé par défaut, vous pouvez le modifier.
- Copier un administrateur : sélectionnez l’administrateur, puis cliquez sur Copier l’administrateur dans la barre d’actions. Entrez le nom ou recherchez le nom de compte de l’utilisateur. Vous pouvez sélectionner puis modifier les paires rôle/étendue et vous pouvez en ajouter de nouvelles. Le nouvel administrateur est activé par défaut, vous pouvez le modifier.
- Modifier un administrateur : sélectionnez l’administrateur, puis cliquez sur Modifier l’administrateur dans la barre d’actions. Vous pouvez modifier ou supprimer les paires rôle/étendue et en ajouter de nouvelles.
- Supprimer un administrateur : sélectionnez l’administrateur, puis cliquez sur Supprimer l’administrateur dans la barre d’actions. Vous ne pouvez pas supprimer un administrateur complet si cela a pour conséquence qu’il n’existe plus d’administrateur complet.
Le volet supérieur affiche les administrateurs que vous avez créés. Sélectionnez un administrateur pour afficher ses détails dans le volet inférieur. La colonne Avertissements indique si les paires rôle/étendue associées à l’administrateur contiennent des rôles ou des étendues inutilisables. Le message d’avertissement suivant s’affiche si une paire rôle/étendue associée contient des rôles ou des étendues inutilisables :
- Rôle ou étendue associée inutilisable
Important :
Un message d’avertissement s’affiche uniquement si une paire rôle/étendue associée contient des rôles ou des étendues inutilisables.
Pour supprimer la paire rôle/étendue de l’administrateur, effectuez l’une des étapes suivantes :
- Supprimez la paire rôle/étendue.
- Dans la barre d’actions, cliquez sur Modifier l’administrateur.
- Dans la fenêtre Nom et détails de l’administrateur, sélectionnez la paire rôle/étendue, puis cliquez sur Supprimer.
- Cliquez sur Enregistrer pour quitter la fenêtre.
- Supprimez l’administrateur.
- Dans la barre d’actions, cliquez sur Supprimer l’administrateur.
- Dans la fenêtre de confirmation, cliquez sur Supprimer.
Créer et gérer les rôles
Lorsque les administrateurs créent ou modifient un rôle, ils ne peuvent activer que les autorisations dont ils disposent eux-mêmes. Cela empêche les administrateurs de créer un rôle avec plus d’autorisations qu’ils ne disposent actuellement, puis de l’attribuer à eux-mêmes (ou de modifier un rôle qui leur est déjà attribué).
Les noms de rôles peuvent contenir jusqu’à 64 caractères Unicode ; ils ne peuvent pas contenir les caractères suivants : barre oblique inverse, barre oblique, point-virgule, deux-points, symbole de la livre, virgule, astérisque, point d’interrogation, signe égal, flèche gauche, flèche droite, barre verticale, crochet gauche ou droit, parenthèse gauche ou droite, guillemets et apostrophe. Les descriptions peuvent contenir jusqu’à 256 caractères unicode.
Vous ne pouvez pas modifier ou supprimer un rôle intégré. Vous ne pouvez pas supprimer un rôle personnalisé si un administrateur l’utilise.
Remarque :
Seules certaines éditions de produit prennent en charge les rôles personnalisés. Seules les éditions qui prennent en charge les rôles personnalisés n’ont aucune entrée dans la barre d’actions.
Pour créer et gérer des rôles, procédez comme suit :
-
Connectez-vous à Web Studio, cliquez sur Administrateurs dans le volet de gauche, puis sur l’onglet Rôles.
-
Suivez les instructions relatives à la tâche que vous souhaitez effectuer :
- Afficher les détails d’un rôle : sélectionnez le rôle. Le volet inférieur répertorie les types d’objets et les autorisations associées pour le rôle. Cliquez sur l’onglet Administrateurs dans le volet inférieur pour afficher une liste des administrateurs qui détiennent actuellement ce rôle.
- Créer un rôle personnalisé : cliquez sur Créer un rôle dans la barre d’actions. Entrez un nom et une description. Sélectionnez les types d’objets et les autorisations.
- Copier un rôle : sélectionnez le rôle, puis cliquez sur Copier rôle dans la barre d’actions. Modifiez le nom, la description, les types d’objet et les autorisations nécessaires.
- Modifier un rôle personnalisé : sélectionnez le rôle, puis cliquez sur Modifier un rôle dans la barre d’actions. Modifiez le nom, la description, les types d’objet et les autorisations nécessaires.
- Supprimer un rôle personnalisé : sélectionnez le rôle, puis cliquez sur Supprimer un rôle dans la barre d’actions. Lorsque vous y êtes invité, confirmez la suppression.
Créer et gérer des étendues
Lorsque vous créez un site, la seule étendue disponible est l’étendue ‘Tout’, qui ne peut pas être supprimée.
Vous pouvez créer des étendues à l’aide de la procédure suivante. Vous pouvez également créer des étendues lorsque vous créez un administrateur ; chaque administrateur doit être associé à au moins une paire de un rôle/étendue. Lorsque vous créez ou modifiez des bureaux, des catalogues de machines, des applications ou des hôtes, vous pouvez les ajouter à une étendue existante. Si vous ne les ajoutez pas à une étendue, ils restent dans l’étendue ‘Toute’.
La création d’un site ne peut faire être incluse à une étendue, ni les objets d’administration déléguée (étendues et rôles). Cependant, les objets ne pouvant pas être inclus à une étendue sont inclus dans l’étendue « Tout ». (Les administrateurs complets ont toujours l’étendue Tous.) Les machines, les actions d’alimentation, les bureaux et les sessions ne sont pas ajoutés directement à une étendue. Les administrateurs peuvent se voir attribuer des autorisations sur ces objets via les catalogues de machines ou les groupes de mise à disposition associés.
Règles de création et de gestion des étendues :
-
Les noms d’étendue peuvent contenir jusqu’à 64 caractères Unicode. Les étendues ne peuvent pas contenir les caractères suivants : barre oblique inverse, barre oblique, point-virgule, deux-points, symbole de la livre, virgule, astérisque, point d’interrogation, signe égal, flèche gauche ou droite, barre verticale, crochet gauche ou droit, parenthèse gauche ou droite, guillemets et apostrophe.
-
Les descriptions d’étendues peuvent contenir jusqu’à 256 caractères unicode.
-
Lorsque vous copiez ou modifier une étendue, n’oubliez pas que la suppression des objets dans l’étendue peut rendre ces objets inaccessibles à l’administrateur. Si l’étendue modifiée est associée à un ou plusieurs rôles, assurez-vous que les mises à jour que vous apportez à l’étendue ne rendent pas une paire rôle/étendue inutilisable.
Pour créer et gérer des étendues, procédez comme suit :
-
Connectez-vous à Web Studio, cliquez sur Administrateurs dans le volet de gauche, puis sur l’onglet Étendues.
-
Suivez les instructions relatives à la tâche que vous souhaitez effectuer :
- Créer une étendue : cliquez sur Créer une étendue dans la barre d’actions. Entrez un nom et une description. Pour inclure tous les objets d’un type particulier (par exemple, les groupes de mise à disposition), sélectionnez le type d’objet. Pour inclure des objets spécifiques, développez le type, puis sélectionnez les objets individuels (par exemple, les groupes de mise à disposition individuels utilisés par l’équipe des Ventes).
- Copier une étendue : sélectionnez l’étendue, puis cliquez sur Copier étendue dans la barre d’actions. Entrez un nom et une description. Modifiez les types d’objets et les objets, si nécessaire.
- Modifier une étendue : sélectionnez l’étendue, puis cliquez sur Modifier l’étendue dans la barre d’actions. Modifiez le nom, la description, les types d’objet et les objets, si nécessaire.
- Supprimer une étendue : sélectionnez l’étendue, puis cliquez sur Supprimer l’étendue dans la barre d’actions. Lorsque vous y êtes invité, confirmez la suppression.
Configurer la gestion des locataires
Configurez la gestion des locataires pour créer des partitions de gestion au sein d’un site Citrix Virtual Apps and Desktops unique. Chaque locataire dispose de ressources et de configurations distinctes, telles que des catalogues de machines et des groupes de mise à disposition. Les administrateurs ayant accès à un locataire spécifique peuvent gérer uniquement les ressources et les configurations associées à ce locataire. C’est le cas, par exemple, des entreprises ayant différents silos métier (divisions indépendantes ou équipes de gestion informatique distinctes) sur un seul site.
À un niveau élevé, le flux de travail pour configurer la gestion des locataires comprend :
Créer des locataires
Créez un locataire en créant une étendue du locataire. Les étapes détaillées sont les suivantes :
- Connectez-vous à Web Studio, cliquez sur Administrateurs dans le volet de gauche, puis sur l’onglet Étendues.
- Cliquez sur *Créer une étendue** pour démarrer la création du locataire.
- Entrez les informations suivantes pour l’étendue du locataire :
- Entrez un nom descriptif pour l’étendue. Ce nom sert également d’identifiant au locataire.
- (Facultatif) Entrez une brève description.
- Sélectionnez Étendue du locataire.
- Si nécessaire, sélectionnez les objets associés au locataire. Vous pouvez également ajouter des objets aux étendues des locataires lors de la création ou de la gestion d’objets.
- Cliquez sur OK pour terminer la création.
Une fois terminé, vous pouvez voir :
- Le nouvel enregistrement de l’étendue du locataire apparaît dans la liste de l’étendue, identifié comme locataire dans la colonne Type.
- Le nom de l’étendue est affiché dans la liste déroulante Tous les locataires située dans le coin supérieur droit de Web Studio.
Lorsque vous travaillez sur une étendue de locataire, tenez compte des considérations suivantes :
- La propriété du locataire suit un ordre d’attribution hiérarchique : Hébergement > Catalogues de machines > Groupes de mise à disposition > Applications. Les objets de niveau inférieur héritent de la propriété du locataire à partir d’objets de niveau supérieur. Par exemple, lorsque vous sélectionnez un groupe de mise à disposition pour une étendue de locataire, assurez-vous de sélectionner également l’hébergement et le catalogue de machines associés. Sinon, le groupe de mise à disposition ne peut pas hériter de la propriété du locataire.
- Après avoir créé une étendue de locataire, vous pouvez modifier les attributions de locataires en modifiant les objets. Lorsqu’une attribution de locataire est modifiée, elle est toujours soumise à la contrainte selon laquelle elle doit être attribuée aux mêmes locataires ou à un sous-ensemble de ces locataires. Toutefois, les objets de niveau inférieur ne sont pas réévalués lorsque les attributions de locataires changent. Assurez-vous que la restriction des objets est correctement appliquée lorsque vous modifiez les attributions de locataires. Par exemple, si un catalogue de machines est disponible pour
TenantA
etTenantB
, vous pouvez créer un groupe de mise à disposition pourTenantA
et un pourTenantB
. (TenantA
etTenantB
sont tous deux associés à ce catalogue de machines.) Vous pouvez ensuite modifier le catalogue de machines pour qu’il soit associé uniquement àTenantA
. Par conséquent, le groupe de mise à disposition associé àTenantB
devient non valide.
Ajouter des administrateurs pour les locataires
Ajoutez des administrateurs pour un locataire en attribuant des rôles d’administrateur et de locataires à des comptes utilisateurs.
Pour ajouter un administrateur pour un locataire, procédez comme suit :
- Connectez-vous à Web Studio, cliquez sur Administrateurs dans le volet de gauche, puis sur l’onglet Administrateurs.
- Cliquez sur Ajouter un administrateur, puis procédez comme suit pour terminer :
- Entrez le nom ou recherchez le nom de compte de l’utilisateur et cliquez sur Suivant.
- Sélectionnez Accès personnalisé , puis sélectionnez un ou plusieurs rôles (par exemple, Administrateur du catalogue de machines) selon les besoins.
- Cliquez sur Modifier les étendues à côté de chaque rôle, remplacez l’étendue de Tout par l’étendue du locataire souhaité, puis cliquez sur Enregistrer.
- Cliquez sur Suivant.
- Sur la page Vérifier et confirmer, cliquez sur Envoyer une invitation.
Créer des rapports
Vous pouvez créer deux types de rapports d’administration déléguée :
-
Ce rapport HTML indique les paires rôle/étendue associées à un administrateur et dresse la liste des autorisations individuelles pour chaque type d’objet (par exemple, les groupes de mise à disposition et les catalogues de machines). Vous pouvez générer ce rapport à partir de Web Studio.
Pour créer ce rapport, procédez comme suit :
- Connectez-vous à Web Studio, cliquez sur Administrateurs dans le volet de gauche
- Sélectionnez un administrateur, puis cliquez sur Créer un rapport dans la barre d’actions.
Vous pouvez également demander ce rapport lors de la création, de la copie ou de la modification d’un administrateur.
-
Un rapport HTML ou CSV qui mappe tous les rôles personnalisés et intégrés à des autorisations. Vous pouvez générer ce rapport en exécutant le script PowerShell nommé OutputPermissionMapping.ps1.
Pour exécuter ce script, vous devez être un administrateur complet, un administrateur en lecture seule ou un administrateur personnalisé avec autorisation de lecture des rôles. Le script se trouve dans : Program Files\Citrix\DelegatedAdmin\SnapIn\Citrix.DelegatedAdmin.Admin.V1\Scripts.
Syntaxe :
OutputPermissionMapping.ps1 [-Help] [-Csv] [-Path string] [-AdminAddress string] [-Show] [CommonParameters]
Paramètre Description -Help
Affiche l’aide du script. -Csv
Spécifie le fichier CSV de sortie. Valeur par défaut = HTML -Path string
Où écrire la sortie. Valeur par défaut = stdout -AdminAddress string
Adresse IP ou nom d’hôte du Delivery Controller auquel se connecter. Valeur par défaut = XA -Show
(Valide uniquement lorsque le paramètre -Path
est également spécifié). Lorsque vous écrivez la sortie vers un fichier,-Show
entraîne l’ouverture de la sortie dans un programme approprié, tel qu’un navigateur Web.CommonParameters Verbose
,Debug
,ErrorAction
,ErrorVariable
,WarningAction
,WarningVariable
,OutBuffer
etOutVariable
. Pour plus d’informations, veuillez consulter la documentation Microsoft.
L’exemple suivant écrit une table HTML sur un fichier appelé Roles.html et ouvre la table dans un navigateur Web.
& "$env:ProgramFiles\Citrix\DelegatedAdmin\SnapIn\
Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1"
-Path Roles.html –Show
<!--NeedCopy-->
L’exemple suivant écrit une table CSV sur un fichier appelé Roles.csv. La table n’est pas affichée.
& "$env:ProgramFiles\Citrix\DelegatedAdmin\SnapIn\
Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1"
–CSV -Path Roles.csv
<!--NeedCopy-->
À partir d’une invite de commande Windows, l’exemple de commande précédente est :
powershell -command "& '%ProgramFiles%\Citrix\DelegatedAdmin\SnapIn\
Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1'
-CSV -Path Roles.csv"
<!--NeedCopy-->