-
-
-
-
Configurer les autorisations pour les VDA antérieurs à XenDesktop 7
-
Dépanner les problèmes utilisateur
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
Configurer les autorisations pour les VDA antérieurs à XenDesktop® 7
Si les utilisateurs disposent de VDA antérieurs à XenDesktop 7, Director complète les informations du déploiement avec l’état et les métriques en temps réel via Windows Remote Management (WinRM).
De plus, utilisez cette procédure pour configurer WinRM afin de l’utiliser avec Remote PC dans XenDesktop 5.6 Feature Pack1.
Par défaut, seuls les administrateurs locaux de la machine de bureau (généralement les administrateurs de domaine et autres utilisateurs privilégiés) disposent des autorisations nécessaires pour afficher les données en temps réel.
Pour plus d’informations sur l’installation et la configuration de WinRM, consultez CTX125243.
Pour permettre à d’autres utilisateurs de visualiser les données en temps réel, vous devez leur accorder des autorisations. Par exemple, supposons qu’il existe plusieurs utilisateurs de Director (HelpDeskUserA, HelpDeskUserB, et ainsi de suite) qui sont membres d’un groupe de sécurité Active Directory appelé HelpDeskUsers. Le groupe s’est vu attribuer le rôle d’administrateur du support technique dans Studio, ce qui leur confère les autorisations de Contrôleur de mise à disposition™ requises. Cependant, le groupe a également besoin d’accéder aux informations de la machine de bureau.
Pour fournir l’accès nécessaire, vous pouvez configurer les autorisations requises de deux manières :
- Accorder des autorisations aux utilisateurs de Director (modèle d’emprunt d’identité)
- Accorder des autorisations au service Director (modèle de sous-système de confiance)
Pour accorder des autorisations aux utilisateurs de Director (modèle d’emprunt d’identité)
Par défaut, Director utilise un modèle d’emprunt d’identité : la connexion WinRM à la machine de bureau est établie en utilisant l’identité de l’utilisateur de Director. C’est donc l’utilisateur qui doit disposer des autorisations appropriées sur le bureau.
Vous pouvez configurer ces autorisations de deux manières (décrites plus loin dans ce document) :
- Ajoutez les utilisateurs au groupe Administrateurs local sur la machine de bureau.
- Accordez aux utilisateurs les autorisations spécifiques requises par Director. Cette option évite de donner aux utilisateurs de Director (par exemple, le groupe HelpDeskUsers) des autorisations administratives complètes sur la machine.
Pour accorder des autorisations au service Director (modèle de sous-système de confiance)
Au lieu de fournir aux utilisateurs de Director des autorisations sur les machines de bureau, vous pouvez configurer Director pour qu’il établisse des connexions WinRM à l’aide d’une identité de service et n’accorder à cette identité de service que les autorisations appropriées.
Avec ce modèle, les utilisateurs de Director n’ont pas l’autorisation d’effectuer eux-mêmes des appels WinRM. Ils ne peuvent accéder aux données qu’en utilisant Director.
Le pool d’applications Director dans IIS est configuré pour s’exécuter en tant qu’identité de service. Par défaut, il s’agit du compte virtuel APPPOOL\Director. Lors de l’établissement de connexions à distance, ce compte apparaît comme le compte d’ordinateur Active Directory du serveur ; par exemple, MyDomain\DirectorServer$. Vous devez configurer ce compte avec les autorisations appropriées.
Si plusieurs sites Web Director sont déployés, vous devez placer le compte d’ordinateur de chaque serveur Web dans un groupe de sécurité Active Directory configuré avec les autorisations appropriées.
Pour configurer Director afin qu’il utilise l’identité de service pour WinRM au lieu de l’identité de l’utilisateur, configurez le paramètre suivant, comme décrit dans Configuration avancée :
Service.Connector.WinRM.Identity = Service
<!--NeedCopy-->
Vous pouvez configurer ces autorisations de deux manières :
- Ajoutez le compte de service au groupe Administrateurs local sur la machine de bureau.
- Accordez au compte de service les autorisations spécifiques requises par Director (décrites ci-après). Cette option évite de donner au compte de service des autorisations administratives complètes sur la machine.
Pour attribuer des autorisations à un utilisateur ou un groupe spécifique
Les autorisations suivantes sont requises pour que Director puisse accéder aux informations dont il a besoin depuis la machine de bureau via WinRM :
- Autorisations de lecture et d’exécution dans le RootSDDL WinRM
- Autorisations d’espace de noms WMI :
- root/cimv2 - accès à distance
- root/citrix - accès à distance
- root/RSOP - accès à distance et exécution
- Appartenance à ces groupes locaux :
- Utilisateurs du moniteur de performances
- Lecteurs des journaux d’événements
L’outil ConfigRemoteMgmt.exe, utilisé pour accorder automatiquement ces autorisations, se trouve sur le support d’installation dans les dossiers x86\Virtual Desktop Agent et x64\Virtual Desktop Agent, ainsi que sur le support d’installation dans le dossier C:\inetpub\wwwroot\Director\tools. Vous devez accorder des autorisations à tous les utilisateurs de Director.
Pour accorder les autorisations à un groupe de sécurité Active Directory, un utilisateur, un compte d’ordinateur, ou pour des actions telles que Mettre fin à l’application et Mettre fin au processus, exécutez l’outil avec des privilèges d’administrateur à partir d’une invite de commandes en utilisant les arguments suivants :
ConfigRemoteMgmt.exe /configwinrmuser domain\name
<!--NeedCopy-->
où nom est un groupe de sécurité, un utilisateur ou un compte d’ordinateur.
Pour accorder les autorisations requises à un groupe de sécurité d’utilisateurs :
ConfigRemoteMgmt.exe /configwinrmuser domain\HelpDeskUsers
<!--NeedCopy-->
Pour accorder les autorisations à un compte d’ordinateur spécifique :
ConfigRemoteMgmt.exe /configwinrmuser domain\DirectorServer$
<!--NeedCopy-->
Pour les actions Mettre fin au processus, Mettre fin à l’application et Shadow :
ConfigRemoteMgmt.exe /configwinrmuser domain\name /all
<!--NeedCopy-->
Pour accorder les autorisations à un groupe d’utilisateurs :
ConfigRemoteMgmt.exe /configwinrmuser domain\HelpDeskUsers /all
<!--NeedCopy-->
Pour afficher l’aide de l’outil :
ConfigRemoteMgmt.exe
<!--NeedCopy-->
Partager
Partager
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.