Documentazione dei prodotti
Citrix Virtual Apps and Desktops
Service Current Release 2402 LTSR 2311 2308 2305 2303 2212 2209 2206 2203 LTSR 1912 LTSR
Visualizza PDF

Amministrazione delegata

January 23, 2026
Grazie al contributo di: 
C

Nota:

È possibile gestire la distribuzione di Citrix Virtual Apps and Desktops™ utilizzando due console di gestione: Web Studio (basata sul Web) e Citrix Studio (basata su Windows). Questo articolo tratta solo Web Studio. Per informazioni su Citrix Studio, consultare l’articolo equivalente in Citrix Virtual Apps and Desktops 7 2212 o versioni precedenti.

Il modello di amministrazione delegata offre la flessibilità necessaria per adattarsi al modo in cui l’organizzazione desidera delegare le attività di amministrazione, utilizzando il controllo basato su ruoli e oggetti. L’amministrazione delegata si adatta a distribuzioni di tutte le dimensioni e consente di configurare una maggiore granularità delle autorizzazioni man mano che la distribuzione cresce in complessità. L’amministrazione delegata utilizza tre concetti: amministratori, ruoli e ambiti.

  • Amministratori: Un amministratore rappresenta una persona fisica o un gruppo di persone identificate dal proprio account Active Directory. Ogni amministratore è associato a una o più coppie ruolo e ambito.

  • Ruoli: Un ruolo rappresenta una funzione lavorativa e ha autorizzazioni definite associate ad esso. Ad esempio, il ruolo Amministratore di Delivery Group ha autorizzazioni come “Crea Delivery Group” e “Rimuovi desktop da Delivery Group”. Un amministratore può avere più ruoli per un sito, quindi una persona può essere un Amministratore di Delivery Group e un Amministratore di Catalogo macchine. I ruoli possono essere predefiniti o personalizzati.

    I ruoli predefiniti sono:

    Ruolo Autorizzazioni
    Amministratore completo Può eseguire tutte le attività e le operazioni. Un Amministratore completo è sempre combinato con l’ambito Tutti.
    Amministratore di sola lettura Può visualizzare tutti gli oggetti negli ambiti specificati oltre alle informazioni globali, ma non può modificare nulla. Ad esempio, un Amministratore di sola lettura con Ambito=Londra può visualizzare tutti gli oggetti globali (come la registrazione della configurazione) e qualsiasi oggetto con ambito Londra (ad esempio, Delivery Group di Londra). Tuttavia, tale amministratore non può visualizzare gli oggetti nell’ambito New York (supponendo che gli ambiti Londra e New York non si sovrappongano).
    Amministratore Help Desk Può visualizzare i Delivery Group e gestire le sessioni e le macchine associate a tali gruppi. Può visualizzare le informazioni sul Catalogo macchine e sull’host per i Delivery Group monitorati. Può anche eseguire operazioni di gestione delle sessioni e di gestione dell’alimentazione delle macchine per le macchine in tali Delivery Group.
    Amministratore di Catalogo macchine Può creare e gestire Cataloghi macchine e fornirvi le macchine. Può creare Cataloghi macchine dall’infrastruttura di virtualizzazione, da Provisioning Services e da macchine fisiche. Questo ruolo può gestire immagini di base e installare software, ma non può assegnare applicazioni o desktop agli utenti.
    Amministratore di Delivery Group Può distribuire applicazioni, desktop e macchine; può anche gestire le sessioni associate. Può anche gestire le configurazioni di applicazioni e desktop come criteri e impostazioni di gestione dell’alimentazione.
    Amministratore host Può gestire le connessioni host e le relative impostazioni delle risorse. Non può distribuire macchine, applicazioni o desktop agli utenti.

    In alcune edizioni del prodotto, è possibile creare ruoli personalizzati per soddisfare i requisiti dell’organizzazione e delegare le autorizzazioni con maggiori dettagli. È possibile utilizzare ruoli personalizzati per allocare le autorizzazioni con la granularità di un’azione o di un’attività in una console.

  • Ambiti: Un ambito rappresenta una raccolta di oggetti. Gli ambiti vengono utilizzati per raggruppare gli oggetti in un modo pertinente per l’organizzazione (ad esempio, l’insieme di Delivery Group utilizzati dal team di vendita). Gli oggetti possono trovarsi in più di un ambito; si può pensare agli oggetti come etichettati con uno o più ambiti. Esiste un ambito predefinito: “Tutti”, che contiene tutti gli oggetti. Il ruolo Amministratore completo è sempre abbinato all’ambito Tutti.

Esempio

L’azienda XYZ ha deciso di gestire applicazioni e desktop in base al reparto (Contabilità, Vendite e Magazzino) e al sistema operativo desktop (Windows 7 o Windows 8). L’amministratore ha creato cinque ambiti, quindi ha etichettato ogni Delivery Group con due ambiti: uno per il reparto in cui vengono utilizzati e uno per il sistema operativo che utilizzano.

Sono stati creati i seguenti amministratori:

Amministratore Ruoli Ambiti
domain/fred Amministratore completo Tutti (il ruolo Amministratore completo ha sempre l’ambito Tutti)
domain/rob Amministratore di sola lettura Tutti
domain/heidi Amministratore di sola lettura, Amministratore Help Desk Tutti Vendite
domain/warehouseadmin Amministratore Help Desk Magazzino
domain/peter Amministratore di Delivery Group, Amministratore di Catalogo macchine Win7
  • Fred è un Amministratore completo e può visualizzare, modificare ed eliminare tutti gli oggetti nel sistema.
  • Rob può visualizzare tutti gli oggetti nel sito ma non può modificarli o eliminarli.
  • Heidi può visualizzare tutti gli oggetti ed eseguire attività di help desk sui Delivery Group nell’ambito Vendite. Ciò le consente di gestire le sessioni e le macchine associate a tali gruppi; non può apportare modifiche al Delivery Group, come l’aggiunta o la rimozione di macchine.
  • Chiunque sia membro del gruppo di sicurezza Active Directory warehouseadmin può visualizzare ed eseguire attività di help desk sulle macchine nell’ambito Magazzino.
  • Peter è uno specialista di Windows 7 e può gestire tutti i Cataloghi macchine Windows 7 e distribuire applicazioni, desktop e macchine Windows 7, indipendentemente dall’ambito del reparto in cui si trovano. L’amministratore ha considerato di rendere Peter un Amministratore completo per l’ambito Win7. Tuttavia, ha deciso di non farlo, perché un Amministratore completo ha anche pieni diritti su tutti gli oggetti che non sono con ambito, come “Sito” e “Amministratore”.

Come utilizzare l’amministrazione delegata

In generale, il numero di amministratori e la granularità delle loro autorizzazioni dipendono dalle dimensioni e dalla complessità della distribuzione.

  • Nelle distribuzioni di piccole dimensioni o proof-of-concept, uno o pochi amministratori fanno tutto. Non c’è delega. In questo caso, creare ogni amministratore con il ruolo predefinito Amministratore completo, che ha l’ambito Tutti.
  • Nelle distribuzioni più grandi con più macchine, applicazioni e desktop, è necessaria una maggiore delega. Diversi amministratori potrebbero avere responsabilità funzionali più specifiche (ruoli). Ad esempio, due sono Amministratori completi e altri sono Amministratori Help Desk. Inoltre, un amministratore potrebbe gestire solo determinati gruppi di oggetti (ambiti), come i cataloghi macchine. In questo caso, creare nuovi ambiti, più amministratori con uno dei ruoli predefiniti e gli ambiti appropriati.
  • Distribuzioni ancora più grandi potrebbero richiedere più (o più specifici) ambiti, oltre a diversi amministratori con ruoli non convenzionali. In questo caso, modificare o creare più ambiti, creare ruoli personalizzati e creare ogni amministratore con un ruolo predefinito o personalizzato, più ambiti esistenti e nuovi.

Per flessibilità e facilità di configurazione, è possibile creare ambiti quando si crea un amministratore. È anche possibile specificare gli ambiti durante la creazione o la modifica di Cataloghi macchine o connessioni.

Creare e gestire gli amministratori

Quando si crea un sito come amministratore locale, l’account utente diventa automaticamente un Amministratore completo con autorizzazioni complete su tutti gli oggetti. Dopo la creazione di un sito, gli amministratori locali non hanno privilegi speciali.

Il ruolo Amministratore completo ha sempre l’ambito Tutti; non è possibile modificarlo.

Per impostazione predefinita, un amministratore è abilitato. La disabilitazione di un amministratore potrebbe essere necessaria se si sta creando l’amministratore ora, ma quella persona non inizierà le mansioni amministrative fino a più tardi. Per gli amministratori abilitati esistenti, potrebbe essere opportuno disabilitarne diversi mentre si riorganizzano gli oggetti/ambiti, quindi riabilitarli quando si è pronti per la messa in produzione con la configurazione aggiornata. Non è possibile disabilitare un Amministratore completo se ciò comporterebbe l’assenza di un Amministratore completo abilitato. La casella di controllo abilita/disabilita è disponibile quando si crea, si copia o si modifica un amministratore.

Quando si elimina una coppia ruolo/ambito durante la copia, la modifica o l’eliminazione di un amministratore, viene eliminata solo la relazione tra il ruolo e l’ambito per quell’amministratore. Non elimina né il ruolo né l’ambito. Inoltre, non influisce su nessun altro amministratore configurato con quella coppia ruolo/ambito.

Per creare e gestire gli amministratori, seguire questi passaggi:

  1. Accedere a Web Studio, fare clic su Amministratori nel riquadro sinistro, quindi fare clic sulla scheda Amministratori.

  2. Seguire le istruzioni per l’attività che si desidera completare:

    • Creare un amministratore: Fare clic su Crea amministratore nella barra delle azioni. Digitare o cercare il nome dell’account utente, selezionare o creare un ambito, quindi selezionare un ruolo. Il nuovo amministratore è abilitato per impostazione predefinita; è possibile modificarlo.
    • Copiare un amministratore: Selezionare l’amministratore e quindi fare clic su Copia amministratore nella barra delle azioni. Digitare o cercare il nome dell’account utente. È possibile selezionare e quindi modificare o eliminare una qualsiasi delle coppie ruolo/ambito e aggiungerne di nuove. Il nuovo amministratore è abilitato per impostazione predefinita; è possibile modificarlo.
    • Modificare un amministratore: Selezionare l’amministratore e quindi fare clic su Modifica amministratore nella barra delle azioni. È possibile modificare o eliminare una qualsiasi delle coppie ruolo/ambito e aggiungerne di nuove.
    • Eliminare un amministratore: Selezionare l’amministratore e quindi fare clic su Elimina amministratore nella barra delle azioni. Non è possibile eliminare un Amministratore completo se ciò comporterebbe l’assenza di un Amministratore completo abilitato.

Il riquadro superiore visualizza gli amministratori creati. Selezionare un amministratore per visualizzarne i dettagli nel riquadro inferiore. La colonna Avvisi indica se le coppie ruolo e ambito associate all’amministratore contengono ruoli o ambiti inutilizzabili. Il seguente messaggio di avviso viene visualizzato se una coppia ruolo e ambito associata contiene ruoli o ambiti inutilizzabili:

  • Ruolo o ambito associato non utilizzabile

Importante:

Un messaggio di avviso viene visualizzato solo quando una coppia ruolo e ambito associata contiene ruoli o ambiti inutilizzabili o entrambi.

Per rimuovere la coppia ruolo e ambito dall’amministratore, completare uno dei seguenti passaggi:

  • Eliminare la coppia ruolo e ambito.
    1. Nella barra delle azioni, fare clic su Modifica amministratore.
    2. Nella finestra Nome e dettagli amministratore, selezionare la coppia ruolo e ambito e quindi fare clic su Elimina.
    3. Fare clic su Salva per uscire.
  • Eliminare l’amministratore.
    1. Nella barra delle azioni, fare clic su Elimina amministratore.
    2. Nella finestra di conferma, fare clic su Elimina.

Creare e gestire i ruoli

Quando gli amministratori creano o modificano un ruolo, possono abilitare solo le autorizzazioni che essi stessi possiedono. Ciò impedisce agli amministratori di creare un ruolo con più autorizzazioni di quelle che hanno attualmente e quindi di assegnarlo a se stessi (o di modificare un ruolo a cui sono già assegnati).

I nomi dei ruoli possono contenere fino a 64 caratteri Unicode; non possono contenere: barra rovesciata, barra, punto e virgola, due punti, simbolo di cancelletto, virgola, asterisco, punto interrogativo, segno di uguale, freccia sinistra o destra, pipe, parentesi quadra sinistra o destra, parentesi tonda sinistra o destra, virgolette o apostrofo. Le descrizioni possono contenere fino a 256 caratteri Unicode.

Non è possibile modificare o eliminare un ruolo predefinito. Non è possibile eliminare un ruolo personalizzato se un amministratore lo sta utilizzando.

Nota:

Solo alcune edizioni del prodotto supportano i ruoli personalizzati. Solo le edizioni che supportano i ruoli personalizzati hanno voci correlate nella barra delle azioni.

Per creare e gestire i ruoli, seguire questi passaggi:

  1. Accedere a Web Studio, fare clic su Amministratori nel riquadro sinistro, quindi fare clic sulla scheda Ruoli.

  2. Seguire le istruzioni per l’attività che si desidera completare:

    • Visualizzare i dettagli del ruolo: Selezionare il ruolo. Il riquadro inferiore elenca i tipi di oggetto e le autorizzazioni associate per il ruolo. Fare clic sulla scheda Amministratori nel riquadro inferiore per visualizzare un elenco di amministratori che attualmente hanno questo ruolo.
    • Creare un ruolo personalizzato: Fare clic su Crea ruolo nel riquadro delle azioni. Immettere un nome e una descrizione. Selezionare i tipi di oggetto e le autorizzazioni.
    • Copiare un ruolo: Selezionare il ruolo, quindi fare clic su Copia ruolo nella barra delle azioni. Modificare il nome, la descrizione, i tipi di oggetto e le autorizzazioni, se necessario.
    • Modificare un ruolo personalizzato: Selezionare il ruolo, quindi fare clic su Modifica ruolo nella barra delle azioni. Modificare il nome, la descrizione, i tipi di oggetto e le autorizzazioni, se necessario.
    • Eliminare un ruolo personalizzato: Selezionare il ruolo, quindi fare clic su Elimina ruolo nella barra delle azioni. Quando richiesto, confermare l’eliminazione.

Creare e gestire gli ambiti

Quando si crea un sito, l’unico ambito disponibile è l’ambito “Tutti”, che non può essere eliminato.

È possibile creare ambiti utilizzando la seguente procedura. È anche possibile creare ambiti quando si crea un amministratore; ogni amministratore deve essere associato ad almeno una coppia ruolo e ambito. Quando si creano o si modificano desktop, cataloghi macchine, applicazioni o host, è possibile aggiungerli a un ambito esistente. Se non li si aggiunge a un ambito, rimangono parte dell’ambito “Tutti”.

La creazione del sito non può essere con ambito, né possono esserlo gli oggetti di amministrazione delegata (ambiti e ruoli). Tuttavia, gli oggetti che non è possibile definire con ambito sono inclusi nell’ambito “Tutti”. (Gli Amministratori completi hanno sempre l’ambito Tutti.) Macchine, azioni di alimentazione, desktop e sessioni non sono direttamente con ambito. Agli amministratori possono essere allocate autorizzazioni su questi oggetti tramite i cataloghi macchine o i gruppi di consegna associati.

Regole per la creazione e la gestione degli ambiti:

  • I nomi degli ambiti possono contenere fino a 64 caratteri Unicode. I nomi degli ambiti non possono includere: barra rovesciata, barra, punto e virgola, due punti, simbolo di cancelletto, virgola, asterisco, punto interrogativo, segno di uguale, freccia sinistra, freccia destra, pipe, parentesi quadra sinistra o destra, parentesi tonda sinistra o destra, virgolette o apostrofo.

  • Le descrizioni degli ambiti possono contenere fino a 256 caratteri Unicode.

  • Quando si copia o si modifica un ambito, tenere presente che la rimozione di oggetti dall’ambito può rendere tali oggetti inaccessibili all’amministratore. Se l’ambito modificato è abbinato a uno o più ruoli, assicurarsi che gli aggiornamenti dell’ambito non rendano inutilizzabile alcuna coppia ruolo/ambito.

Per creare e gestire gli ambiti, seguire questi passaggi:

  1. Accedere a Web Studio, fare clic su Amministratori nel riquadro sinistro, quindi fare clic sulla scheda Ambiti.

  2. Seguire le istruzioni per l’attività che si desidera completare:

    • Creare un ambito: Fare clic su Crea nuovo ambito nella barra delle azioni. Immettere un nome e una descrizione. Per includere tutti gli oggetti di un tipo particolare (ad esempio, Delivery Group), selezionare il tipo di oggetto. Per includere oggetti specifici, espandere il tipo e quindi selezionare i singoli oggetti (ad esempio, Delivery Group utilizzati dal team di vendita).
    • Copiare un ambito: Selezionare l’ambito e quindi fare clic su Copia ambito nella barra delle azioni. Immettere un nome e una descrizione. Modificare i tipi di oggetto e gli oggetti, se necessario.
    • Modificare un ambito: Selezionare l’ambito e quindi fare clic su Modifica ambito nella barra delle azioni. Modificare il nome, la descrizione, i tipi di oggetto e gli oggetti, se necessario.
    • Eliminare un ambito: Selezionare l’ambito e quindi fare clic su Elimina ambito nella barra delle azioni. Quando richiesto, confermare l’eliminazione.

Creare report

È possibile creare due tipi di report di amministrazione delegata:

  • Un report HTML che elenca le coppie ruolo/ambito associate a un amministratore, più le singole autorizzazioni per ogni tipo di oggetto (ad esempio, gruppi di consegna e cataloghi macchine). Questo report viene generato da Web Studio.

    Per creare questo report, seguire questi passaggi:

    1. Accedere a Web Studio, fare clic su Amministratori nel riquadro sinistro
    2. Selezionare un amministratore e quindi fare clic su Crea report nella barra delle azioni.

    È anche possibile richiedere questo report durante la creazione, la copia o la modifica di un amministratore.

  • Un report HTML o CSV che mappa tutti i ruoli predefiniti e personalizzati alle autorizzazioni. Questo report viene generato eseguendo uno script PowerShell denominato OutputPermissionMapping.ps1.

    Per eseguire questo script, è necessario essere un Amministratore completo, un Amministratore di sola lettura o un amministratore personalizzato con l’autorizzazione a leggere i ruoli. Lo script si trova in: Program Files\Citrix\DelegatedAdmin\SnapIn\Citrix.DelegatedAdmin.Admin.V1\Scripts.

    Sintassi:

    OutputPermissionMapping.ps1 [-Help] [-Csv] [-Path string] [-AdminAddress string] [-Show] [CommonParameters]

    Parametro Descrizione
    -Help Visualizza la guida dello script.
    -Csv Specifica l’output CSV. Predefinito = HTML
    -Path string Dove scrivere l’output. Predefinito = stdout
    -AdminAddress string Indirizzo IP o nome host del Delivery Controller™ a cui connettersi. Predefinito = localhost
    -Show (Valido solo quando viene specificato anche il parametro -Path) Quando si scrive l’output su un file, -Show fa sì che l’output venga aperto in un programma appropriato, come un browser web.
    CommonParameters Verbose, Debug, ErrorAction, ErrorVariable, WarningAction, WarningVariable, OutBuffer e OutVariable. Per i dettagli, consultare la documentazione Microsoft.

L’esempio seguente scrive una tabella HTML in un file denominato Roles.html e apre la tabella in un browser web.

& "$env:ProgramFiles\Citrix\DelegatedAdmin\SnapIn\
Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1"
-Path Roles.html –Show
<!--NeedCopy-->

L’esempio seguente scrive una tabella CSV in un file denominato Roles.csv. La tabella non viene visualizzata.

& "$env:ProgramFiles\Citrix\DelegatedAdmin\SnapIn\
Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1"
–CSV -Path Roles.csv
<!--NeedCopy-->

Da un prompt dei comandi di Windows, il comando di esempio precedente è:

powershell -command "& '%ProgramFiles%\Citrix\DelegatedAdmin\SnapIn\
Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1'
-CSV -Path Roles.csv"
<!--NeedCopy-->
Amministrazione delegata
January 23, 2026
Grazie al contributo di: 
C
January 23, 2026
Grazie al contributo di: 
C

In questo articolo

Feedback sito | Your privacy choices footer linkScelte di privacy | Privacy e condizioni legali | Preferenze cookie | Impostazioni di consenso | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.