Citrix Virtual Apps and Desktops

Amministrazione delegata

Nota:

È possibile gestire l’implementazione di Citrix Virtual Apps and Desktops utilizzando due console di gestione: Web Studio (basato sul Web) e Citrix Studio (basato su Windows). Questo articolo riguarda solo Web Studio. Per informazioni su Citrix Studio, vedere l’articolo equivalente in Citrix Virtual Apps and Desktops 7 2212 o versioni precedenti.

Il modello di amministrazione delegata offre la flessibilità necessaria per adeguarsi al modo in cui l’organizzazione desidera delegare le attività di amministrazione, utilizzando il controllo basato su ruoli e su oggetti. L’amministrazione delegata supporta distribuzioni di tutte le dimensioni e consente di configurare una maggiore granularità delle autorizzazioni man mano che la distribuzione si fa più complessa. L’amministrazione delegata utilizza tre concetti: amministratori, ruoli e ambiti.

  • Amministratori: un amministratore rappresenta una singola persona o un gruppo di persone identificate dal proprio account Active Directory. Ogni amministratore è associato a una o più coppie di ruoli e di ambiti.

  • Ruoli: un ruolo rappresenta una funzione lavorativa e ad esso sono associate autorizzazioni definite. Ad esempio, il ruolo di Amministratore del gruppo di consegna dispone di autorizzazioni quali “Create Delivery Group” (Crea gruppo di consegna) e “Remove Desktop from Delivery Group” (Rimuovi desktop dal gruppo di consegna). Un amministratore può disporre di più ruoli per un sito, quindi una stessa persona può essere un amministratore del gruppo di consegna e del catalogo macchine. I ruoli possono essere incorporati o personalizzati.

    I ruoli predefiniti sono:

    Ruolo Autorizzazioni
    Full Administrator (Amministratore completo) Può eseguire tutte le attività e le operazioni. Un amministratore completo viene sempre combinato con l’ambito All (Tutto).
    Read Only Administrator (Amministratore di sola lettura) Può visualizzare tutti gli oggetti negli ambiti specificati oltre alle informazioni globali, ma non può modificare nulla. Ad esempio, un amministratore di sola lettura con ambito= Londra può visualizzare tutti gli oggetti globali (ad esempio Registrazione configurazione) e tutti gli oggetti con ambito Londra (ad esempio, Gruppi di consegna di Londra). Tuttavia, tale amministratore non può visualizzare gli oggetti nell’ambito di New York (supponendo che gli ambiti Londra e New York non si sovrappongano).
    Help Desk Administrator (Amministratore dell’helpdesk) Può visualizzare i gruppi di consegna e gestire le sessioni e i computer associati a tali gruppi. Può visualizzare il catalogo macchine e le informazioni sull’host per i gruppi di consegna che segue. Può inoltre eseguire operazioni di gestione delle sessioni e gestione dell’alimentazione della macchina per le macchine di tali gruppi di consegna.
    Machine Catalog Administrator (Amministratore del catalogo macchine) Può creare e gestire i cataloghi di macchine e il provisioning delle macchine in essi elencate. Può creare cataloghi macchine dall’infrastruttura di virtualizzazione, dai Provisioning Services e dalle macchine fisiche. Questo ruolo può gestire immagini di base e installare software, ma non può assegnare applicazioni o desktop agli utenti.
    Delivery Group Administrator (Amministratore di gruppo di consegna) Può distribuire applicazioni, desktop e macchine, nonché gestire le sessioni associate. Può inoltre gestire configurazioni di applicazioni e desktop, ad esempio criteri e impostazioni di risparmio energia.
    Host Administrator (Amministratore host) Può gestire le connessioni host e le relative impostazioni delle risorse associate. Non può distribuire macchine, applicazioni o desktop agli utenti.

    In alcune edizioni del prodotto, è possibile creare ruoli personalizzati in base ai requisiti dell’organizzazione e delegare le autorizzazioni con maggiori dettagli. È possibile utilizzare ruoli personalizzati per allocare le autorizzazioni in base alla granularità di un’azione o di un’attività in una console.

  • Ambiti: un ambito rappresenta una raccolta di oggetti. Gli ambiti vengono utilizzati per raggruppare gli oggetti in modo rilevante per l’organizzazione (ad esempio, l’insieme di gruppi di consegna utilizzato dal team vendite). Gli oggetti possono trovarsi in più di un ambito; gli oggetti possono essere etichettati con uno o più ambiti. C’è un ambito incorporato: “Tutto”, che contiene tutti gli oggetti. Il ruolo Amministratore completo è sempre associato all’ambito Tutto.

Esempio

Società XYZ ha deciso di gestire applicazioni e desktop in base al relativo reparto (Account, Vendite e Magazzino) e al sistema operativo desktop (Windows 7 o Windows 8). L’amministratore ha creato cinque ambiti, quindi ha etichettato ciascun gruppo di consegna con due ambiti: uno per il reparto in cui vengono utilizzati e uno per il sistema operativo che utilizzano.

Sono stati creati i seguenti amministratori:

Amministratore Ruoli Ambiti
dominio/fred Full Administrator (Amministratore completo) Tutto (il ruolo Amministratore completo ha sempre l’ambito Tutto)
dominio/rob Read Only Administrator (Amministratore di sola lettura) Tutte
dominio/heidi Amministratore di sola lettura, Amministratore dell’helpdesk Tutte le vendite
dominio/warehouseadmin Help Desk Administrator (Amministratore dell’helpdesk) Magazzino
dominio/peter Amministratore dei gruppi di consegna, Amministratore del catalogo macchine Win7
  • Fred è un amministratore completo e può visualizzare, modificare ed eliminare tutti gli oggetti presenti nel sistema.
  • Rob può visualizzare tutti gli oggetti presenti nel sito ma non modificarli o eliminarli.
  • Heidi può visualizzare tutti gli oggetti ed eseguire attività di helpdesk nei gruppi di consegna nell’ambito Vendite. Ciò le consente di gestire le sessioni e le macchine associate a tali gruppi; non può apportare modifiche al gruppo di consegna, ad esempio aggiungere o rimuovere macchine.
  • Chiunque sia membro del gruppo di sicurezza di warehouseadmin di Active Directory può visualizzare ed eseguire attività di helpdesk sui computer che fanno parte dell’ambito Magazzino.
  • Peter è uno specialista di Windows 7 e può gestire tutti i cataloghi di macchine Windows 7 e può fornire applicazioni, desktop e computer Windows 7, indipendentemente dall’ambito di reparto in cui si trovano. L’amministratore ha preso in considerazione la decisione di rendere Peter un amministratore completo per l’ambito Win7. Tuttavia, ha poi deciso di non farlo, perché un amministratore completo ha anche diritti completi su tutti gli oggetti che non sono ambiti, come “Sito” e “Amministratore”.

Come utilizzare l’amministrazione delegata

In genere, il numero di amministratori e la granularità delle autorizzazioni dipendono dalle dimensioni e dalla complessità della distribuzione.

  • Nelle distribuzioni di piccole dimensioni o quelle prova di concetto, uno o pochi amministratori fanno tutto. Non ci sono deleghe. In questo caso, creare ciascun amministratore con il ruolo Amministratore completo incorporato, che dispone dell’ambito Tutto.
  • Nelle distribuzioni più grandi con più macchine, applicazioni e desktop, è necessario delegare di più. Diversi amministratori potrebbero avere responsabilità funzionali (ruoli) più specifiche. Ad esempio, due sono Amministratori completi e altri sono Amministratori dell’helpdesk. Inoltre, un amministratore può gestire solo determinati gruppi di oggetti (ambiti), ad esempio i cataloghi di macchine. In questo caso, creare nuovi ambiti, oltre ad amministratori con uno dei ruoli incorporati e gli ambiti appropriati.
  • Le distribuzioni ancora più grandi potrebbero richiedere più ambiti (o ambiti più specifici), oltre ad amministratori diversi con ruoli non convenzionali. In questo caso, modificare o creare più ambiti, creare ruoli personalizzati e creare ogni amministratore con un ruolo predefinito o personalizzato, oltre ad ambiti nuovi ed esistenti.

Per flessibilità e semplicità di configurazione, è possibile creare ambiti quando si crea un amministratore. È inoltre possibile specificare ambiti durante la creazione o la modifica di cataloghi di macchine o connessioni.

Creare e gestire gli amministratori

Quando si crea un sito come amministratore locale, l’account utente diventa automaticamente un amministratore completo con autorizzazioni complete su tutti gli oggetti. Dopo la creazione di un sito, gli amministratori locali non dispongono di privilegi speciali.

Il ruolo di amministratore completo ha sempre l’ambito Tutto. Non è possibile modificarlo.

Per impostazione predefinita, è abilitato un amministratore. La disattivazione di un amministratore potrebbe essere necessaria se si sta creando l’amministratore in quel momento, ma tale persona non inizierà a svolgere compiti di amministrazione fino a un secondo momento. Per gli amministratori abilitati esistenti, è possibile disabilitare molti di essi durante la riorganizzazione degli oggetti/ambiti, quindi riattivarli quando si è pronti a utilizzare la configurazione aggiornata. Non è possibile disabilitare un amministratore completo se, così facendo, non rimane alcun amministratore completo. La casella di controllo abilita/disabilita è disponibile quando si crea, copia o modifica un amministratore.

Quando si elimina una coppia ruolo/ambito durante la copia, la modifica o l’eliminazione di un amministratore, viene eliminata solo la relazione tra il ruolo e l’ambito di tale amministratore. Non viene eliminato né il ruolo né l’ambito. Inoltre, l’eliminazione non influisce su nessun altro amministratore configurato con tale coppia di ruolo/ambito.

Per creare e gestire gli amministratori, seguire questi passaggi:

  1. Accedere a Web Studio, fare clic su Administrators nel riquadro a sinistra e quindi fare clic sulla scheda Administrators.

  2. Seguire le istruzioni per l’attività da completare:

    • Creare un amministratore: fare clic su Create Administrator (Crea amministratore) nella barra delle azioni. Digitare o individuare il nome dell’account utente, selezionare o creare un ambito e quindi selezionare un ruolo. Il nuovo amministratore è abilitato per impostazione predefinita; è possibile modificare questa impostazione.
    • Copiare un amministratore: selezionare l’amministratore e quindi fare clic su Copy Administrator nella barra delle azioni. Digitare o individuare il nome dell’account utente. È possibile selezionare e quindi modificare o eliminare qualsiasi coppia ruolo/ambito e aggiungerne di nuove. Il nuovo amministratore è abilitato per impostazione predefinita; è possibile modificare questa impostazione.
    • Modificare un amministratore: selezionare l’amministratore e quindi fare clic su Edit Administrator (Modifica amministratore) nella barra delle azioni. È possibile modificare o eliminare una o più delle coppie ruolo/ambito e aggiungerne di nuove.
    • Eliminare un amministratore: selezionare l’amministratore e fare clic su Delete Administrator (Elimina amministratore) nella barra delle azioni. Non è possibile eliminare un amministratore completo se, così facendo, non rimane alcun amministratore completo.

Nel riquadro superiore vengono visualizzati gli amministratori creati. Selezionare un amministratore per visualizzarne i dettagli nel riquadro inferiore. La colonna Warnings (Avvisi) indica se le coppie ruolo/ambito associate all’amministratore contengono ruoli o ambiti inutilizzabili. Se una coppia di ruoli e ambiti associati contiene ruoli o ambiti inutilizzabili, viene visualizzato il seguente messaggio di avviso:

  • Associated role or scope not usable (Ruolo o ambito associato non utilizzabile)

Importante:

Se una coppia di ruoli e ambiti associati contiene ruoli o ambiti o coppie ruolo/ambito inutilizzabili, viene visualizzato un messaggio di avviso.

Per rimuovere la coppia ruolo/ambito dall’amministratore, completare una delle seguenti operazioni:

  • Eliminare la coppia ruolo/ambito.
    1. Nella barra delle azioni fare clic su Edit Administrator (Modifica amministratore).
    2. Nella finestra Administrator Name and Details selezionare la coppia ruolo/ambito e quindi fare clic su Delete.
    3. Fare clic su Save per uscire.
  • Eliminare l’amministratore.
    1. Nella barra delle azioni fare clic su Delete Administrator (Elimina amministratore).
    2. Nella finestra di conferma, fare clic su Delete.

Creare e gestire ruoli

Quando gli amministratori creano o modificano un ruolo, possono abilitare solo le autorizzazioni di cui dispongono essi stessi. Ciò impedisce agli amministratori di creare un ruolo con più autorizzazioni di quelle di cui dispongono attualmente e di assegnarlo a se stessi (o modificare un ruolo già assegnato).

I nomi dei ruoli possono contenere fino a 64 caratteri Unicode; non possono contenere: barra rovesciata, barra, punto e virgola, due punti, cancelletto, virgola, asterisco, punto interrogativo, segno di uguale, freccia sinistra o destra, barra verticale, parentesi quadra aperta o chiusa, parentesi tonda aperta o chiusa, virgolette o apostrofo. Le descrizioni possono contenere fino a 256 caratteri Unicode.

Non è possibile modificare o eliminare un ruolo predefinito. Non è possibile eliminare un ruolo personalizzato se viene utilizzato da un amministratore.

Nota:

Solo alcune edizioni di prodotto supportano i ruoli personalizzati. Solo le edizioni che supportano i ruoli personalizzati hanno voci correlate nella barra delle azioni.

Per creare e gestire i ruoli, seguire questi passaggi:

  1. Accedere a Web Studio, fare clic su Administrators nel riquadro a sinistra, quindi fare clic sulla scheda Roles.

  2. Seguire le istruzioni per l’attività da completare:

    • Visualizzare i dettagli del ruolo: selezionare il ruolo. Nel riquadro inferiore sono elencati i tipi di oggetto e le autorizzazioni associate al ruolo. Fare clic sulla scheda Administrators nel riquadro inferiore per visualizzare un elenco degli amministratori che attualmente dispongono di questo ruolo.
    • Creare un ruolo personalizzato: fare clic su Create Role (Crea ruolo) nella barra delle azioni. Immettere un nome e una descrizione. Selezionare i tipi di oggetto e le autorizzazioni.
    • Copiare un ruolo: selezionare il ruolo e quindi fare clic su Copy Role (Copia ruolo) nella barra delle azioni. Modificare il nome, la descrizione, i tipi di oggetto e le autorizzazioni in base alle esigenze.
    • Modificare un ruolo personalizzato: selezionare il ruolo e quindi fare clic su Edit Role (Modifica ruolo) nella barra delle azioni. Modificare il nome, la descrizione, i tipi di oggetto e le autorizzazioni in base alle esigenze.
    • Eliminare un ruolo personalizzato: selezionare il ruolo e quindi fare clic su Delete Role (Elimina ruolo) nella barra delle azioni. Quando richiesto, confermare l’eliminazione.

Creare e gestire ambiti

Quando si crea un sito, l’unico ambito disponibile è l’ambito “Tutti”, che non può essere eliminato.

È possibile creare ambiti utilizzando la procedura descritta di seguito. È inoltre possibile creare ambiti quando si crea un amministratore; ogni amministratore deve essere associato ad almeno una coppia ruolo/ambito. Quando si creano o si modificano desktop, cataloghi di macchine, applicazioni o host, è possibile aggiungerli a un ambito esistente. Se non li si aggiunge a un ambito, rimangono parte dell’ambito “Tutto”.

La creazione del sito non può essere inserita in un ambito così come gli oggetti di amministrazione (ambiti e ruoli) delegati. Tuttavia, gli oggetti che non è possibile inserire in un ambito sono inclusi nell’ambito “Tutto”. Gli amministratori completi hanno sempre l’ambito Tutto. Le macchine, le azioni relative all’alimentazione, i desktop e le sessioni non vengono direttamente inseriti in ambiti. Agli amministratori possono essere assegnate autorizzazioni su questi oggetti tramite i cataloghi di computer associati o i gruppi di consegna.

Regole per la creazione e la gestione degli ambiti:

  • I nomi di ambito possono contenere fino a 64 caratteri Unicode. I nomi dei ruoli non possono contenere: barra rovesciata, barra, punto e virgola, due punti, cancelletto, virgola, asterisco, punto interrogativo, segno di uguale, freccia sinistra o destra, barra verticale, parentesi quadra aperta o chiusa, parentesi tonda aperta o chiusa, virgolette o apostrofo.

  • Le descrizioni degli ambiti possono contenere fino a 256 caratteri Unicode.

  • Quando si copia o si modifica un ambito, tenere presente che la rimozione di oggetti dall’ambito può rendere tali oggetti inaccessibili all’amministratore. Se l’ambito modificato è associato a uno o più ruoli, assicurarsi che gli aggiornamenti dell’ambito non rendano inutilizzabile alcuna coppia ruolo/ambito.

Per creare e gestire gli ambiti, seguire questi passaggi:

  1. Accedere a Web Studio, fare clic su Administrators nel riquadro a sinistra, quindi fare clic sulla scheda Scopes.

  2. Seguire le istruzioni per l’attività da completare:

    • Creare un ambito: fare clic su Create new Scope (Crea nuovo ambito) nella barra delle azioni. Immettere un nome e una descrizione. Per includere tutti gli oggetti di un tipo particolare (ad esempio gruppi di consegna), selezionare il tipo di oggetto. Per includere oggetti specifici, espandere il tipo e selezionare i singoli oggetti (ad esempio, i gruppi di consegna utilizzati dal team vendite).
    • Copiare un ambito: selezionare l’ambito e quindi fare clic su Copy Scope (Copia ambito) nella barra delle azioni. Immettere un nome e una descrizione. Modificare i tipi di oggetto e gli oggetti in base alle esigenze.
    • Modificare un ambito: selezionare l’ambito e quindi fare clic su Edit Scope (Modifica ambito) nella barra delle azioni. Modificare il nome, la descrizione, i tipi di oggetto e gli oggetti in base alle esigenze.
    • Eliminare un ambito: selezionare l’ambito e quindi fare clic su Delete Scope (Elimina ambito) nella barra delle azioni. Quando richiesto, confermare l’eliminazione.

Creare report

È possibile creare due tipi di report di amministrazione delegata:

  • Un report HTML che elenca le coppie ruolo/ambito associate a un amministratore e le singole autorizzazioni per ogni tipo di oggetto (ad esempio gruppi di consegna e cataloghi macchine). È possibile generare questo report da Web Studio.

    Per creare questo report , seguire questi passaggi:

    1. Accedere a Web Studio, fare clic su Administrators nel riquadro a sinistra
    2. Selezionare un amministratore, quindi fare clic su Create report nella barra delle azioni.

    È inoltre possibile richiedere questo report durante la creazione, la copia o la modifica di un amministratore.

  • Report HTML o CSV che associa tutti i ruoli predefiniti e personalizzati alle autorizzazioni. È possibile generare questo report eseguendo uno script PowerShell denominato OutputPermissionMapping.ps1.

    Per eseguire questo script, è necessario essere un amministratore completo, un amministratore di sola lettura o un amministratore personalizzato con l’autorizzazione per la lettura dei ruoli. Lo script si trova in: Programmi\Citrix\DelegatedAdmin\SnapIn\Citrix.DelegatedAdmin.Admin.V1\Scripts.

    Sintassi:

    OutputPermissionMapping.ps1 [-Help] [-Csv] [-Path string] [-AdminAddress string] [-Show] [CommonParameters]

    Parametro Descrizione
    -Help Visualizza la Guida dello script.
    -Csv Specifica l’output CSV. Predefinito= HTML
    -Path string Dove scrivere l’output. Predefinito= stdout
    -AdminAddress string Indirizzo IP o nome host del Delivery Controller a cui connettersi. Predefinito= localhost
    -Show (Valido solo quando viene specificato anche il parametro -Path) Quando si scrive l’output in un file, -Show fa aprire l’output in un programma appropriato, ad esempio un browser Web.
    CommonParameters Verbose, Debug, ErrorAction, ErrorVariable, WarningAction, WarningVariable, OutBuffer e OutVariable. Per ulteriori informazioni, vedere la documentazione di Microsoft.

Nell’esempio seguente viene scritta una tabella HTML in un file denominato Roles.html e la tabella viene aperta in un browser Web.

& "$env:ProgramFiles\Citrix\DelegatedAdmin\SnapIn\
Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1"
-Path Roles.html –Show
<!--NeedCopy-->

Nell’esempio seguente viene scritta una tabella CSV in un file denominato Roles.csv. La tabella non viene visualizzata.

& "$env:ProgramFiles\Citrix\DelegatedAdmin\SnapIn\
Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1"
–CSV -Path Roles.csv
<!--NeedCopy-->

Dal prompt dei comandi di Windows, il comando di esempio precedente è:

powershell -command "& '%ProgramFiles%\Citrix\DelegatedAdmin\SnapIn\
Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1'
-CSV -Path Roles.csv"
<!--NeedCopy-->
Amministrazione delegata