-
-
-
-
-
委任管理
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
委任された管理
注:
Citrix Virtual Apps and Desktops™の展開を管理する際には、WebベースのWeb StudioとWindowsベースのCitrix Studioという2つの管理コンソールを利用することができます。本記事では、Web Studioのみを取り扱っています。Citrix Studioに関する詳細な情報については、Citrix Virtual Apps and Desktops 7 2212以前のバージョンに対応する記事をご参照ください。
委任管理モデルは、ロールベースおよびオブジェクトベースの制御を使用して、組織が管理アクティビティを委任する方法に合わせた柔軟性を提供します。委任管理はあらゆる規模の展開に対応し、展開の複雑さが増すにつれて、より詳細な権限の粒度を設定できます。委任管理では、管理者、ロール、スコープの3つの概念を使用します。
-
管理者: 管理者は、Active Directoryアカウントによって識別される個人またはグループを表します。各管理者は、1つ以上のロールとスコープのペアに関連付けられています。
-
ロール: ロールは職務を表し、それに関連付けられた定義済みの権限を持ちます。たとえば、デリバリーグループ管理者ロールには、「デリバリーグループの作成」や「デリバリーグループからのデスクトップの削除」などの権限があります。管理者はサイトに対して複数のロールを持つことができるため、ある人物がデリバリーグループ管理者とマシンカタログ管理者の両方になることも可能です。ロールは組み込みまたはカスタムにできます。
組み込みロールは次のとおりです。
ロール Permissions フル管理者 すべてのタスクと操作を実行できます。フル管理者は常に「すべて」スコープと組み合わされます。 読み取り専用管理者 グローバル情報に加えて、指定されたスコープ内のすべてのオブジェクトを表示できますが、何も変更することはできません。たとえば、Scope=Londonの読み取り専用管理者は、すべてのグローバルオブジェクト(構成ログなど)と、ロンドンにスコープ指定されたオブジェクト(ロンドンデリバリーグループなど)を表示できます。ただし、その管理者はニューヨークスコープ内のオブジェクトを表示できません(ロンドンとニューヨークのスコープが重複しないと仮定した場合)。 ヘルプデスク管理者 デリバリーグループを表示し、それらのグループに関連付けられたセッションとマシンを管理できます。監視対象のデリバリーグループのマシンカタログとホスト情報を表示できます。また、それらのデリバリーグループ内のマシンに対して、セッション管理およびマシン電源管理操作を実行できます。 マシンカタログ管理者 マシンカタログを作成および管理し、それらにマシンをプロビジョニングできます。仮想化インフラストラクチャ、Provisioning Services、および物理マシンからマシンカタログを構築できます。この役割は、ベースイメージの管理とソフトウェアのインストールはできますが、アプリケーションやデスクトップをユーザーに割り当てることはできません。 デリバリーグループ管理者 アプリケーション、デスクトップ、およびマシンを配信できます。関連するセッションも管理できます。ポリシーや電源管理設定など、アプリケーションとデスクトップの構成も管理できます。 ホスト管理者 ホスト接続とその関連リソース設定を管理できます。マシン、アプリケーション、またはデスクトップをユーザーに配信することはできません。 特定の製品エディションでは、組織の要件に合わせてカスタムロールを作成し、より詳細な権限を委任できます。カスタムロールを使用して、コンソールでのアクションまたはタスクの粒度で権限を割り当てることができます。
-
スコープ: スコープはオブジェクトのコレクションを表します。スコープは、組織に関連する方法でオブジェクトをグループ化するために使用されます(たとえば、営業チームが使用するデリバリーグループのセット)。オブジェクトは複数のスコープに属することができます。オブジェクトに1つ以上のスコープがラベル付けされていると考えることができます。組み込みスコープは1つあります。「すべて」というスコープで、すべてのオブジェクトが含まれます。フル管理者ロールは常に「すべて」スコープとペアになります。
例
XYZ社は、部門(経理、営業、倉庫)とデスクトップオペレーティングシステム(Windows 7またはWindows 8)に基づいてアプリケーションとデスクトップを管理することにしました。管理者は5つのスコープを作成し、各デリバリーグループに2つのスコープをラベル付けしました。1つは使用される部門用、もう1つは使用されるオペレーティングシステム用です。
次の管理者が作成されました。
| 管理者 | 役割 | スコープ |
|---|---|---|
| domain/fred | フル管理者 | すべて (フル管理者ロールは常にすべてのスコープを持ちます) |
| ドメイン/ロブ | 読み取り専用管理者 | すべて |
| ドメイン/ハイジ | 読み取り専用管理者、ヘルプデスク管理者 | すべての営業 |
| ドメイン/ウェアハウスアドミン | ヘルプデスク管理者 | ウェアハウス |
| ドメイン/ピーター | デリバリーグループ管理者、マシンカタログ管理者 | Win7 |
- Fredはフル管理者であり、システム内のすべてのオブジェクトを表示、編集、削除できます。
- Robはサイト内のすべてのオブジェクトを表示できますが、編集または削除はできません。
- ハイジはすべてのオブジェクトを表示でき、Salesスコープ内のDelivery Groupsに対してヘルプデスクタスクを実行できます。これにより、彼女はそれらのグループに関連付けられたセッションとマシンを管理できますが、マシンの追加や削除など、Delivery Groupに変更を加えることはできません。
- warehouseadmin Active Directoryセキュリティグループのメンバーであれば誰でも、Warehouseスコープ内のマシンを表示し、ヘルプデスクタスクを実行できます。
- Peter is a Windows 7 specialist and can manage all Windows 7 Machine Catalogs and can deliver Windows 7 applications, desktops, and machines, regardless of which department scope they are in. The administrator considered making Peter a Full Administrator for the Win7 scope. However, she decided against this, because a Full Administrator also has full rights over all objects that are not scoped, such as ‘Site’ and ‘Administrator.’
委任管理の使用方法
一般に、管理者の数とその権限の粒度は、展開の規模と複雑さによって異なります。
- 小規模な展開や概念実証の展開では、1人または数人の管理者がすべての作業を行います。委任はありません。この場合、各管理者を、Allスコープを持つ組み込みのFull Administratorロールで作成します。
- In larger deployments with more machines, applications, and desktops, more delegation is needed. Several administrators might have more specific functional responsibilities (roles). For example, two are Full Administrators, and others are Help Desk Administrators. Also, an administrator might manage only certain groups of objects (scopes), such as machine catalogs. In this case, create new scopes, plus administrators with one of the built-in roles and the appropriate scopes.
- さらに大規模な展開では、より多くの(またはより具体的な)スコープと、型破りなロールを持つ異なる管理者が必要になる場合があります。この場合、より多くのスコープを編集または作成し、カスタムロールを作成し、組み込みまたはカスタムロール、既存および新しいスコープを持つ各管理者を作成します。
柔軟性と構成の容易さのために、管理者を作成する際にスコープを作成できます。マシンカタログまたは接続を作成または編集する際にもスコープを指定できます。
管理者の作成と管理
ローカル管理者としてサイトを作成すると、ユーザーアカウントは自動的にすべてのオブジェクトに対する完全な権限を持つフル管理者になります。サイトが作成された後、ローカル管理者に特別な権限はありません。
The Full Administrator role always has the All scope; you cannot change this.
By default, an administrator is enabled. Disabling an administrator might be necessary if you are creating the administrator now, but that person won’t start administration duties until later. For existing enabled administrators, you might want to disable several of them while you are reorganizing your object/scopes, then re-enable them when you are ready to go live with the updated configuration. You cannot disable a Full Administrator if it would result in there being no enabled Full Administrator. The enable/disable check box is available when you create, copy, or edit an administrator.
管理者をコピー、編集、または削除する際にロール/スコープのペアを削除すると、その管理者に対するロールとスコープ間の関係のみが削除されます。ロールまたはスコープのいずれも削除されません。また、そのロール/スコープのペアで構成されている他の管理者にも影響しません。
管理者を作成および管理するには、次の手順に従います。
-
Web Studio にサインインし、左側のペインで [管理者] をクリックし、[管理者] タブをクリックします。
-
実行するタスクの手順に従います。
- 管理者を作成する: アクションバーで [管理者を作成] をクリックします。ユーザーアカウント名を入力または参照し、スコープを選択または作成し、役割を選択します。新しい管理者はデフォルトで有効になっています。これは変更できます。
- 管理者をコピーする: 管理者を選択し、アクションバーで [管理者をコピー] をクリックします。ユーザーアカウント名を入力または参照します。役割/スコープのペアを選択して編集または削除したり、新しいペアを追加したりできます。新しい管理者はデフォルトで有効になっています。これは変更できます。
- 管理者を編集する: 管理者を選択し、アクションバーで [管理者を編集] をクリックします。役割/スコープのペアを編集または削除したり、新しいペアを追加したりできます。
- 管理者を削除する: 管理者を選択し、アクションバーで [管理者を削除] をクリックします。有効なフル管理者がいなくなる場合、フル管理者を削除することはできません。
上部のペインには、作成した管理者が表示されます。管理者を選択すると、下部のペインにその詳細が表示されます。[警告] 列は、管理者に関連付けられている役割とスコープのペアに、使用できない役割またはスコープが含まれているかどうかを示します。関連付けられている役割とスコープのペアに、使用できない役割またはスコープが含まれている場合、次の警告メッセージが表示されます。
- 関連付けられている役割またはスコープが使用できません
重要:
警告メッセージは、関連付けられている役割とスコープのペアに、使用できない役割またはスコープ、あるいはその両方が含まれている場合にのみ表示されます。
管理者から役割とスコープのペアを削除するには、次のいずれかの手順を実行します。
- 役割とスコープのペアを削除します。
- アクションバーで [管理者を編集] をクリックします。
- [管理者名と詳細] ウィンドウで、役割とスコープのペアを選択し、[削除] をクリックします。
- 「保存」をクリックして終了します。
- 管理者を削除します。
- アクションバーで、「管理者削除」をクリックします。
- 確認ウィンドウで、「削除」をクリックします。
ロールの作成と管理
管理者がロールを作成または編集する場合、自分自身が持っている権限のみを有効にできます。これにより、管理者が現在持っている権限よりも多くの権限を持つロールを作成し、それを自分自身に割り当てたり(またはすでに割り当てられているロールを編集したり)することを防ぎます。
ロール名には最大64個のUnicode文字を含めることができます。ただし、バックスラッシュ、スラッシュ、セミコロン、コロン、ポンド記号、コンマ、アスタリスク、疑問符、等号、左右の矢印、パイプ、左右の角かっこ、左右の丸かっこ、引用符、アポストロフィは含めることができません。説明には最大256個のUnicode文字を含めることができます。
組み込みロールを編集または削除することはできません。いずれかの管理者が使用しているカスタムロールを削除することはできません。
注:
特定の製品エディションのみがカスタムロールをサポートしています。カスタムロールをサポートするエディションのみが、アクションバーに関連エントリを持っています。
ロールを作成および管理するには、次の手順に従います。
-
Web Studioにサインインし、左ペインで「管理者」をクリックし、次に「ロール」タブをクリックします。
-
実行したいタスクの手順に従います。
- ロールの詳細を表示: ロールを選択します。下部のペインに、ロールのオブジェクトタイプと関連する権限が一覧表示されます。下部のペインで「管理者」タブをクリックすると、現在このロールを持つ管理者の一覧が表示されます。
- カスタムロールを作成: アクションペインで「ロールの作成」をクリックします。名前と説明を入力します。オブジェクトタイプと権限を選択します。
- 役割をコピー:役割を選択し、アクションバーの「役割をコピー」をクリックします。必要に応じて、名前、説明、オブジェクトの種類、および権限を変更します。
- カスタム役割を編集:役割を選択し、アクションバーの「役割を編集」をクリックします。必要に応じて、名前、説明、オブジェクトの種類、および権限を変更します。
- カスタム役割を削除:役割を選択し、アクションバーの「役割を削除」をクリックします。プロンプトが表示されたら、削除を確定します。
スコープの作成と管理
サイトを作成すると、利用可能なスコープは「すべて」スコープのみであり、これは削除できません。
以下の手順でスコープを作成できます。管理者を作成する際にもスコープを作成できます。各管理者は、少なくとも1つの役割とスコープのペアに関連付けられている必要があります。デスクトップ、マシンカタログ、アプリケーション、またはホストを作成または編集する際に、それらを既存のスコープに追加できます。スコープに追加しない場合、それらは「すべて」スコープの一部として残ります。
サイトの作成はスコープ化できず、委任管理オブジェクト(スコープと役割)もスコープ化できません。ただし、スコープ化できないオブジェクトは「すべて」スコープに含まれます。(完全な管理者は常に「すべて」スコープを持っています。)マシン、電源アクション、デスクトップ、およびセッションは直接スコープ化されません。管理者は、関連するマシンカタログまたはデリバリーグループを通じて、これらのオブジェクトに対する権限を割り当てることができます。
スコープの作成と管理に関するルール:
-
スコープ名には最大64個のUnicode文字を含めることができます。スコープ名には、バックスラッシュ、スラッシュ、セミコロン、コロン、ポンド記号、コンマ、アスタリスク、疑問符、等号、左矢印、右矢印、パイプ、左または右の角括弧、左または右の丸括弧、引用符、またはアポストロフィを含めることはできません。
-
スコープの説明には最大256個のUnicode文字を含めることができます。
-
スコープをコピーまたは編集する際、スコープからオブジェクトを削除すると、それらのオブジェクトが管理者からアクセスできなくなる可能性があることに注意してください。編集されたスコープが1つ以上の役割とペアになっている場合、スコープの更新によって役割/スコープのペアが使用できなくならないようにしてください。
スコープを作成および管理するには、次の手順に従います。
-
Web Studioにサインインし、左ペインで「管理者」をクリックし、次に「スコープ」タブをクリックします。
-
実行したいタスクの手順に従います。
- スコープの作成:アクションバーの「新しいスコープの作成」をクリックします。名前と説明を入力します。特定の種類のすべてのオブジェクト(例:デリバリーグループ)を含めるには、オブジェクトの種類を選択します。特定のオブジェクトを含めるには、種類を展開し、個々のオブジェクト(例:営業チームが使用するデリバリーグループ)を選択します。
- スコープのコピー: スコープを選択し、アクションバーで [スコープのコピー] をクリックします。名前と説明を入力します。必要に応じて、オブジェクトの種類とオブジェクトを変更します。
- スコープの編集: スコープを選択し、アクションバーで [スコープの編集] をクリックします。必要に応じて、名前、説明、オブジェクトの種類、およびオブジェクトを変更します。
- スコープの削除: スコープを選択し、アクションバーで [スコープの削除] をクリックします。プロンプトが表示されたら、削除を確定します。
レポートの作成
委任管理レポートには、次の2種類を作成できます。
-
管理者に関連付けられている役割/スコープのペアと、各オブジェクトの種類(デリバリーグループやマシンカタログなど)の個々の権限を一覧表示するHTMLレポート。このレポートはWeb Studioから生成します。
このレポートを作成するには、次の手順に従います。
- Web Studioにサインインし、左ペインで [管理者] をクリックします。
- 管理者を選択し、アクションバーで [レポートの作成] をクリックします。
管理者を作成、コピー、または編集するときに、このレポートを要求することもできます。
-
すべての組み込み役割とカスタム役割を権限にマッピングするHTMLまたはCSVレポート。このレポートは、OutputPermissionMapping.ps1という名前のPowerShellスクリプトを実行して生成します。
このスクリプトを実行するには、完全な管理者、読み取り専用管理者、または役割の読み取り権限を持つカスタム管理者である必要があります。スクリプトは、Program Files\Citrix\DelegatedAdmin\SnapIn\Citrix.DelegatedAdmin.Admin.V1\Scriptsにあります。
構文:
OutputPermissionMapping.ps1 [-Help] [-Csv] [-Path string] [-AdminAddress string] [-Show] [CommonParameters]パラメーター 説明文 -Helpスクリプトのヘルプを表示します。 -CsvCSV出力を指定します。デフォルト = HTML -Path string出力の書き込み先。デフォルト = stdout -AdminAddress string接続するDelivery Controller™のIPアドレスまたはホスト名。デフォルト = localhost -Show( -Pathパラメーターも指定されている場合にのみ有効) 出力をファイルに書き込むと、-Showによって、Webブラウザーなどの適切なプログラムで出力が開かれます。共通パラメーター Verbose、Debug、ErrorAction、ErrorVariable、WarningAction、WarningVariable、OutBuffer、およびOutVariable。詳細については、Microsoftのドキュメントを参照してください。
次の例では、HTMLテーブルをRoles.htmlという名前のファイルに書き込み、Webブラウザーで開きます。
& "$env:ProgramFiles\Citrix\DelegatedAdmin\SnapIn\
Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1"
-Path Roles.html –Show
<!--NeedCopy-->
次の例では、CSVテーブルをRoles.csvという名前のファイルに書き込みます。テーブルは表示されません。
& "$env:ProgramFiles\Citrix\DelegatedAdmin\SnapIn\
Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1"
–CSV -Path Roles.csv
<!--NeedCopy-->
Windowsコマンドプロンプトから、上記のコマンド例は次のとおりです。
powershell -command "& '%ProgramFiles%\Citrix\DelegatedAdmin\SnapIn\
Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1'
-CSV -Path Roles.csv"
<!--NeedCopy-->
共有
共有
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.