管理者の役割
ユーザーのグループに割り当てる管理者の役割では、Citrix Provisioningサーバーの実装においてオブジェクトを表示し管理する能力を制御します。Citrix Provisioningでは、ネットワーク内に既に存在するグループ(WindowsまたはActive Directoryのグループ)を使用します。グループのすべてのメンバーが、ファーム内で同じ管理者権限を所有します。複数のグループに属する管理者には複数の役割があります。
グループに割り当てられる管理者の役割は次のとおりです。
- ファーム管理者
- ファームの読み取り専用管理者
- サイト管理者
- サイトの読み取り専用管理者
- デバイス管理者
- デバイスの読み取り専用管理者
- デバイスオペレーター
Citrix Provisioningコンソールを使用してグループに管理者の役割を割り当てた後、特定の要件が必要になります。そのグループのメンバーが別のファームに接続しようとすると、そのファーム内のProvisioningサーバーを指定するように要求するダイアログボックスが表示されます。現在のログオンに使用したWindowsの資格情報(デフォルト設定)を使用するか、Active Directoryの資格情報を入力します。Citrix Provisioningでは、ドメインとワークグループの両方を同時に使用することはサポートされません。
グループに関連付けられた役割によって、このファーム内の管理者特権が決まります。グループにはファームごとに異なる役割を割り当てられます。
ファーム管理者の管理
ファーム管理者はファーム内の全オブジェクトを表示および管理するほか、サイトの作成やファーム全体の役割の割り当ての管理も行います。Citrix Provisioningコンソールで、管理者がファームレベルのタスクを実行します。
構成ウィザードを使用して初めてファームを構成するとき、ファームを作成する管理者にはファーム管理者の役割が自動的に割り当てられます。ファームの構成中、管理者はファームでのユーザー認証にWindowsとActive Directoryのどちらの資格情報を使用するかを選択します。構成ウィザードを実行した後で、コンソールでファーム管理者の役割を追加のユーザーグループに割り当てられます。
追加のファーム管理者を割り当てるには
- コンソールで管理者の役割を割り当てるファームを右クリックし、[プロパティ] を選択します。[ファームプロパティ] ダイアログボックスが開きます。
- [グループ] タブでこのファームの管理者の役割を割り当てるすべてのグループを強調表示して、[追加] をクリックします。
- [セキュリティ] タブで、読み取り専用アクセス権限を与えるグループを選択します。選択されていないグループには、読み取りと書き込みのアクセス権限があります。[追加] をクリックします。
- [OK] をクリックしてダイアログボックスを閉じます。
注:
認証方法としてWindowsとActive Directoryのどちらの資格情報をこのファームで使用するかが表示されます。 管理者の役割のグループは、ネイティブドメイン内のグループと、ネイティブドメインと双方向の信頼関係にあるドメインに限定されます。
サイト管理者の管理
サイト管理者はサイト内のすべてのオブジェクトに対する完全な管理アクセス権を持ちます。たとえば、サイト管理者はProvisioningサーバー、サイトプロパティ、ターゲットデバイス、デバイスコレクション、仮想ディスクの割当プールを管理します。
ファーム管理者が特定のストアの保有サイトとしてサイトを割り当てた場合は、サイト管理者はそのストアを管理することもできます。ストアの管理には共有ストレージでの仮想ディスクの追加と削除や、ストアへのProvisioningサーバーの割り当てなどがあります。サイト管理者はデバイス管理者とデバイスオペレーターのメンバーシップも管理できます。
グループとそのメンバーにサイト管理者の役割を割り当てるには
- コンソールで管理者の役割を割り当てるサイトを右クリックし、[プロパティ] を選択します。[サイトプロパティ] ダイアログボックスが開きます。
- [セキュリティ] タブをクリックして [追加] をクリックします。[セキュリティグループの追加] ダイアログボックスが開きます。
- メニューから、読み取り専用アクセス権限を与えるグループを選択します。選択されていないグループには、読み取りと書き込みのアクセス権限があります。
- オプションで、手順2.と3.を繰り返してサイト管理者の役割を割り当てます。
- [OK] をクリックしてダイアログボックスを閉じます。
デバイス管理者の管理
デバイス管理者は、権限を持つデバイスコレクションを管理します。管理タスクに含まれるのは、デバイスへの仮想ディスクの割り当て、デバイスからの仮想ディスクの削除、デバイスプロパティの編集、および読み取り専用の仮想ディスクプロパティの表示です。デバイスコレクションはデバイスの論理的なグループから構成されます。たとえばデバイスコレクションで、ターゲットデバイスの物理的な場所、サブネットの範囲、または論理グループを表すことができます。1つのターゲットデバイスは1つのデバイスコレクションにのみ属すことができます。
グループとそのメンバーにデバイス管理者の役割を割り当てるには
- コンソールツリーでデバイスコレクションの存在するサイトを展開し、[デバイスコレクション] フォルダーを展開します。
- デバイス管理者を追加するデバイスコレクションを右クリックし、[プロパティ]を選択します。[デバイスコレクションプロパティ] ダイアログボックスが開きます。
- [セキュリティ] タブの [デバイス管理者のグループ] ボックスの一覧の [追加] をクリックします。[セキュリティグループの追加] ダイアログボックスが開きます。
- メニューから、読み取り専用アクセス権限を与えるグループを選択します。選択されていないグループには、読み取りと書き込みのアクセス権限があります。
- [OK] をクリックしてダイアログボックスを閉じます。
デバイスオペレーターの管理
デバイスオペレーターは、管理対象のデバイスコレクションに対して次の管理タスクを実行できます。
- ターゲットデバイスの起動と再起動
- ターゲットデバイスのシャットダウン
グループにデバイスオペレーターの役割を割り当てるには
- コンソールツリーでデバイスコレクションの存在するサイトを展開し、[デバイスコレクション] フォルダーを展開します。
- デバイスオペレーターを追加するデバイスコレクションを右クリックし、[プロパティ]を選択します。[デバイスコレクションプロパティ] ダイアログボックスが開きます。
- [セキュリティ] タブの [デバイスオペレーターのグループ] ボックスの一覧の [追加] をクリックします。[セキュリティグループの追加] ダイアログボックスが開きます。
- グループにデバイスオペレーターの役割を割り当てるには、デバイス管理者権限が必要なシステムグループをそれぞれ選択して [OK] をクリックします。
- [OK] をクリックしてダイアログボックスを閉じます。
検索アプローチのAD環境向け変更
複雑なネストされたグループや多くの信頼関係を持つドメインがあるAD環境では、デフォルトの方法では、ユーザーの期待する管理メンバーシップを見つけることができない場合があります。このような問題を解決するために、レジストリ設定を使用し、検索方法を変更します:
- レジストリ設定で、
HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\ProvisioningServices
を見つけます。 - 「DomainSelectOption」という名前のDWORDを作成します。
-
DomainSelectOption DWORD
で、目的の検索手法に次のいずれかの値(10進数形式)を設定します:
- 0 - デフォルトの検索。ユーザーのドメイン、次に管理グループドメインを検索します。
- 1 - ユーザーのドメイン内および管理グループドメイン内を検索してから、ユーザーのドメイン内の他の信頼済みドメインを検索します。
- 2 - 廃止されました。
- 3 - ユーザーのドメイン、次に管理グループドメインを検索します。発見されたグループは、親ドメイン上でさらに列挙されます。
- 4 - ユーザーのドメインおよび管理グループドメイン内を検索してから、ユーザーのドメイン内の他の信頼済みドメインを検索します。発見されたグループは、親ドメイン上でさらに列挙されます。
- 5 - ユーザーのドメインおよび管理グループドメインのトークングループ内で、ユーザーのグループメンバーシップを検索します。
- 6 - ユーザーのドメインおよび管理グループドメインのトークングループ内でユーザーのグループメンバーシップを検索してから、ユーザーのドメイン内の他の信頼済みドメインを検索します。
- 7 - 権限グループ内で、ユーザーのグループメンバーシップを直接検索します。
- 8 - ユーザーが属するグループとして、ユーザーのグループメンバーシップを直接検索します。
ホワイトリストによる検索について
このセクションの情報は、診断のためのみに使用します。ユーザーグループの特定のドメインを指定して検索することが必要な場合もあります。このタスクを実行するには、レジストリを更新し、ホワイトリストドメインのJSONファイルを提供します。デフォルトの検索オプションのみを使用してください。ブラックリストドメインを指定している場合、この内容はホワイトリストドメインから除外されます。エンドリストが空の場合、検索は実行されません。
レジストリ内:
-
HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\ProvisioningServices
を探します。 - DWORDエントリWhitelistOnlyを作成します。値を1に設定してホワイトリスト検索を有効にします。