XenApp and XenDesktop

XenDesktop 7よりも前のVDAに対する権限の構成

XenDesktop 7よりも前のバージョンのVDAがある場合、Directorには展開からの情報に加えて、Windowsリモート管理(WinRM)によるリアルタイム状態と測定値が提供されます。

さらに、この手順を使用してXenDesktop 5.6 Feature Pack1のリモートPC用にWinRMを構成します。

デフォルトでは、デスクトップマシンのローカル管理者(一般的にはドメイン管理者および特権のあるそのほかのユーザー)だけが、リアルタイムデータを表示するための権限を持っています。

WinRMのインストールと構成については、CTX125243を参照してください。

ほかのユーザーがリアルタイムデータを確認できるようにするには、そのユーザーに権限を付与する必要があります。たとえば、HelpDeskUsersというActive Directoryセキュリティグループのメンバーである複数のDirectorユーザー(HelpDeskUserA、HelpDeskUserBなど)がいるとします。グループにはStudioでヘルプデスク管理者の役割が割り当てられており、必要なDelivery Controller権限が付与されています。ただし、このグループはデスクトップマシンからの情報にもアクセスする必要があります。

この場合、次のいずれかの方法で必要な権限を構成できます。

  • Directorユーザーに権限を付与する(偽装モデル)
  • Directorサービスに権限を付与する(信頼されたサブシステムモデル)

Directorユーザーに権限を付与するには(偽装モデル)

Directorでは、デフォルトで偽装モデルが使用されます。つまり、デスクトップマシンへのWinRM接続は、DirectorユーザーのIDを使って実行されます。つまり、このユーザーにはデスクトップに対する適切な権限が必要です。

必要な権限は、次のいずれかの方法で構成できます(これらの方法について詳しくは後述します)。

  1. ユーザーをデスクトップマシン上のローカル管理者グループに追加する。
  2. Directorで必要な特定の権限をユーザーに付与する。この方法では、デスクトップマシンのすべての管理権限をDirectorユーザー(HelpDeskUsersグループなど)に付与しなくても、必要な権限だけを付与できます。

Directorサービスに権限を付与するには(信頼されたサブシステムモデル)

Directorユーザーにデスクトップマシン上の権限を付与する代わりに、WinRM接続にサービスIDが使用されるようにして、そのサービスIDに適切な権限のみを付与できます。

このモデルでは、DirectorのユーザーにはWinRMを呼び出す権限を付与しません。ユーザーはDirectorを使ってデータにアクセスできるだけです。

IISのDirectorアプリケーションプールは、サービスIDとして実行するように構成されています。デフォルトでは、APPPOOL\Director仮想アカウントが使用されます。リモート接続を実行すると、このアカウントがサーバーのActive Directoryコンピューターアカウント(MyDomain\DirectorServer$など)として表示されます。このアカウントに適切な権限を付与する必要があります。

複数のDirector Webサイトが展開されている環境では、各Webサーバーのコンピューターアカウントを、適切な権限で構成されているActive Directoryセキュリティグループに追加する必要があります。

WinRMに対してユーザーのIDではなくサービスIDを使用するようにDirectorを設定するには、「詳細構成」の説明に従って次の設定を構成します:

Service.Connector.WinRM.Identity = Service
<!--NeedCopy-->

必要な権限は、次のいずれかの方法で構成できます:

  1. サービスアカウントをデスクトップマシン上のローカル管理者グループに追加する。
  2. Directorで必要な特定の権限をサービスアカウントに付与する(後述)。この方法では、デスクトップマシンのすべての管理権限をサービスアカウントに付与しなくても、必要な権限だけを付与できます。

特定のユーザーまたはグループにアクセス許可を割り当てるには

DirectorがWinRMでデスクトップマシンからの情報にアクセスできるようにするには、以下の権限が必要です。

  • WinRM RootSDDLの読み取りおよび実行権限
  • 以下のWMI名前空間権限:
    • root/cimv2 - リモートアクセス
    • root/citrix - リモートアクセス
    • root/RSOP — リモートアクセスおよび実行
  • 以下のローカルグループのメンバーシップ:
    • パフォーマンスモニターユーザー
    • イベントログリーダー

これらの権限を自動的に付与するには、x86\Virtual Desktop Agentおよびx64\Virtual Desktop Agentフォルダーのインストールメディア、およびC:\inetpub\wwwroot\Director\toolsフォルダーに収録されているConfigRemoteMgmt.exeツールを使用します。すべてのDirectorユーザーに上記の権限を付与する必要があります。

Active Directoryセキュリティグループ、ユーザー、またはコンピューターアカウントに上記の権限を付与したり、アプリケーションやプロセスを終了するための権限を付与したりするには、管理特権でコマンドプロンプトを開き、次の引数を指定してこのツールを実行します:

ConfigRemoteMgmt.exe /configwinrmuser domain\name
<!--NeedCopy-->

ここで、nameはセキュリティグループ、ユーザー、またはコンピューターアカウントです。

ユーザーのセキュリティグループに必要な権限を付与するには次のコマンドを実行します:

ConfigRemoteMgmt.exe /configwinrmuser domain\HelpDeskUsers
<!--NeedCopy-->

特定のコンピューターアカウントに権限を付与するには次のコマンドを実行します:

ConfigRemoteMgmt.exe /configwinrmuser domain\DirectorServer$
<!--NeedCopy-->

アプリケーションやプロセスを終了したり、シャドウ機能を使用したりする権限を付与するには次のコマンドを実行します:

ConfigRemoteMgmt.exe /configwinrmuser domain\name /all
<!--NeedCopy-->

特定のユーザーグループに権限を付与するには次のコマンドを実行します:

ConfigRemoteMgmt.exe /configwinrmuser domain\HelpDeskUsers /all
<!--NeedCopy-->

このツールのオンラインヘルプを表示するには次のコマンドを実行します:

ConfigRemoteMgmt.exe
<!--NeedCopy-->
XenDesktop 7よりも前のVDAに対する権限の構成