XenApp and XenDesktop

PDFを表示

XenDesktop® 7より前のVDAの権限を構成する

May 20, 2026

寄稿者:

C C

ユーザーがXenDesktop 7より前のVDAを使用している場合、Directorは展開からの情報をWindows Remote Management (WinRM) を介したリアルタイムのステータスとメトリックで補完します。

さらに、XenDesktop 5.6 Feature Pack1のRemote PCで使用するためにWinRMを構成するには、この手順を使用します。

デフォルトでは、デスクトップマシンのローカル管理者 (通常、ドメイン管理者やその他の特権ユーザー) のみが、リアルタイムデータを表示するために必要な権限を持っています。

WinRMのインストールと構成に関する情報については、CTX125243を参照してください。

To enable other users to view the real-time data, you must grant them permissions. For example, suppose there are several Director users (HelpDeskUserA, HelpDeskUserB, and so on) who are members of an Active Directory security group called HelpDeskUsers. The group has been assigned the Help Desk administrator role in Studio, providing them with the required Delivery Controller™ permissions. However, the group also needs access to the information from the desktop machine.

必要なアクセスを提供するには、次の2つのいずれかの方法で必要な権限を構成できます。

Directorユーザーに権限を付与する (偽装モデル)
Directorサービスに権限を付与する (信頼されたサブシステムモデル)

Directorユーザーに権限を付与するには (偽装モデル)

デフォルトでは、Directorは偽装モデルを使用します。デスクトップマシンへのWinRM接続は、DirectorユーザーのIDを使用して行われます。したがって、デスクトップ上で適切な権限を持つ必要があるのはユーザーです。

これらの権限は、次の2つのいずれかの方法で構成できます (このドキュメントの後半で説明します)。

デスクトップマシン上のローカルのAdministratorsグループにユーザーを追加します。
Directorが必要とする特定の権限をユーザーに付与します。このオプションを使用すると、Directorユーザー (たとえば、HelpDeskUsersグループ) にマシンに対する完全な管理権限を付与することを回避できます。

Directorサービスに権限を付与するには (信頼されたサブシステムモデル)

Directorユーザーにデスクトップマシンへの権限を付与する代わりに、サービスIDを使用してWinRM接続を行うようにDirectorを構成し、そのサービスIDにのみ適切な権限を付与できます。

このモデルでは、DirectorのユーザーはWinRM呼び出しを自分で行う権限を持ちません。彼らはDirectorを使用してのみデータにアクセスできます。

IISのDirectorアプリケーションプールは、サービスIDとして実行するように構成されています。デフォルトでは、これはAPPPOOL\Director仮想アカウントです。リモート接続を行う際、このアカウントはサーバーのActive Directoryコンピューターアカウントとして表示されます（例: MyDomain\DirectorServer$）。このアカウントには適切な権限を構成する必要があります。

複数のDirector Webサイトが展開されている場合、各Webサーバーのコンピューターアカウントを、適切な権限が構成されたActive Directoryセキュリティグループに配置する必要があります。

DirectorがユーザーIDの代わりにWinRMにサービスIDを使用するように設定するには、Advanced configurationに記載されているように、次の設定を構成します。

Service.Connector.WinRM.Identity = Service
<!--NeedCopy-->

これらの権限は、次の2つの方法のいずれかで構成できます。

サービスアカウントをデスクトップマシンのローカルAdministratorsグループに追加します。
サービスアカウントにDirectorが必要とする特定の権限を付与します（次に説明します）。このオプションを使用すると、サービスアカウントにマシンに対する完全な管理者権限を与えることを回避できます。

特定のユーザーまたはグループに権限を割り当てるには

DirectorがWinRMを介してデスクトップマシンから必要な情報にアクセスするには、次の権限が必要です。

WinRM RootSDDLでの読み取りおよび実行権限
WMI名前空間の権限:
- root/cimv2 - リモートアクセス
- root/citrix - リモートアクセス
- root/RSOP - リモートアクセスおよび実行
これらのローカルグループのメンバーシップ:
- パフォーマンスモニターユーザー
- イベントログリーダー

これらの権限を自動的に付与するために使用されるConfigRemoteMgmt.exeツールは、インストールメディアのx86\Virtual Desktop Agentおよびx64\Virtual Desktop Agentフォルダー、およびインストールメディアのC:\inetpub\wwwroot\Director\toolsフォルダーにあります。すべてのDirectorユーザーに権限を付与する必要があります。

Active Directoryセキュリティグループ、ユーザー、コンピューターアカウント、またはアプリケーションの終了やプロセスの終了などのアクションに権限を付与するには、管理者権限でコマンドプロンプトから次の引数を使用してツールを実行します。

ConfigRemoteMgmt.exe /configwinrmuser domain\name
<!--NeedCopy-->

ここで、nameはセキュリティグループ、ユーザー、またはコンピューターアカウントです。

必要な権限をユーザーセキュリティグループに付与するには:

ConfigRemoteMgmt.exe /configwinrmuser domain\HelpDeskUsers
<!--NeedCopy-->

特定のコンピューターアカウントに権限を付与するには:

ConfigRemoteMgmt.exe /configwinrmuser domain\DirectorServer$
<!--NeedCopy-->

プロセスの終了、アプリケーションの終了、およびシャドウアクションの場合:

ConfigRemoteMgmt.exe /configwinrmuser domain\name /all
<!--NeedCopy-->

ユーザーグループに権限を付与するには:

ConfigRemoteMgmt.exe /configwinrmuser domain\HelpDeskUsers /all
<!--NeedCopy-->

ツールのヘルプを表示するには:

ConfigRemoteMgmt.exe
<!--NeedCopy-->

この製品ドキュメントの正式なバージョンは英語版です。英語以外のすべてのバージョンは、お客様の利便性のためにのみ提供され、機械翻訳された内容が含まれている場合があります。詳しくは、Cloud Software Group home で機械翻訳に関する免責事項（Machine Translation Disclaimer）をご覧ください。

この情報は役に立ちましたか?

XenDesktop® 7より前のVDAの権限を構成する

May 20, 2026

寄稿者:

C C

May 20, 2026

寄稿者:

C C

この情報は役に立ちましたか?