委任された管理
委任管理モデルは、ロールベースおよびオブジェクトベースの制御を使用して、組織が管理アクティビティを委任する方法に合わせた柔軟性を提供します。委任管理はあらゆる規模の展開に対応し、展開の複雑さが増すにつれて、より詳細な権限を構成できるようにします。委任管理では、管理者、ロール、スコープという3つの概念を使用します。
-
管理者 — 管理者は、Active Directoryアカウントによって識別される個人またはグループを表します。各管理者は、1つ以上のロールとスコープのペアに関連付けられています。
-
ロール — ロールは職務を表し、それに関連付けられた定義済みの権限を持ちます。たとえば、Delivery Group Administratorロールには、「Delivery Groupの作成」や「Delivery Groupからのデスクトップの削除」などの権限があります。管理者はサイトに対して複数のロールを持つことができるため、ある人物がDelivery Group AdministratorとMachine Catalog Administratorの両方になることも可能です。ロールは組み込みまたはカスタムにできます。
組み込みロールは次のとおりです。
ロール 権限 フル管理者 すべてのタスクと操作を実行できます。フル管理者は常に「すべてのスコープ」と組み合わされます。 読み取り専用管理者 指定されたスコープ内のすべてのオブジェクトとグローバル情報を表示できますが、何も変更することはできません。たとえば、Scope=Londonの読み取り専用管理者は、すべてのグローバルオブジェクト(構成ログなど)とロンドンスコープのオブジェクト(ロンドンデリバリーグループなど)を表示できます。ただし、その管理者はニューヨークスコープ内のオブジェクトを表示できません(ロンドンとニューヨークのスコープが重複しないと仮定した場合)。 ヘルプデスク管理者 デリバリーグループを表示し、それらのグループに関連付けられたセッションとマシンを管理できます。監視対象のデリバリーグループのマシンカタログとホスト情報を表示でき、それらのデリバリーグループ内のマシンに対してセッション管理およびマシン電源管理操作を実行することもできます。 マシンカタログ管理者 マシンカタログを作成および管理し、それらにマシンをプロビジョニングできます。仮想化インフラストラクチャ、Provisioning Services、および物理マシンからマシンカタログを構築できます。このロールはベースイメージを管理し、ソフトウェアをインストールできますが、アプリケーションやデスクトップをユーザーに割り当てることはできません。 デリバリーグループ管理者 アプリケーション、デスクトップ、およびマシンを配信できます。関連するセッションも管理できます。ポリシーや電源管理設定などのアプリケーションおよびデスクトップ構成も管理できます。 ホスト管理者 ホスト接続とその関連リソース設定を管理できます。ユーザーにマシン、アプリケーション、またはデスクトップを配信することはできません。 特定の製品エディションでは、組織の要件に合わせてカスタムロールを作成し、より詳細な権限を委任できます。カスタムロールを使用して、コンソールでのアクションまたはタスクの粒度で権限を割り当てることができます。
-
スコープ — スコープはオブジェクトのコレクションを表します。スコープは、組織に関連する方法でオブジェクトをグループ化するために使用されます(たとえば、営業チームが使用するデリバリーグループのセット)。オブジェクトは複数のスコープに属することができます。オブジェクトが1つ以上のスコープでラベル付けされていると考えることができます。「すべて」という組み込みスコープが1つあり、すべてのオブジェクトが含まれます。フル管理者ロールは常に「すべて」スコープとペアになります。
例
XYZ社は、部門(経理、営業、倉庫)とデスクトップオペレーティングシステム(Windows 7またはWindows 8)に基づいてアプリケーションとデスクトップを管理することにしました。管理者は5つのスコープを作成し、各デリバリーグループに2つのスコープをラベル付けしました。1つは使用される部門用、もう1つは使用されるオペレーティングシステム用です。
次の管理者が作成されました。
| 管理者 | ロール | スコープ |
|---|---|---|
| ドメイン/fred | フル管理者 | すべて(フル管理者ロールは常に「すべて」スコープを持ちます) |
| ドメイン/ロブ | 読み取り専用管理者 | すべて |
| ドメイン/ハイジ | 読み取り専用管理者、ヘルプデスク管理者 | すべての営業 |
| ドメイン/ウェアハウスアドミン | ヘルプデスク管理者 | ウェアハウス |
| ドメイン/ピーター | デリバリーグループ管理者、マシンカタログ管理者 | Win7 |
- Fredはフル管理者であり、システム内のすべてのオブジェクトを表示、編集、削除できます。
- Robはサイト内のすべてのオブジェクトを表示できますが、編集または削除することはできません。
- Heidiはすべてのオブジェクトを表示でき、Salesスコープ内のデリバリーグループに対してヘルプデスクタスクを実行できます。これにより、それらのグループに関連付けられたセッションとマシンを管理できますが、マシンの追加や削除など、デリバリーグループに変更を加えることはできません。
- warehouseadmin Active Directoryセキュリティグループのメンバーは誰でも、Warehouseスコープ内のマシンでヘルプデスクタスクを表示および実行できます。
- ピーターはWindows 7のスペシャリストであり、どの部署スコープに属していても、すべてのWindows 7マシンカタログを管理し、Windows 7アプリケーション、デスクトップ、およびマシンを提供できます。管理者はピーターをWin7スコープのフル管理者にする検討をしましたが、フル管理者は「サイト」や「管理者」など、スコープ外のすべてのオブジェクトに対して完全な権限を持つため、これに反対しました。
委任管理の使用方法
一般に、管理者の数と権限の粒度は、展開の規模と複雑さによって異なります。
- 小規模な展開や概念実証の展開では、1人または数人の管理者がすべての作業を行います。委任は行われません。この場合、各管理者を、すべてのスコープを持つ組み込みのフル管理者ロールで作成します。
- マシン、アプリケーション、デスクトップが多い大規模な展開では、より多くの委任が必要です。複数の管理者が、より具体的な機能的責任(ロール)を持つ場合があります。たとえば、2人がフル管理者で、他の管理者がヘルプデスク管理者である場合があります。さらに、管理者はマシンカタログなど、特定のオブジェクトグループ(スコープ)のみを管理する場合があります。この場合、新しいスコープと、組み込みロールのいずれかおよび適切なスコープを持つ管理者を作成します。
- さらに大規模な展開では、より多くの(またはより具体的な)スコープと、型にはまらないロールを持つ異なる管理者が必要になる場合があります。この場合、追加のスコープを編集または作成し、カスタムロールを作成し、既存および新しいスコープに加えて、組み込みまたはカスタムロールを持つ各管理者を作成します。
柔軟性と構成の容易さのために、管理者を作成する際に新しいスコープを作成できます。マシンカタログまたは接続を作成または編集する際にもスコープを指定できます。
管理者の作成と管理
ローカル管理者としてサイトを作成すると、ユーザーアカウントは自動的にすべてのオブジェクトに対する完全な権限を持つフル管理者になります。サイトが作成された後、ローカル管理者には特別な権限はありません。
フル管理者ロールは常にすべてのスコープを持ちます。これを変更することはできません。
デフォルトでは、管理者は有効になっています。新しい管理者を今作成しても、その人が後で管理業務を開始しない場合は、管理者を無効にする必要があるかもしれません。既存の有効な管理者については、オブジェクト/スコープを再編成している間、一部を無効にし、更新された構成で稼働準備ができたときに再度有効にしたい場合があります。有効なフル管理者がいなくなる場合、フル管理者を無効にすることはできません。有効/無効のチェックボックスは、管理者を作成、コピー、または編集するときに利用できます。
管理者をコピー、編集、または削除する際にロール/スコープのペアを削除すると、その管理者に対するロールとスコープ間の関係のみが削除されます。ロールまたはスコープのいずれも削除されず、そのロール/スコープのペアで構成されている他の管理者にも影響しません。
管理者を管理するには、 Studioナビゲーションペインで構成 > 管理者をクリックし、次に 中央上部のペインで管理者タブをクリックします。
- 管理者を作成するには、アクションペインで新しい管理者を作成をクリックします。ユーザーアカウント名を入力または参照し、スコープを選択または作成し、ロールを選択します。新しい管理者はデフォルトで有効になっています。これは変更できます。
- 管理者をコピーするには、中央ペインで管理者を選択し、アクションペインで [管理者コピー] をクリックします。ユーザーアカウント名を入力または参照します。ロール/スコープのペアを選択して編集または削除したり、新しいペアを追加したりできます。新しい管理者はデフォルトで有効になっています。これを変更できます。
- 管理者を編集するには、中央ペインで管理者を選択し、アクションペインで [管理者編集] をクリックします。ロール/スコープのペアを編集または削除したり、新しいペアを追加したりできます。
- 管理者を削除するには、中央ペインで管理者を選択し、アクションペインで [管理者削除] をクリックします。有効なフル管理者がいなくなる場合、フル管理者を削除することはできません。
ロールの作成と管理
ロール名には最大64文字のUnicode文字を含めることができます。ただし、次の文字を含めることはできません: \ (バックスラッシュ)、/ (スラッシュ)、; (セミコロン)、: (コロン)、# (シャープ)、, (コンマ)、* (アスタリスク)、? (疑問符)、= (等号)、< (左矢印)、> (右矢印)、| (パイプ)、[ ] (角かっこ)、( ) (丸かっこ)、” (引用符)、および ‘ (アポストロフィ)。説明には最大256文字のUnicode文字を含めることができます。
組み込みロールを編集または削除することはできません。管理者が使用しているカスタムロールを削除することはできません。
注: 特定の製品エディションのみがカスタムロールをサポートしています。カスタムロールをサポートしないエディションでは、アクションペインに関連エントリがありません。
ロールを管理するには、Studioナビゲーションペインで [構成] > [管理者] をクリックし、上部中央ペインで [ロール] タブをクリックします。
- ロールの詳細を表示するには、中央ペインでロールを選択します。中央ペインの下部には、ロールのオブジェクトの種類と関連する権限が一覧表示されます。下部ペインの [管理者] タブをクリックすると、現在このロールを持つ管理者の一覧が表示されます。
- カスタムロールを作成するには、アクションペインで [新しいロールの作成] をクリックします。名前と説明を入力します。オブジェクトの種類と権限を選択します。
- ロールをコピーするには、中央ペインでロールを選択し、アクションペインで [ロールのコピー] をクリックします。必要に応じて、名前、説明、オブジェクトの種類、および権限を変更します。
- カスタムロールを編集するには、中央ペインでロールを選択し、アクションペインで [ロールの編集] をクリックします。必要に応じて、名前、説明、オブジェクトの種類、および権限を変更します。
- カスタムロールを削除するには、中央ペインでロールを選択し、アクションペインで [ロールの削除] をクリックします。確認を求められたら、削除を確定します。
スコープの作成と管理
サイトを作成すると、利用可能なスコープは「すべて」スコープのみであり、これは削除できません。
以下の手順を使用してスコープを作成できます。管理者を作成する際にもスコープを作成できます。各管理者は、少なくとも1つのロールとスコープのペアに関連付けられている必要があります。デスクトップ、マシンカタログ、アプリケーション、またはホストを作成または編集する際に、それらを既存のスコープに追加できます。スコープに追加しない場合、それらは「すべて」スコープの一部として残ります。
サイトの作成はスコープ化できません。また、委任管理オブジェクト(スコープとロール)もスコープ化できません。ただし、スコープ化できないオブジェクトは「すべて」スコープに含まれます。(フル管理者は常に「すべて」スコープを持ちます。)マシン、電源操作、デスクトップ、およびセッションは直接スコープ化されません。管理者は、関連付けられたマシンカタログまたはデリバリーグループを通じて、これらのオブジェクトに対する権限を割り当てることができます。
スコープ名には最大64個のUnicode文字を含めることができます。ただし、次の文字は含めることができません: \ (バックスラッシュ)、/ (スラッシュ)、; (セミコロン)、: (コロン)、# (シャープ記号)、, (コンマ)、* (アスタリスク)、? (疑問符)、= (等号)、< (左矢印)、> (右矢印)、| (パイプ)、[ ] (左または右の角かっこ)、( ) (左または右の丸かっこ)、” (引用符)、および ‘ (アポストロフィ)。説明には最大256個のUnicode文字を含めることができます。
スコープをコピーまたは編集する際は、スコープからオブジェクトを削除すると、それらのオブジェクトに管理者がアクセスできなくなる可能性があることに注意してください。編集したスコープが1つ以上のロールとペアになっている場合は、スコープの更新によってロール/スコープのペアが使用できなくならないようにしてください。
スコープを管理するには、Studioナビゲーションペインで [構成] > [管理者] をクリックし、中央上部のペインで [スコープ] タブをクリックします。
- スコープを作成するには、[操作] ペインで [新しいスコープの作成] をクリックします。名前と説明を入力します。特定の種類のすべてのオブジェクト(例: デリバリーグループ)を含めるには、オブジェクトの種類を選択します。特定のオブジェクトを含めるには、種類を展開してから個々のオブジェクト(例: 営業チームが使用するデリバリーグループ)を選択します。
- スコープをコピーするには、中央ペインでスコープを選択し、[操作] ペインで [スコープのコピー] をクリックします。名前と説明を入力します。必要に応じて、オブジェクトの種類とオブジェクトを変更します。
- スコープを編集するには、中央ペインでスコープを選択し、[操作] ペインで [スコープの編集] をクリックします。必要に応じて、名前、説明、オブジェクトの種類、およびオブジェクトを変更します。
- スコープを削除するには、中央ペインでスコープを選択し、[操作] ペインで [スコープの削除] をクリックします。確認を求められたら、削除を確定します。
レポートの作成
委任管理レポートには、次の2種類があります。
-
管理者に関連付けられているロール/スコープのペアと、各種類のオブジェクト(例: デリバリーグループとマシンカタログ)に対する個々の権限を一覧表示するHTMLレポート。このレポートはStudioから生成します。
このレポートを作成するには、ナビゲーションペインで [構成] > [管理者] をクリックします。中央ペインで管理者を選択し、[操作] ペインで [レポートの作成] をクリックします。
管理者を作成、コピー、または編集する際にも、このレポートを要求できます。
-
すべての組み込みロールとカスタムロールを権限にマッピングするHTMLまたはCSVレポート。このレポートは、OutputPermissionMapping.ps1という名前のPowerShellスクリプトを実行して生成します。
このスクリプトを実行するには、フル管理者、読み取り専用管理者、または役割の読み取り権限を持つカスタム管理者である必要があります。スクリプトは次の場所にあります: Program Files\Citrix\DelegatedAdmin\SnapIn\Citrix.DelegatedAdmin.Admin.V1\Scripts\。
構文:
OutputPermissionMapping.ps1 [-Help] [-Csv] [-Path <string>] [-AdminAddress <string>] [-Show] [<CommonParameters>]
パラメーター 説明 -Help スクリプトのヘルプを表示します。 -Csv CSV出力を指定します。デフォルト = HTML -Path <文字列>文字列> 出力の書き込み先。デフォルト = stdout -AdminAddress 接続するDelivery ControllerのIPアドレスまたはホスト名。デフォルト = localhost -表示 (-Pathパラメーターも指定されている場合にのみ有効)出力をファイルに書き込むと、-Showによって、Webブラウザーなどの適切なプログラムで出力が開かれます。 <共通パラメータ> 共通パラメータ> バーボース、デバッグ、エラーアクション、エラー変数、警告アクション、警告変数、アウトバッファー、およびアウト変数。詳細については、Microsoftのドキュメントを参照してください。
次の例では、HTMLテーブルをRoles.htmlという名前のファイルに書き込み、そのテーブルをWebブラウザーで開きます。
& "$env:ProgramFiles\Citrix\DelegatedAdmin\SnapIn\
Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1"
-Path Roles.html –Show
<!--NeedCopy-->
次の例では、CSVテーブルをRoles.csvという名前のファイルに書き込みます。テーブルは表示されません。
& "$env:ProgramFiles\Citrix\DelegatedAdmin\SnapIn\
Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1"
–CSV -Path Roles.csv
<!--NeedCopy-->
Windowsコマンドプロンプトから、上記の例のコマンドは次のとおりです。
powershell -command "& '%ProgramFiles%\Citrix\DelegatedAdmin\SnapIn\
Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1'
-CSV -Path Roles.csv"
<!--NeedCopy-->