Documentação de produtos
Citrix Virtual Apps and Desktops
Service Current Release 2402 LTSR 2311 2308 2305 2303 2212 2209 2206 2203 LTSR 1912 LTSR
Ver PDF

Administração delegada

January 23, 2026
Contribuição de: 
C

O modelo de administração delegada oferece a flexibilidade para corresponder à forma como sua organização deseja delegar atividades de administração, usando controle baseado em função e objeto. A administração delegada acomoda implantações de todos os tamanhos e permite configurar maior granularidade de permissões à medida que sua implantação cresce em complexidade. A administração delegada usa três conceitos: administradores, funções e escopos.

  • Administradores: Um administrador representa uma pessoa individual ou um grupo de pessoas identificadas por sua conta do Active Directory. Cada administrador está associado a um ou mais pares de função e escopo.

  • Funções: Uma função representa uma função de trabalho e tem permissões definidas associadas a ela. Por exemplo, a função de Administrador de Grupo de Entrega tem permissões como ‘Criar Grupo de Entrega’ e ‘Remover Área de Trabalho do Grupo de Entrega’. Um administrador pode ter várias funções para um site, então uma pessoa pode ser um Administrador de Grupo de Entrega e um Administrador de Catálogo de Máquinas. As funções podem ser internas ou personalizadas.

    As funções internas são:

    Função Permissões
    Administrador Completo Pode executar todas as tarefas e operações. Um Administrador Completo é sempre combinado com o escopo Todos.
    Administrador Somente Leitura Pode ver todos os objetos em escopos especificados, além de informações globais, mas não pode alterar nada. Por exemplo, um Administrador Somente Leitura com Escopo=Londres pode ver todos os objetos globais (como Registro de Configuração) e quaisquer objetos com escopo de Londres (por exemplo, Grupos de Entrega de Londres). No entanto, esse administrador não pode ver objetos no escopo de Nova York (assumindo que os escopos de Londres e Nova York não se sobreponham).
    Administrador de Suporte Técnico Pode visualizar Grupos de Entrega e gerenciar as sessões e máquinas associadas a esses grupos. Pode ver o Catálogo de Máquinas e as informações do host para os Grupos de Entrega que estão sendo monitorados. Também pode executar operações de gerenciamento de sessão e gerenciamento de energia de máquina para as máquinas nesses Grupos de Entrega.
    Administrador de Catálogo de Máquinas Pode criar e gerenciar Catálogos de Máquinas e provisionar as máquinas neles. Pode construir Catálogos de Máquinas a partir da infraestrutura de virtualização, Provisioning Services e máquinas físicas. Esta função pode gerenciar imagens base e instalar software, mas não pode atribuir aplicativos ou áreas de trabalho a usuários.
    Administrador de Grupo de Entrega Pode entregar aplicativos, áreas de trabalho e máquinas; também pode gerenciar as sessões associadas. Também pode gerenciar configurações de aplicativos e áreas de trabalho, como políticas e configurações de gerenciamento de energia.
    Administrador de Host Pode gerenciar conexões de host e suas configurações de recursos associadas. Não pode entregar máquinas, aplicativos ou áreas de trabalho a usuários.

    Em certas edições do produto, você pode criar funções personalizadas para corresponder aos requisitos de sua organização e delegar permissões com mais detalhes. Você pode usar funções personalizadas para alocar permissões na granularidade de uma ação ou tarefa em um console.

  • Escopos: Um escopo representa uma coleção de objetos. Os escopos são usados para agrupar objetos de uma forma relevante para sua organização (por exemplo, o conjunto de Grupos de Entrega usados pela equipe de Vendas). Os objetos podem estar em mais de um escopo; você pode pensar nos objetos sendo rotulados com um ou mais escopos. Existe um escopo interno: ‘Todos’, que contém todos os objetos. A função de Administrador Completo é sempre emparelhada com o escopo Todos.

Exemplo

A Empresa XYZ decidiu gerenciar aplicativos e áreas de trabalho com base em seu departamento (Contas, Vendas e Armazém) e seu sistema operacional de área de trabalho (Windows 7 ou Windows 8). O administrador criou cinco escopos e, em seguida, rotulou cada Grupo de Entrega com dois escopos: um para o departamento onde são usados e outro para o sistema operacional que utilizam.

Os seguintes administradores foram criados:

Administrador Funções Escopos
domain/fred Administrador Completo Todos (a função de Administrador Completo sempre tem o escopo Todos)
domain/rob Administrador Somente Leitura Todos
domain/heidi Administrador Somente Leitura, Administrador de Suporte Técnico Todos Vendas
domain/warehouseadmin Administrador de Suporte Técnico Armazém
domain/peter Administrador de Grupo de Entrega, Administrador de Catálogo de Máquinas Win7
  • Fred é um Administrador Completo e pode visualizar, editar e excluir todos os objetos no sistema.
  • Rob pode visualizar todos os objetos no site, mas não pode editá-los ou excluí-los.
  • Heidi pode visualizar todos os objetos e executar tarefas de suporte técnico em Grupos de Entrega no escopo de Vendas. Isso permite que ela gerencie as sessões e máquinas associadas a esses grupos; ela não pode fazer alterações no Grupo de Entrega, como adicionar ou remover máquinas.
  • Qualquer pessoa que seja membro do grupo de segurança do Active Directory warehouseadmin pode visualizar e executar tarefas de suporte técnico em máquinas no escopo de Armazém.
  • Peter é um especialista em Windows 7 e pode gerenciar todos os Catálogos de Máquinas do Windows 7 e entregar aplicativos, áreas de trabalho e máquinas do Windows 7, independentemente do escopo do departamento em que estejam. A administradora considerou tornar Peter um Administrador Completo para o escopo Win7. No entanto, ela decidiu contra isso, porque um Administrador Completo também tem direitos totais sobre todos os objetos que não são escopados, como ‘Site’ e ‘Administrador’.

Como usar a administração delegada

Geralmente, o número de administradores e a granularidade de suas permissões dependem do tamanho e da complexidade da implantação.

  • Em implantações pequenas ou de prova de conceito, um ou poucos administradores fazem tudo. Não há delegação. Neste caso, crie cada administrador com a função interna de Administrador Completo, que tem o escopo Todos.
  • Em implantações maiores com mais máquinas, aplicativos e áreas de trabalho, é necessária mais delegação. Vários administradores podem ter responsabilidades funcionais mais específicas (funções). Por exemplo, dois são Administradores Completos e outros são Administradores de Suporte Técnico. Além disso, um administrador pode gerenciar apenas certos grupos de objetos (escopos), como catálogos de máquinas. Neste caso, crie novos escopos, além de administradores com uma das funções internas e os escopos apropriados.
  • Implantações ainda maiores podem exigir mais escopos (ou mais específicos), além de diferentes administradores com funções não convencionais. Neste caso, edite ou crie mais escopos, crie funções personalizadas e crie cada administrador com uma função interna ou personalizada, além de escopos existentes e novos.

Para flexibilidade e facilidade de configuração, você pode criar escopos ao criar um administrador. Você também pode especificar escopos ao criar ou editar Catálogos de Máquinas ou conexões.

Criar e gerenciar administradores

Ao criar um site como administrador local, sua conta de usuário se torna automaticamente um Administrador Completo com permissões totais sobre todos os objetos. Após a criação de um site, os administradores locais não têm privilégios especiais.

A função de Administrador Completo sempre tem o escopo Todos; você não pode alterar isso.

Por padrão, um administrador é ativado. Desativar um administrador pode ser necessário se você estiver criando o administrador agora, mas essa pessoa não iniciará as funções de administração até mais tarde. Para administradores ativados existentes, você pode querer desativar vários deles enquanto reorganiza seus objetos/escopos e, em seguida, reativá-los quando estiver pronto para entrar em operação com a configuração atualizada. Você não pode desativar um Administrador Completo se isso resultar na ausência de um Administrador Completo ativado. A caixa de seleção ativar/desativar está disponível ao criar, copiar ou editar um administrador.

Ao excluir um par função/escopo ao copiar, editar ou excluir um administrador, ele exclui apenas o relacionamento entre a função e o escopo para esse administrador. Ele não exclui a função nem o escopo. Também não afeta nenhum outro administrador que esteja configurado com esse par função/escopo.

Para gerenciar administradores, clique em “Configuração > Administradores” no painel de navegação do Studio e, em seguida, clique na guia “Administradores” no painel central superior.

  • Criar um administrador: Clique em “Criar novo Administrador” no painel Ações. Digite ou navegue até o nome da conta de usuário, selecione ou crie um escopo e selecione uma função. O novo administrador é ativado por padrão; você pode alterar isso.
  • Copiar um administrador: Selecione o administrador no painel central e, em seguida, clique em “Copiar Administrador” no painel Ações. Digite ou navegue até o nome da conta de usuário. Você pode selecionar e, em seguida, editar ou excluir qualquer um dos pares função/escopo e adicionar novos. O novo administrador é ativado por padrão; você pode alterar isso.
  • Editar um administrador: Selecione o administrador no painel central e, em seguida, clique em “Editar Administrador” no painel Ações. Você pode editar ou excluir qualquer um dos pares função/escopo e adicionar novos.
  • Excluir um administrador: Selecione o administrador no painel central e, em seguida, clique em “Excluir Administrador” no painel Ações. Você não pode excluir um Administrador Completo se isso resultar na ausência de um Administrador Completo ativado.

O painel superior exibe os administradores que você criou. Selecione um administrador para visualizar seus detalhes no painel inferior. A coluna “Avisos” indica se os pares função e escopo associados ao administrador contêm funções ou escopos inutilizáveis. A seguinte mensagem de aviso aparece se um par função e escopo associado contiver funções ou escopos inutilizáveis:

  • Função ou escopo associado não utilizável
    • Remova o par função e escopo do administrador.

Importante:

Uma mensagem de aviso aparece somente quando um par função e escopo associado contém funções ou escopos inutilizáveis, ou ambos.

Para remover o par função e escopo do administrador, conclua uma das seguintes etapas:

  • Exclua o par função e escopo.
    1. No painel “Ações”, clique em “Editar Administrador”.
    2. Na janela “Editar Administrador”, selecione o par função e escopo e, em seguida, clique em “Excluir”.
    3. Clique em “OK” para sair.
  • Exclua o administrador.
    1. No painel “Ações”, clique em “Excluir Administrador”.
    2. Na janela “Studio”, clique em “Excluir”.

Criar e gerenciar funções

Quando os administradores criam ou editam uma função, eles podem ativar apenas as permissões que eles próprios possuem. Isso impede que os administradores criem uma função com mais permissões do que as que eles atualmente têm e, em seguida, a atribuam a si mesmos (ou editem uma função à qual já estão atribuídos).

Os nomes das funções podem conter até 64 caracteres Unicode; eles não podem conter: barra invertida, barra, ponto e vírgula, dois pontos, cerquilha, vírgula, asterisco, ponto de interrogação, sinal de igual, seta para a esquerda ou para a direita, pipe, colchete esquerdo ou direito, parêntese esquerdo ou direito, aspas ou apóstrofo. As descrições podem conter até 256 caracteres Unicode.

Você não pode editar ou excluir uma função interna. Você não pode excluir uma função personalizada se algum administrador a estiver usando.

Observação:

Somente certas edições do produto suportam funções personalizadas. Somente as edições que suportam funções personalizadas têm entradas relacionadas no painel Ações.

Para gerenciar funções, clique em “Configuração > Administradores” no painel de navegação do Studio e, em seguida, clique na guia “Funções” no painel central superior.

  • Visualizar detalhes da função: Selecione a função no painel central. A parte inferior do painel central lista os tipos de objeto e as permissões associadas para a função. Clique na guia Administradores no painel inferior para exibir uma lista de administradores que atualmente têm esta função.
  • Criar uma função personalizada: Clique em “Criar nova Função” no painel Ações. Insira um nome e uma descrição. Selecione os tipos de objeto e as permissões.
  • Copiar uma função: Selecione a função no painel central e, em seguida, clique em “Copiar Função” no painel Ações. Altere o nome, a descrição, os tipos de objeto e as permissões, conforme necessário.
  • Editar uma função personalizada: Selecione a função no painel central e, em seguida, clique em “Editar Função” no painel Ações. Altere o nome, a descrição, os tipos de objeto e as permissões, conforme necessário.
  • Excluir uma função personalizada: Selecione a função no painel central e, em seguida, clique em “Excluir Função” no painel Ações. Quando solicitado, confirme a exclusão.

Criar e gerenciar escopos

Ao criar um site, o único escopo disponível é o escopo ‘Todos’, que não pode ser excluído.

Você pode criar escopos usando o seguinte procedimento. Você também pode criar escopos ao criar um administrador; cada administrador deve estar associado a pelo menos um par função e escopo. Ao criar ou editar áreas de trabalho, catálogos de máquinas, aplicativos ou hosts, você pode adicioná-los a um escopo existente. Se você não os adicionar a um escopo, eles permanecerão parte do escopo ‘Todos’.

A criação de sites não pode ser escopada, nem os objetos de administração delegada (escopos e funções). No entanto, objetos que você não pode escopar são incluídos no escopo ‘Todos’. (Administradores Completos sempre têm o escopo Todos.) Máquinas, ações de energia, áreas de trabalho e sessões não são diretamente escopadas. Os administradores podem ter permissões alocadas sobre esses objetos por meio dos catálogos de máquinas ou Grupos de Entrega associados.

Os nomes dos escopos podem conter até 64 caracteres Unicode. Os nomes dos escopos não podem incluir: barra invertida, barra, ponto e vírgula, dois pontos, cerquilha, vírgula, asterisco, ponto de interrogação, sinal de igual, seta para a esquerda, seta para a direita, pipe, colchete esquerdo ou direito, parêntese esquerdo ou direito, aspas ou apóstrofo. As descrições podem conter até 256 caracteres Unicode.

Ao copiar ou editar um escopo, lembre-se de que a remoção de objetos do escopo pode tornar esses objetos inacessíveis ao administrador. Se o escopo editado for emparelhado com uma ou mais funções, certifique-se de que as atualizações do escopo não tornem nenhum par função/escopo inutilizável.

Para gerenciar escopos, clique em “Configuração > Administradores” no painel de navegação do Studio e, em seguida, clique na guia “Escopos” no painel central superior.

  • Criar um escopo: Clique em “Criar novo Escopo” no painel Ações. Insira um nome e uma descrição. Para incluir todos os objetos de um tipo específico (por exemplo, Grupos de Entrega), selecione o tipo de objeto. Para incluir objetos específicos, expanda o tipo e, em seguida, selecione objetos individuais (por exemplo, Grupos de Entrega usados pela equipe de Vendas).
  • Copiar um escopo: Selecione o escopo no painel central e, em seguida, clique em “Copiar Escopo” no painel Ações. Insira um nome e uma descrição. Altere os tipos de objeto e os objetos, conforme necessário.
  • Editar um escopo: Selecione o escopo no painel central e, em seguida, clique em “Editar Escopo” no painel Ações. Altere o nome, a descrição, os tipos de objeto e os objetos, conforme necessário.
  • Excluir um escopo: Selecione o escopo no painel central e, em seguida, clique em “Excluir Escopo” no painel Ações. Quando solicitado, confirme a exclusão.

Criar relatórios

Você pode criar dois tipos de relatórios de administração delegada:

  • Um relatório HTML que lista os pares função/escopo associados a um administrador, além das permissões individuais para cada tipo de objeto (por exemplo, Grupos de Entrega e Catálogos de Máquinas). Você gera este relatório a partir do Studio.

    Para criar este relatório, clique em “Configuração > Administradores” no painel de navegação do Studio. Selecione um administrador no painel central e, em seguida, clique em “Criar Relatório” no painel Ações.

    Você também pode solicitar este relatório ao criar, copiar ou editar um administrador.

  • Um relatório HTML ou CSV que mapeia todas as funções internas e personalizadas para permissões. Você gera este relatório executando um script PowerShell chamado OutputPermissionMapping.ps1.

    Para executar este script, você deve ser um Administrador Completo, um Administrador Somente Leitura ou um administrador personalizado com permissão para ler funções. O script está localizado em: Program Files\Citrix\DelegatedAdmin\SnapIn\Citrix.DelegatedAdmin.Admin.V1\Scripts.

    Sintaxe:

    OutputPermissionMapping.ps1 [-Help] [-Csv] [-Path string] [-AdminAddress string] [-Show] [CommonParameters]

    Parâmetro Descrição
    -Help Exibe a ajuda do script.
    -Csv Especifica a saída CSV. Padrão = HTML
    -Path string Onde gravar a saída. Padrão = stdout
    -AdminAddress string Endereço IP ou nome do host do Delivery Controller™ para conectar. Padrão = localhost
    -Show (Válido somente quando o parâmetro -Path também é especificado) Ao gravar a saída em um arquivo, -Show faz com que a saída seja aberta em um programa apropriado, como um navegador da web.
    CommonParameters Verbose, Debug, ErrorAction, ErrorVariable, WarningAction, WarningVariable, OutBuffer e OutVariable. Para detalhes, consulte a documentação da Microsoft.

O exemplo a seguir grava uma tabela HTML em um arquivo chamado Roles.html e abre a tabela em um navegador da web.

& "$env:ProgramFiles\Citrix\DelegatedAdmin\SnapIn\
Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1"
-Path Roles.html –Show
<!--NeedCopy-->

O exemplo a seguir grava uma tabela CSV em um arquivo chamado Roles.csv. A tabela não é exibida.

& "$env:ProgramFiles\Citrix\DelegatedAdmin\SnapIn\
Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1"
–CSV -Path Roles.csv
<!--NeedCopy-->

A partir de um prompt de comando do Windows, o comando de exemplo anterior é:

powershell -command "& '%ProgramFiles%\Citrix\DelegatedAdmin\SnapIn\
Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1'
-CSV -Path Roles.csv"
<!--NeedCopy-->
Administração delegada
January 23, 2026
Contribuição de: 
C
January 23, 2026
Contribuição de: 
C

Neste artigo

Feedback do site | Your privacy choices footer linkSuas escolhas de privacidade | Privacidade e termos legais | Preferências de cookies | Configurações de consentimento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.