Documentação de produtos
Citrix Virtual Apps and Desktops
Service Current Release 2402 LTSR 2311 2308 2305 2303 2212 2209 2206 2203 LTSR 1912 LTSR
Ver PDF

Administração delegada

January 23, 2026
Contribuição de: 
C

Nota:

Você pode gerenciar sua implantação do Citrix Virtual Apps and Desktops™ usando dois consoles de gerenciamento: Web Studio (baseado na web) e Citrix Studio (baseado em Windows). Este artigo aborda apenas o Web Studio. Para obter informações sobre o Citrix Studio, consulte o artigo equivalente no Citrix Virtual Apps and Desktops 7 2212 ou anterior.

O modelo de administração delegada oferece a flexibilidade para corresponder à forma como sua organização deseja delegar atividades de administração, usando controle baseado em função e objeto. A administração delegada acomoda implantações de todos os tamanhos e permite configurar uma granularidade de permissão maior à medida que sua implantação cresce em complexidade. A administração delegada usa três conceitos: administradores, funções e escopos.

  • Administradores: Um administrador representa uma pessoa ou um grupo de pessoas identificadas por sua conta do Active Directory. Cada administrador está associado a um ou mais pares de função e escopo.

  • Funções: Uma função representa uma função de trabalho e tem permissões definidas associadas a ela. Por exemplo, a função de Administrador de Grupo de Entrega tem permissões como ‘Criar Grupo de Entrega’ e ‘Remover Desktop do Grupo de Entrega’. Um administrador pode ter várias funções para um site, então uma pessoa pode ser um Administrador de Grupo de Entrega e um Administrador de Catálogo de Máquinas. As funções podem ser integradas ou personalizadas.

    As funções integradas são:

    Função Permissões
    Administrador Completo Pode executar todas as tarefas e operações. Um Administrador Completo é sempre combinado com o escopo Todos.
    Administrador Somente Leitura Pode ver todos os objetos nos escopos especificados, além de informações globais, mas não pode alterar nada. Por exemplo, um Administrador Somente Leitura com Escopo=Londres pode ver todos os objetos globais (como Registro de Configuração) e quaisquer objetos com escopo de Londres (por exemplo, Grupos de Entrega de Londres). No entanto, esse administrador não pode ver objetos no escopo de Nova York (assumindo que os escopos de Londres e Nova York não se sobreponham).
    Administrador de Suporte Técnico Pode visualizar Grupos de Entrega e gerenciar as sessões e máquinas associadas a esses grupos. Pode ver as informações do Catálogo de Máquinas e do host para os Grupos de Entrega que estão sendo monitorados. Também pode executar operações de gerenciamento de sessão e gerenciamento de energia de máquinas para as máquinas nesses Grupos de Entrega.
    Administrador de Catálogo de Máquinas Pode criar e gerenciar Catálogos de Máquinas e provisionar as máquinas neles. Pode construir Catálogos de Máquinas a partir da infraestrutura de virtualização, Provisioning Services e máquinas físicas. Esta função pode gerenciar imagens base e instalar software, mas não pode atribuir aplicativos ou desktops a usuários.
    Administrador de Grupo de Entrega Pode entregar aplicativos, desktops e máquinas; também pode gerenciar as sessões associadas. Também pode gerenciar configurações de aplicativos e desktops, como políticas e configurações de gerenciamento de energia.
    Administrador de Host Pode gerenciar conexões de host e suas configurações de recursos associadas. Não pode entregar máquinas, aplicativos ou desktops a usuários.

    Em certas edições do produto, você pode criar funções personalizadas para atender aos requisitos de sua organização e delegar permissões com mais detalhes. Você pode usar funções personalizadas para alocar permissões na granularidade de uma ação ou tarefa em um console.

  • Escopos: Um escopo representa uma coleção de objetos. Os escopos são usados para agrupar objetos de uma forma relevante para sua organização (por exemplo, o conjunto de Grupos de Entrega usados pela equipe de Vendas). Os objetos podem estar em mais de um escopo; você pode pensar em objetos sendo rotulados com um ou mais escopos. Existe um escopo integrado: ‘Todos’, que contém todos os objetos. A função de Administrador Completo é sempre emparelhada com o escopo Todos.

Exemplo

A Empresa XYZ decidiu gerenciar aplicativos e desktops com base em seu departamento (Contabilidade, Vendas e Armazém) e seu sistema operacional de desktop (Windows 7 ou Windows 8). O administrador criou cinco escopos e, em seguida, rotulou cada Grupo de Entrega com dois escopos: um para o departamento onde são usados e outro para o sistema operacional que usam.

Os seguintes administradores foram criados:

Administrador Funções Escopos
domain/fred Administrador Completo Todos (a função de Administrador Completo sempre tem o escopo Todos)
domain/rob Administrador Somente Leitura Todos
domain/heidi Administrador Somente Leitura, Administrador de Suporte Técnico Todas as Vendas
domain/warehouseadmin Administrador de Suporte Técnico Armazém
domain/peter Administrador de Grupo de Entrega, Administrador de Catálogo de Máquinas Win7
  • Fred é um Administrador Completo e pode visualizar, editar e excluir todos os objetos no sistema.
  • Rob pode visualizar todos os objetos no site, mas não pode editá-los ou excluí-los.
  • Heidi pode visualizar todos os objetos e pode executar tarefas de suporte técnico em Grupos de Entrega no escopo de Vendas. Isso permite que ela gerencie as sessões e máquinas associadas a esses grupos; ela não pode fazer alterações no Grupo de Entrega, como adicionar ou remover máquinas.
  • Qualquer pessoa que seja membro do grupo de segurança do Active Directory warehouseadmin pode visualizar e executar tarefas de suporte técnico em máquinas no escopo do Armazém.
  • Peter é um especialista em Windows 7 e pode gerenciar todos os Catálogos de Máquinas do Windows 7 e pode entregar aplicativos, desktops e máquinas do Windows 7, independentemente do escopo do departamento em que se encontram. O administrador considerou tornar Peter um Administrador Completo para o escopo Win7. No entanto, ela decidiu contra isso, porque um Administrador Completo também tem direitos totais sobre todos os objetos que não têm escopo, como ‘Site’ e ‘Administrador’.

Como usar a administração delegada

Geralmente, o número de administradores e a granularidade de suas permissões dependem do tamanho e da complexidade da implantação.

  • Em implantações pequenas ou de prova de conceito, um ou poucos administradores fazem tudo. Não há delegação. Nesse caso, crie cada administrador com a função integrada de Administrador Completo, que tem o escopo Todos.
  • Em implantações maiores com mais máquinas, aplicativos e desktops, é necessária mais delegação. Vários administradores podem ter responsabilidades funcionais mais específicas (funções). Por exemplo, dois são Administradores Completos e outros são Administradores de Suporte Técnico. Além disso, um administrador pode gerenciar apenas certos grupos de objetos (escopos), como catálogos de máquinas. Nesse caso, crie novos escopos, além de administradores com uma das funções integradas e os escopos apropriados.
  • Implantações ainda maiores podem exigir mais (ou mais específicos) escopos, além de diferentes administradores com funções não convencionais. Nesse caso, edite ou crie mais escopos, crie funções personalizadas e crie cada administrador com uma função integrada ou personalizada, além de escopos existentes e novos.

Para flexibilidade e facilidade de configuração, você pode criar escopos ao criar um administrador. Você também pode especificar escopos ao criar ou editar Catálogos de Máquinas ou conexões.

Criar e gerenciar administradores

Quando você cria um site como administrador local, sua conta de usuário se torna automaticamente um Administrador Completo com permissões totais sobre todos os objetos. Depois que um site é criado, os administradores locais não têm privilégios especiais.

A função de Administrador Completo sempre tem o escopo Todos; você não pode alterar isso.

Por padrão, um administrador é habilitado. Desabilitar um administrador pode ser necessário se você estiver criando o administrador agora, mas essa pessoa não iniciará as tarefas de administração até mais tarde. Para administradores habilitados existentes, você pode querer desabilitar vários deles enquanto reorganiza seus objetos/escopos e, em seguida, reabilitá-los quando estiver pronto para entrar em operação com a configuração atualizada. Você não pode desabilitar um Administrador Completo se isso resultar na ausência de um Administrador Completo habilitado. A caixa de seleção habilitar/desabilitar está disponível ao criar, copiar ou editar um administrador.

Quando você exclui um par de função/escopo ao copiar, editar ou excluir um administrador, ele exclui apenas o relacionamento entre a função e o escopo para esse administrador. Ele não exclui nem a função nem o escopo. Também não afeta nenhum outro administrador que esteja configurado com esse par de função/escopo.

Para criar e gerenciar administradores, siga estas etapas:

  1. Faça login no Web Studio, clique em Administradores no painel esquerdo e, em seguida, clique na guia Administradores.

  2. Siga as instruções para a tarefa que deseja concluir:

    • Criar um administrador: Clique em Criar Administrador na barra de ações. Digite ou procure o nome da conta de usuário, selecione ou crie um escopo e, em seguida, selecione uma função. O novo administrador é habilitado por padrão; você pode alterar isso.
    • Copiar um administrador: Selecione o administrador e, em seguida, clique em Copiar Administrador na barra de ações. Digite ou procure o nome da conta de usuário. Você pode selecionar e, em seguida, editar ou excluir qualquer um dos pares de função/escopo e adicionar novos. O novo administrador é habilitado por padrão; você pode alterar isso.
    • Editar um administrador: Selecione o administrador e, em seguida, clique em Editar Administrador na barra de ações. Você pode editar ou excluir qualquer um dos pares de função/escopo e adicionar novos.
    • Excluir um administrador: Selecione o administrador e, em seguida, clique em Excluir Administrador na barra de ações. Você não pode excluir um Administrador Completo se isso resultar na ausência de um Administrador Completo habilitado.

O painel superior exibe os administradores que você criou. Selecione um administrador para visualizar seus detalhes no painel inferior. A coluna Avisos indica se os pares de função e escopo associados ao administrador contêm funções ou escopos inutilizáveis. A seguinte mensagem de aviso aparece se um par de função e escopo associado contém funções ou escopos inutilizáveis:

  • Função ou escopo associado não utilizável

Importante:

Uma mensagem de aviso aparece somente quando um par de função e escopo associado contém funções ou escopos inutilizáveis, ou ambos.

Para remover o par de função e escopo do administrador, conclua uma das seguintes etapas:

  • Exclua o par de função e escopo.
    1. Na barra de ações, clique em Editar Administrador.
    2. Na janela Nome e Detalhes do Administrador, selecione o par de função e escopo e, em seguida, clique em Excluir.
    3. Clique em Salvar para sair.
  • Exclua o administrador.
    1. Na barra de ações, clique em Excluir Administrador.
    2. Na janela de confirmação, clique em Excluir.

Criar e gerenciar funções

Quando os administradores criam ou editam uma função, eles podem habilitar apenas as permissões que eles próprios possuem. Isso impede que os administradores criem uma função com mais permissões do que eles têm atualmente e, em seguida, a atribuam a si mesmos (ou editem uma função à qual já estão atribuídos).

Os nomes das funções podem conter até 64 caracteres Unicode; eles não podem conter: barra invertida, barra, ponto e vírgula, dois pontos, sinal de libra, vírgula, asterisco, ponto de interrogação, sinal de igual, seta para a esquerda ou para a direita, pipe, colchete esquerdo ou direito, parêntese esquerdo ou direito, aspas ou apóstrofo. As descrições podem conter até 256 caracteres Unicode.

Você não pode editar ou excluir uma função integrada. Você não pode excluir uma função personalizada se algum administrador a estiver usando.

Nota:

Somente certas edições do produto suportam funções personalizadas. Somente as edições que suportam funções personalizadas têm entradas relacionadas na barra de ações.

Para criar e gerenciar funções, siga estas etapas:

  1. Faça login no Web Studio, clique em Administradores no painel esquerdo e, em seguida, clique na guia Funções.

  2. Siga as instruções para a tarefa que deseja concluir:

    • Visualizar detalhes da função: Selecione a função. O painel inferior lista os tipos de objeto e as permissões associadas à função. Clique na guia Administradores no painel inferior para visualizar uma lista de administradores que atualmente têm esta função.
    • Criar uma função personalizada: Clique em Criar Função no painel de ações. Insira um nome e uma descrição. Selecione os tipos de objeto e as permissões.
    • Copiar uma função: Selecione a função e, em seguida, clique em Copiar Função na barra de ações. Altere o nome, a descrição, os tipos de objeto e as permissões, conforme necessário.
    • Editar uma função personalizada: Selecione a função e, em seguida, clique em Editar Função na barra de ações. Altere o nome, a descrição, os tipos de objeto e as permissões, conforme necessário.
    • Excluir uma função personalizada: Selecione a função e, em seguida, clique em Excluir Função na barra de ações. Quando solicitado, confirme a exclusão.

Criar e gerenciar escopos

Quando você cria um site, o único escopo disponível é o escopo ‘Todos’, que não pode ser excluído.

Você pode criar escopos usando o procedimento a seguir. Você também pode criar escopos ao criar um administrador; cada administrador deve ser associado a pelo menos um par de função e escopo. Ao criar ou editar desktops, catálogos de máquinas, aplicativos ou hosts, você pode adicioná-los a um escopo existente. Se você não os adicionar a um escopo, eles permanecerão parte do escopo ‘Todos’.

A criação do site não pode ter escopo, nem os objetos de administração delegada (escopos e funções). No entanto, os objetos que você não pode ter escopo são incluídos no escopo ‘Todos’. (Os Administradores Completos sempre têm o escopo Todos.) Máquinas, ações de energia, desktops e sessões não têm escopo direto. Os administradores podem ter permissões alocadas sobre esses objetos por meio dos catálogos de máquinas ou grupos de entrega associados.

Regras para criar e gerenciar escopos:

  • Os nomes dos escopos podem conter até 64 caracteres Unicode. Os nomes dos escopos não podem incluir: barra invertida, barra, ponto e vírgula, dois pontos, sinal de libra, vírgula, asterisco, ponto de interrogação, sinal de igual, seta para a esquerda, seta para a direita, pipe, colchete esquerdo ou direito, parêntese esquerdo ou direito, aspas ou apóstrofo.

  • As descrições dos escopos podem conter até 256 caracteres Unicode.

  • Ao copiar ou editar um escopo, lembre-se de que a remoção de objetos do escopo pode tornar esses objetos inacessíveis ao administrador. Se o escopo editado for emparelhado com uma ou mais funções, certifique-se de que as atualizações do escopo não tornem nenhum par de função/escopo inutilizável.

Para criar e gerenciar escopos, siga estas etapas:

  1. Faça login no Web Studio, clique em Administradores no painel esquerdo e, em seguida, clique na guia Escopos.

  2. Siga as instruções para a tarefa que deseja concluir:

    • Criar um escopo: Clique em Criar novo Escopo na barra de ações. Insira um nome e uma descrição. Para incluir todos os objetos de um tipo específico (por exemplo, Grupos de Entrega), selecione o tipo de objeto. Para incluir objetos específicos, expanda o tipo e, em seguida, selecione objetos individuais (por exemplo, Grupos de Entrega usados pela equipe de Vendas).
    • Copiar um escopo: Selecione o escopo e, em seguida, clique em Copiar Escopo na barra de ações. Insira um nome e uma descrição. Altere os tipos de objeto e os objetos, conforme necessário.
    • Editar um escopo: Selecione o escopo e, em seguida, clique em Editar Escopo na barra de ações. Altere o nome, a descrição, os tipos de objeto e os objetos, conforme necessário.
    • Excluir um escopo: Selecione o escopo e, em seguida, clique em Excluir Escopo na barra de ações. Quando solicitado, confirme a exclusão.

Configurar gerenciamento de locatários

Configure o gerenciamento de locatários para criar partições de gerenciamento dentro de um único site do Citrix Virtual Apps and Desktops. Cada locatário tem recursos e configurações segregados, como catálogos de máquinas e grupos de entrega. Administradores com acesso a um locatário específico podem gerenciar apenas recursos e configurações associados a esse locatário. Exemplos de casos de uso incluem empresas com diferentes silos de negócios (divisões independentes ou equipes de gerenciamento de TI separadas) em um único site.

Em um nível alto, o fluxo de trabalho para configurar o gerenciamento de locatários inclui:

  1. Criar locatários
  2. Adicionar administradores para locatários

Criar locatários

Crie um locatário criando um escopo de locatário. As etapas detalhadas são as seguintes:

  1. Faça login no Web Studio, clique em Administradores no painel esquerdo e, em seguida, clique na guia Escopos.
  2. Clique em Criar Escopo para iniciar a criação do locatário.
  3. Insira os seguintes detalhes para o escopo do locatário:
    1. Digite um nome descritivo para o escopo. Este nome também serve como identificador do locatário.
    2. (Opcional) Insira uma breve descrição.
    3. Selecione Escopo de locatário.
    4. Se necessário, selecione os objetos associados ao locatário. Você também pode adicionar objetos a escopos de locatário ao criar ou gerenciar objetos.
    5. Clique em OK para concluir a criação.

Após a conclusão, você pode ver:

  • O novo registro de escopo de locatário aparece na lista de Escopos, identificado como um Locatário na coluna Tipo.
  • O nome do escopo é mostrado na lista suspensa Todos os Locatários localizada no canto superior direito do Web Studio.

Ao trabalhar com um escopo de locatário, tenha em mente estas considerações:

  • A propriedade do locatário segue uma ordem de atribuição hierárquica: Hospedagem > Catálogos de Máquinas > Grupos de Entrega > Aplicativos. Objetos de nível inferior herdam a propriedade do locatário de objetos de nível superior. Por exemplo, ao selecionar um grupo de entrega para um escopo de locatário, certifique-se de selecionar também a hospedagem e o catálogo de máquinas associados. Caso contrário, o grupo de entrega não poderá herdar a propriedade do locatário.
  • Após criar um escopo de locatário, você pode editar as atribuições de locatário modificando objetos. Quando uma atribuição de locatário é alterada, ela ainda está sujeita à restrição de que deve ser atribuída aos mesmos locatários ou a um subconjunto desses locatários. No entanto, os objetos de nível inferior não são reavaliados quando as atribuições de locatário mudam. Certifique-se de que os objetos estejam devidamente restritos ao alterar as atribuições de locatário. Por exemplo, se um catálogo de máquinas estiver disponível para TenantA e TenantB, você pode criar um grupo de entrega para TenantA e um para TenantB. (TenantA e TenantB estão ambos associados a esse catálogo de máquinas.) Você pode então alterar o catálogo de máquinas para ser associado apenas a TenantA. Como resultado, o grupo de entrega associado a TenantB se torna inválido.

Adicionar administradores para locatários

Adicione administradores para um locatário atribuindo contas de usuário com funções de administrador e locatários.

Para adicionar um administrador para um locatário, siga estas etapas:

  1. Faça login no Web Studio, clique em Administradores no painel esquerdo e, em seguida, clique na guia Administradores.
  2. Clique em Adicionar Administrador e siga estas etapas para concluir:
    1. Digite ou procure o nome da conta de usuário e clique em Avançar.
    2. Selecione Acesso personalizado e, em seguida, selecione uma ou mais funções (por exemplo, Administrador de Catálogo de Máquinas), conforme necessário.
    3. Clique em Editar escopos ao lado de cada função, altere o escopo de Todos para o escopo de locatário desejado e, em seguida, clique em Salvar.
  3. Clique em Avançar.
  4. Na página Revisar e confirmar, clique em Enviar convite.

Criar relatórios

Você pode criar dois tipos de relatórios de administração delegada:

  • Um relatório HTML que lista os pares de função/escopo associados a um administrador, além das permissões individuais para cada tipo de objeto (por exemplo, grupos de entrega e catálogos de máquinas). Você gera este relatório a partir do Web Studio.

    Para criar este relatório, siga estas etapas:

    1. Faça login no Web Studio, clique em Administradores no painel esquerdo
    2. Selecione um administrador e, em seguida, clique em Criar Relatório na barra de ações.

    Você também pode solicitar este relatório ao criar, copiar ou editar um administrador.

  • Um relatório HTML ou CSV que mapeia todas as funções integradas e personalizadas para permissões. Você gera este relatório executando um script PowerShell chamado OutputPermissionMapping.ps1.

    Para executar este script, você deve ser um Administrador Completo, um Administrador Somente Leitura ou um administrador personalizado com permissão para ler funções. O script está localizado em: Program Files\Citrix\DelegatedAdmin\SnapIn\Citrix.DelegatedAdmin.Admin.V1\Scripts.

    Sintaxe:

    OutputPermissionMapping.ps1 [-Help] [-Csv] [-Path string] [-AdminAddress string] [-Show] [CommonParameters]

    Parâmetro Descrição
    -Help Exibe a ajuda do script.
    -Csv Especifica a saída CSV. Padrão = HTML
    -Path string Onde gravar a saída. Padrão = stdout
    -AdminAddress string Endereço IP ou nome do host do Delivery Controller™ ao qual se conectar. Padrão = localhost
    -Show (Válido somente quando o parâmetro -Path também é especificado) Quando você grava a saída em um arquivo, -Show faz com que a saída seja aberta em um programa apropriado, como um navegador da web.
    CommonParameters Verbose, Debug, ErrorAction, ErrorVariable, WarningAction, WarningVariable, OutBuffer e OutVariable. Para detalhes, consulte a documentação da Microsoft.

O exemplo a seguir grava uma tabela HTML em um arquivo chamado Roles.html e abre a tabela em um navegador da web.

& "$env:ProgramFiles\Citrix\DelegatedAdmin\SnapIn\
Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1"
-Path Roles.html –Show
<!--NeedCopy-->

O exemplo a seguir grava uma tabela CSV em um arquivo chamado Roles.csv. A tabela não é exibida.

& "$env:ProgramFiles\Citrix\DelegatedAdmin\SnapIn\
Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1"
–CSV -Path Roles.csv
<!--NeedCopy-->

Em um prompt de comando do Windows, o comando do exemplo anterior é:

powershell -command "& '%ProgramFiles%\Citrix\DelegatedAdmin\SnapIn\
Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1'
-CSV -Path Roles.csv"
<!--NeedCopy-->
Administração delegada
January 23, 2026
Contribuição de: 
C
January 23, 2026
Contribuição de: 
C

Neste artigo

Feedback do site | Your privacy choices footer linkSuas escolhas de privacidade | Privacidade e termos legais | Preferências de cookies | Configurações de consentimento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.