用户帐户、角色和注册
您可以在 Citrix Endpoint Management 控制台的“管理”选项卡和“设置”页面上执行用户配置任务。除非另有说明,否则本文提供完成以下任务的步骤。
- 注册安全模式和邀请
- 从设置 > 注册,配置最多七种注册安全模式并发送注册邀请。每种注册安全模式都有自己的安全级别和用户注册设备必须采取的步骤数量。
- 用户帐户和组的角色
- 从设置 > 基于角色的访问控制,向用户和组分配预定义角色或权限集合。这些权限控制用户对系统功能的访问级别。有关详细信息,请参阅使用 RBAC 配置角色。
- 从设置 > 通知模板,创建或更新用于自动化操作、注册和发送给用户的标准通知消息的通知模板。您可以将通知模板配置为通过两个不同的渠道发送消息:Citrix Secure Hub 或 SMTP。有关详细信息,请参阅: 创建和更新通知模板。
- 用户帐户和组:
-
从管理 > 用户中,手动添加用户帐户或使用 .csv 预配文件导入帐户并管理本地组。但是,大部分 Citrix Endpoint Management 部署都连接到 LDAP 以获取用户和组信息。在以下用例中,您可能希望在本地创建用户帐户:
- 在零售等环境中,设备是共用的,而不是由单个用户专用。
- 如果您使用不受支持的目录,例如 Novell eDirectory。
-
从设置 > 工作流,使用工作流对用户帐户的创建和删除进行管理。
-
关于用户帐户
Citrix Endpoint Management 用户帐户适用于本地、Active Directory 或云用户。
-
云用户: 云用户是 Citrix Cloud 在将管理员添加到您的 Citrix Cloud 客户帐户时创建的特殊用户帐户。云用户帐户使用与 Citrix Cloud 上的管理员帐户相同的用户名,并且默认为管理员角色。云用户帐户提供单点登录并执行其他管理功能。
要向 Citrix Cloud 帐户添加管理员,请参阅 邀请新管理员。
对于云用户:
- 您可以通过 Citrix Cloud 控制台更改云用户的角色和用户属性。请参阅 管理 Citrix Cloud 管理员。
- 要更改密码,请参阅 管理员。
- 要删除云用户,请在 Citrix Cloud 中转到 身份和访问管理 > 管理员。单击用户行末尾的省略号,然后选择 删除管理员。
- 您无法将云用户添加到本地组。
配置注册安全模式
您可以配置设备注册安全模式,以便在 Citrix Endpoint Management 中为设备注册指定安全级别和通知模板。
Citrix Endpoint Management 提供六种注册安全模式,每种模式都有自己的安全级别和用户注册设备必须采取的步骤。您可以从“管理”>“注册邀请”页面在 Citrix Endpoint Management 控制台中 配置注册安全模式。有关信息,请参阅 注册邀请。
注意:
如果计划使用自定义通知模板,则必须先设置模板,然后再配置注册安全模式。有关通知模板的详细信息,请参阅创建或更新通知模板。
-
在 Citrix Endpoint Management 控制台上,单击主机右上角的齿轮图标。此时将显示设置页面。
-
单击注册。将出现“注册”页面。它有一个列出所有可用注册安全模式的表。默认情况下,启用所有注册安全模式。
-
在列表中选择任何注册安全模式以对其进行编辑。然后,将模式设置为默认模式或禁用该模式。
选中注册安全模式旁边的复选框以查看选项菜单。或者,单击列表中的其他任意位置可查看列表右侧的选项菜单。
提示:
编辑注册安全模式时,可以指定过期截止日期,在截止日期之后,用户将无法注册其设备。有关信息,请参 阅本文中的编辑注册安全模式 。此值显示在用户和组注册邀请配置页面。
根据您的平台,您可以选择以下注册安全模式:
- 用户名 + 密码
- 邀请 URL
- 邀请 URL + PIN
- 邀请 URL + 密码
- 两个因素
- 用户名 + PIN
有关特定于平台的注册安全模式的信息,请参阅 各平台的注册安全模式。
可以将注册邀请用作限制为特定用户或组注册的功能的有效方式。要发送注册邀请,只能使用邀请 URL、邀请 URL + PIN 或邀请 URL + 密码注册安全模式。对于使用用户名 + 密码、双重身份验证或用户名+ PIN 注册的设备,用户必须在 Citrix Secure Hub 中手动输入其凭据。
您可以使用一次性 PIN(有时又称为 OTP)注册邀请作为双重身份验证解决方案。一次性 PIN 注册邀请控制用户可以注册的设备数量。OTP 邀请不适用于Windows 设备。
编辑注册安全模式
-
在注册列表中,选择注册安全模式,然后单击编辑。此时将显示编辑注册模式页面。根据所选择的模式,您可能会看到不同的选项。
-
适当更改以下信息:
-
此时间后过期: 键入过期期限,过了此期限后用户将无法注册其设备。此值显示在用户和组注册邀请配置页面。
键入 0 可防止邀请过期。
- 天数: 单击下拉列表中的天数或小时以对应您在过期之后输入的到期截止日期。
-
最大尝试次数: 键入用户可以尝试注册的次数,超出此次数后用户将被锁定,无法进行注册过程。此值显示在用户和组注册邀请配置页面。
键入 0 表示尝试次数不受限制。
- PIN 长度: 键入用于设置生成的 PIN 的长度的数字。
-
数字: 在 PIN 类型的下拉列表中单击“数字”或“字母数字”。
-
通知模板:
- 注册 URL 的模板: 单击下拉列表中的模板以用于注册 URL。例如,注册邀请模板向用户发送电子邮件。有关通知模板的详细信息,请参阅 创建或更新通知模板。
- 注册 PIN 的模板: 单击下拉列表中的模板以用于注册 PIN。
- 注册确认模板: 单击下拉列表中的模板以通知用户他们已成功注册。
-
-
单击保存。
将注册安全模式设为默认模式
除非您选择不同的注册安全模式,否则默认注册安全模式用于所有设备注册请求。如果没有将注册安全模式设置为默认模式,则必须为每个设备注册创建注册请求。
-
如果未启用要用作默认值的注册安全模式,请选择它并单击 启用。唯一可以用作默认的注册安全模式是用 户名 + 密码、 双因素或用 户名 + PIN码。
-
选择注册安全模式,然后单击 默认。所选模式现已成为默认模式。如果将任何其他注册安全模式设为默认模式,此模式将不再作为默认模式。
禁用注册安全模式
禁用注册安全模式将使此模式不可供用户使用,既不可用于组注册邀请,也不可在自助服务门户中提供。您可以通过禁用一种注册安全模式并启用另一种注册安全模式来更改允许用户注册设备的方式
-
选择注册安全模式。
不能禁用默认注册安全模式。如果要禁用默认注册安全模式,必须首先删除其默认状态。
-
单击禁用。注册安全模式不再处于启用状态。
添加、编辑、解锁或删除本地用户帐户
您可以手动将本地用户帐户添加到 Citrix Endpoint Management,也可以使用配置文件导入帐户。有关从置备文件导入用户帐户的步骤,请参阅 导入用户帐户。
所有 Citrix Cloud 管理员都被创建为 Citrix Endpoint Management 管理员。如果您创建具有自定义访问权限的 Citrix Cloud 管理员,请确保访问权限包括 Citrix Endpoint Management。有关添加 Citrix Cloud 管理员的信息,请参阅 添加管理员。
-
在 Citrix Endpoint Management 控制台中, 单击“管理”>“用户”。此时将显示用户页面。
-
单击显示过滤器以过滤列表。
添加本地用户帐户
-
在用户页面上,单击添加本地用户。此时将显示添加本地用户页面。
-
配置以下设置:
- 用户名: 键入名称,这是必填字段。您可以在名称中包括以下内容:空格、大写字母和小写字母。
-
密码: 键入可选用户密码。密码长度必须至少为 14 个字符,并满足以下所有标准:
- 至少包含两个数字
- 至少包含一个大写字母和一个小写字母
- 至少包含一个特殊字符
- 不要包含字典单词或限制单词,例如 Citrix 用户名或电子邮件地址。
- 不要包含三个以上的连续字符和重复字符或键盘模式,例如 1111、1234 或 asdf
-
角色: 在下拉列表中单击用户角色。 有关角色的更多信息,请参阅使用 RBAC 配置角色。可能的选项包括:
- ADMIN
- DEVICE_PROVISIONING
- SUPPORT
- USER
- 成员资格: 在下拉列表中单击要添加用户的一个或多个组。
-
用户属性: 添加可选用户属性。对于要添加的每个用户属性,单击添加,然后执行以下操作:
- 用户属性: 单击下拉列表中的某个属性,然后在该属性旁边的字段中键入该用户属性属性。
- 单击完成保存用户属性或单击取消。
要删除现有用户属性,请将鼠标悬停在具有该属性的行上,然后单击右侧的 X 。属性立即被删除。
要编辑现有用户属性,请单击属性并进行更改。单击完成保存更改后的列表,或者单击取消保留列表不变。
-
单击保存。创建用户后,本地用户帐户的用户类型字段将保持空白。
编辑本地用户帐户
-
在用户页面上的用户列表中,通过单击选择某个用户,然后单击编辑。此时将显示编辑本地用户页面。
-
适当更改以下信息:
- 用户名: 无法更改用户名。
- 密码: 更改或添加用户密码。
- 角色: 在下拉列表中单击用户角色。
- 成员资格: 在下拉列表中单击要添加或编辑用户帐户的一个或多个组。要从组中移除用户帐户,请清除组名称旁边的复选框。
-
用户属性: 请执行以下操作之一:
- 对于您要更改的各个用户属性,请单击属性并进行更改。单击完成保存更改后的列表,或者单击取消保留列表不变。
- 对于要添加的每个用户属性,单击添加,然后执行以下操作:
- 用户属性: 单击下拉列表中的某个属性,然后在该属性旁边的字段中键入该用户属性属性。
- 单击完成保存用户属性或单击取消。
- 对于要删除的每个现有用户属性,将鼠标悬停在具有该属性的行上,然后单击右侧的 X 。属性立即被删除。
-
单击保存以保存您所做的更改,或者单击取消保留用户不变。
解锁本地用户帐户
根据以下服务器属性,本地用户帐户被锁定:
local.user.account.lockout.time-
local.user.account.lockout.limit有关详细信息,请参阅 服务器属性定义。
本地用户帐户被锁定后,您可以从 Citrix Endpoint Management 控制台解锁该帐户。
-
在用户页面上的用户帐户列表中,通过单击选择某个用户帐户。
-
单击解锁用户。此时将显示确认对话框。
-
单击解锁以解锁用户帐户,或者单击取消保持用户不变。
您无法从 Citrix Endpoint Management 控制台打开 Active Directory 用户。锁定的 Active Directory 用户必须联系其 Active Directory 技术支持重置密码。
删除本地用户帐户
-
在用户页面上的用户帐户列表中,通过单击选择某个用户帐户。
您可以通过选中每个用户帐户旁边的复选框来选择要删除的多个用户帐户。
-
单击删除。此时将显示确认对话框。
-
单击删除以删除用户帐户或单击取消。
删除 Active Directory 用户
要一次删除一个或多个 Active Directory 用户,请选择这些用户,然后单击删除。
如果要删除的用户具有已注册的设备,而您希望重新注册这些设备,请先删除这些设备,然后再重新注册。要删除某个设备,请转至管理 > 设备,选择该设备,然后单击删除。
导入用户帐户
您可以从称为预配文件的 .csv 文件导入本地用户帐户和属性,该文件可以手动创建。有关设置预配文件格式的详细信息,请参阅预配文件的格式。
注意:
- 对于本地用户,请使用域名以及导入文件中的用户名。例如,指定
username@domain。如果您创建或导入的本地用户用于 Citrix Endpoint Management 中的托管域,则该用户无法使用相应的 LDAP 凭据进行注册。- 如果将用户帐户导入 Citrix Endpoint Management 内部用户目录,请禁用默认域以加快导入过程。请注意,禁用域会影响注册。您可以在内部用户导入完成后重新启用默认域。
- 本地用户可以采用用户主体名称 (UPN) 格式。但是,Citrix 建议您不要使用托管域。例如,如果 example.com 处于托管状态,请勿使用以下 UPN 格式创建本地用户:user@example.com。
准备好配置文件后,请按照以下步骤将文件导入 Citrix Endpoint Management。
-
在 Citrix Endpoint Management 控制台中, 单击“管理”>“用户”。此时将显示用户页面。
-
单击导入本地用户。此时将显示导入预配文件对话框。
-
为要导入的配置文件的格式选择“用户”或“属性”。
-
通过单击浏览并导航到要使用的预配文件所在位置,选择此文件。
-
单击导入。
预配文件的格式
您可以创建配置文件并使用它将用户帐户和属性导入到 Citrix Endpoint Management。对预配文件使用以下格式之一:
-
用户置备文件字段:
user;password;role;group1;group2 -
用户属性置备文件字段:
user;propertyName1;propertyValue1;propertyName2;propertyValue2
注意:
- 使用分号 (;) 分隔预配文件中的字段。如果字段的一部分有分号,则使用反斜杠字符 () 对其进行转义。例如,在预配文件中,按照 propertyV;test;1;2 格式键入属性 propertyV; test;1;2。
- 角色的有效值为预定义的角色 USER、ADMIN、SUPPORT 和 DEVICE_PROVISIONING 以及您定义的任何其他角色。
- 使用句点字符 (.) 作为分隔符来创建组层次结构。请勿在组名称中使用句点。
- 属性预配文件中的属性使用小写。数据库区分大小写。
用户预配内容示例
条目 user01;pwd\\;o1;USER;myGroup.users01;myGroup.users02;myGroup.users.users01 表示:
- 用户: user01
- 密码: pwd; 01
- 角色: USER
-
组:
- myGroup.users01
- myGroup.users02
- myGroup.users.users.users01
另一个示例 AUser0;1.password;USER;ActiveDirectory.test.net 表示:
- 用户: AUser0
- 密码: 1.password
- 角色: USER
- 组: ActiveDirectory.test.net
用户属性预配内容示例
条目 user01;propertyN;propertyV\;test\;1\;2;prop 2;prop2 value 表示:
- 用户: user01
-
属性 1
- 名称: propertyN
- 值: propertyV;test;1;2
-
属性 2:
- 名称: prop 2
- 值: prop2 value
添加或删除组
您可以在 Citrix Endpoint Management 控制台的“管理组”对话框中的以下页面上管理组 :用户 、添加本地用户 或编辑本地用户。没用组编辑命令。
添加本地组
-
执行以下操作之一:
- 在用户页面上,单击管理本地组。
- 在添加本地用户页面或编辑本地用户页面上,单击管理组。
此时将显示管理组对话框。
-
在组列表下方,键入组名称,然后单击加号 (+)。用户组已添加到列表中。
-
单击关闭。
删除组
删除组不会影响用户帐户。相反,删除组将仅删除用户与该组的关联。用户还会丧失该组关联的交付组提供的应用程序或配置文件的访问权限。但是,任何其他团体协会都保持不变。如果用户不与任何其他本地组关联,这些用户将在顶层关联。
-
执行以下操作之一:
- 在用户页面上,单击管理本地组。
- 在添加本地用户页面或编辑本地用户页面上,单击管理组。
此时将显示管理组对话框。
-
在管理组对话框上,单击要删除的组。
-
单击组名称右侧的垃圾桶图标。此时将显示确认对话框。
-
单击删除以确认操作并删除该组。
重要提示:
此操作无法撤消。
-
在管理组对话框上,单击关闭。
创建和管理工作流
可以使用工作流对用户帐户的创建和删除进行管理。应先确定组织中有权批准用户帐户请求的人员,才能创建工作流。然后,使用工作流模板创建和批准用户帐户请求。
首次设置 Citrix Endpoint Management 时,需要配置工作流程电子邮件设置,必须先设置这些设置,然后才能使用工作流。随时可以更改工作流电子邮件设置。这些设置包括电子邮件服务器、端口、电子邮件地址以及创建用户帐户的请求是否需要进行审批。
您可以在 Citrix Endpoint Management 的两个位置配置工作流程:
- 在 Citrix Endpoint Management 控制台的 设置 > 工作流程 页面中。在工作流页面上,可以配置多个用于应用程序配置的工作流。在“工作流”页面上配置工作流时,可以在配置应用程序时选择工作流。
- 配置应用程序连接器时,请在应用程序中提供工作流名称,然后配置审批用户帐户请求的人员。请参阅添加应用程序。
可以为用户帐户分配最多三个经理审批级别。如果需要其他人员批准用户帐户,可以使用其姓名或电子邮件地址搜索和选择这些人员。当 Citrix Endpoint Management 找到该人时,您可以将其添加到工作流程中。工作流中的所有人员都将收到电子邮件,以批准或拒绝新用户帐户。
-
在 Citrix Endpoint Management 控制台中,单击主机右上角的齿轮图标。此时将显示设置页面。
-
单击工作流。此时将显示工作流页面。
-
单击添加。此时将显示添加工作流页面。
-
配置以下设置:
- 名称: 键入工作流的唯一名称。
- 说明: (可选)键入工作流的说明。
- 电子邮件审批模板: 在列表中,选择要指定的电子邮件审批模板。您可以在 Citrix Endpoint Management 控制台的“设置”下的“通知模板”部分中创建电子邮件模板。单击此字段右侧的眼睛图标,即可预览正在配置的模板。
-
经理审批级别: 在列表中,选择此工作流所需的经理审批级别数。默认值为 1 级。可能的选项包括:
- 不需要
- 1 级
- 2 级
- 3 级
- 选择 Active Directory 域: 在列表中,选择用于工作流的合适 Active Directory 域。
- 查找所需的其他审批者: 在搜索字段中键入姓名,然后单击搜索。名称源于 Active Directory。
- 当名称出现在字段中时,选中名称旁边的复选框。姓名和电子邮件地址显示在选定的其他所需审批者列表中。
- 要从列表中删除某个姓名,请执行以下操作之一:
- 单击搜索以查找选定域中的所有人员列表。
- 在搜索框中键入完整姓名或部分姓名,然后单击搜索以限制搜索结果。
- 在搜索结果列表中,选定的其他所需审批者列表中的人员姓名旁边有一个复选标记。滚动浏览列表,清除要删除的每个名称旁边的复选框。
- 要从列表中删除某个姓名,请执行以下操作之一:
-
单击保存。已创建的工作流显示在工作流页面上。
创建工作流后,您可以查看工作流详细信息,查看与工作流相关的应用程序,或者删除工作流。工作流创建后无法进行编辑。如果需要使用不同审批级别或审批者的工作流,请创建另一个工作流。
查看详细信息和删除工作流
-
在工作流页面上的现有工作流列表中,选择一个特定的工作流。为此,请单击表格中的行或选中工作流程旁边的复选框。
-
要删除工作流,请单击删除。此时将显示确认对话框。再次单击删除。
重要提示:
此操作无法撤消。