委派管理功能
委派管理模型提供了灵活性,使其能够与您的组织希望委派管理活动的方式相匹配,通过使用基于角色和对象的控制。委派管理能够适应各种规模的部署,并且随着您的部署复杂性增加,它允许您配置更细致的权限粒度。委派管理主要涉及三个核心概念:管理员、角色和作用域。
-
管理员: 管理员代表由其 Active Directory 帐户标识的个人或人群组。每个管理员都与一个或多个角色和作用域对相关联。
-
角色: 角色代表一项工作职能,并具有与其关联的已定义权限。例如,交付组管理员角色具有“创建交付组”和“从交付组中删除桌面”等权限。一个管理员可以为一个站点拥有多个角色,因此一个人可以是交付组管理员和计算机目录管理员。角色可以是内置的或自定义的。
内置角色包括:
角色 访问权限 完全管理员 可以执行所有任务和操作。完全管理员始终与“所有”作用域结合使用。 只读型管理员 除了全局信息之外,可以查看指定作用域中的所有对象,但不能更改任何内容。例如,作用域为“London”的只读管理员可以查看所有全局对象(例如“配置日志记录”)和任何“London”作用域对象(例如“London 交付组”)。但是,该管理员无法查看“New York”作用域中的对象(假设“London”和“New York”作用域不重叠)。 技术支持管理员 可以查看交付组,并管理与这些组关联的会话和计算机。可以查看正在受监视的交付组的计算机目录和主机信息。还可以对这些交付组中的计算机执行会话管理和计算机电源管理操作。 计算机目录管理员 可以创建和管理计算机目录并将计算机预配到其中。可以从虚拟化基础结构、预配服务和物理计算机构建计算机目录。此角色可以管理基本映像和安装软件,但不能将应用程序或桌面分配给用户。 负责交付组的管理员 可以交付应用程序、桌面和计算机;还可以管理关联的会话。还可以管理应用程序和桌面配置,例如策略和电源管理设置。 主机管理员 可以管理主机连接及其关联的资源设置。无法向用户交付计算机、应用程序或桌面。 在某些产品版本中,您可以创建自定义角色以满足组织的需要,并更详细地委派权限。您可以使用自定义角色在控制台中按操作或任务的粒度分配权限。
-
范围:范围表示对象的集合。范围用于以与您的组织相关的方式对对象进行分组(例如,销售团队使用的交付组集)。对象可以属于多个范围;您可以将对象视为带有一个或多个范围标签。有一个内置范围:“所有”,其中包含所有对象。完全管理员角色始终与“所有”范围配对。
示例
XYZ 公司决定根据部门(会计、销售和仓库)及其桌面操作系统(Windows 7 或 Windows 8)管理应用程序和桌面。管理员创建了五个范围,然后为每个交付组标记了两个范围:一个用于它们所使用的部门,另一个用于它们所使用的操作系统。
系统已创建以下管理员账户:
| 管理员 | 角色 | 范围 |
|---|---|---|
| 域内用户/fred | 完全管理员 | 所有(完全管理员角色始终具有“所有”范围) |
| 域内用户/rob | 只读权限管理员 | 所有 |
| domain/heidi | 只读管理员,帮助台管理员 | 所有销售 |
| 域/仓库管理员 | 帮助台管理员 | 仓储管理 |
| domain/peter | 交付组管理员,计算机目录管理员 | Win7 |
- Fred 是完全管理员,可以查看、编辑和删除系统中的所有对象。
- Rob 可以查看站点中的所有对象,但无法编辑或删除它们。
- Heidi 可以查看所有对象,并可以在销售范围内的交付组上执行帮助台任务。这使她能够管理与这些组关联的会话和计算机;她无法对交付组进行更改,例如添加或删除计算机。
- 任何属于 warehouseadmin Active Directory 安全组的成员都可以在 Warehouse 范围内的计算机上查看和执行帮助台任务。
- Peter 是一名 Windows 7 专家,可以管理所有 Windows 7 计算机目录,并且可以交付 Windows 7 应用程序、桌面和计算机,无论它们属于哪个部门范围。管理员曾考虑让 Peter 成为 Win7 范围的完全管理员。但是,她决定不这样做,因为完全管理员还对所有未限定范围的对象(例如“站点”和“管理员”)拥有完全权限。
如何使用委派管理功能
通常情况下,管理员的数量以及其权限的精细程度,会根据部署的规模和复杂性而有所不同。
- 在小型或概念验证部署中,一个或少数管理员负责所有事务。没有委派。在这种情况下,使用内置的“完全管理员”角色(具有“所有”范围)创建每个管理员。
- 在具有更多计算机、应用程序和桌面的大型部署中,需要更多的委派。多个管理员可能具有更具体的职能职责(角色)。例如,其中两名是完全管理员,其他是帮助台管理员。此外,管理员可能只管理某些对象组(范围),例如计算机目录。在这种情况下,创建新范围,并创建具有内置角色之一和相应范围的管理员。
- 更大的部署可能需要更多(或更具体)的范围,以及具有非常规角色的不同管理员。在这种情况下,编辑或创建更多范围,创建自定义角色,并使用内置或自定义角色以及现有和新范围创建每个管理员。
为了灵活性和易于配置,您可以在创建管理员时创建范围。您还可以在创建或编辑计算机目录或连接时指定范围。
创建和管理管理员
当您以本地管理员身份创建站点时,您的用户帐户会自动成为完全管理员,对所有对象拥有完全权限。站点创建后,本地管理员没有特殊权限。
完全管理员角色始终具有“所有”范围;您无法更改此设置。
默认情况下,管理员处于启用状态。如果您现在正在创建管理员,但该人员稍后才开始管理职责,则可能需要禁用管理员。对于现有已启用的管理员,您可能希望在重新组织对象/范围时禁用其中几个,然后在准备好使用更新的配置上线时重新启用它们。如果禁用完全管理员会导致没有已启用的完全管理员,则无法禁用该完全管理员。在创建、复制或编辑管理员时,可以使用启用/禁用复选框。
当您在复制、编辑或删除管理员的过程中删除某个角色/范围对时,此操作仅会删除该管理员所关联的角色与范围之间的关系。它并不会删除角色本身,也不会删除范围本身。此外,此操作也不会对任何其他已配置相同角色/范围对的管理员产生影响。
要管理管理员,请在 Studio 导航窗格中点击 配置 > 管理员,然后点击上方中间窗格中的 管理员 选项卡。
- 创建管理员: 在“操作”窗格中单击 Create new Administrator。键入或浏览到用户帐户名称,选择或创建范围,然后选择角色。新管理员默认处于启用状态;您可以更改此设置。
- 复制管理员: 在中间窗格中选择管理员,然后单击“操作”窗格中的“复制管理员”。键入或浏览到用户帐户名。您可以选择并编辑或删除任何角色/范围对,以及添加新的角色/范围对。新管理员默认启用;您可以更改此设置。
- 编辑管理员: 在中间窗格中选择管理员,然后单击“操作”窗格中的“编辑管理员”。您可以编辑或删除任何角色/范围对,以及添加新的角色/范围对。
- 删除管理员: 在中间窗格中选择管理员,然后单击“操作”窗格中的“删除管理员”。如果删除完全管理员会导致没有启用的完全管理员,则无法删除该完全管理员。
上方窗格显示您创建的管理员。选择一个管理员可在下方窗格中查看其详细信息。警告列指示与管理员关联的角色和范围对是否包含不可用的角色或范围。如果关联的角色和范围对包含不可用的角色或范围,则会出现以下警告消息:
- 关联的角色或范围不可用
- 从管理员中删除角色和范围对。
重要提示:
仅当关联的角色和范围对包含不可用的角色、不可用的范围或两者都包含时,才会显示警告消息。
要从管理员中删除角色和范围对,请完成以下步骤之一:
- 删除角色和范围对。
- 在“操作”窗格中,单击“编辑管理员”。
- 在“编辑管理员”窗口中,选择角色和范围对,然后单击“删除”。
- 单击“确定”退出。
- 将管理员删除。
- 在“操作”窗格中,单击“删除管理员”。
- 在 Studio 窗口中,单击 删除。
创建和管理角色
管理员创建或编辑角色时,只能启用其自身拥有的权限。这可以防止管理员创建具有比其当前拥有更多权限的角色,然后将其分配给自己(或编辑已分配给他们的角色)。
角色名称最多可包含 64 个 Unicode 字符;不能包含:反斜杠、正斜杠、分号、冒号、井号、逗号、星号、问号、等号、左箭头或右箭头、管道符、左方括号或右方括号、左括号或右括号、引号或撇号。描述最多可包含 256 个 Unicode 字符。
您无法编辑或删除内置角色。如果有任何管理员正在使用自定义角色,则无法将其删除。
注意:
只有某些产品版本支持自定义角色。只有支持自定义角色的版本才会在“操作”窗格中显示相关条目。
要管理角色,请在 Studio 导航窗格中单击 配置 > 管理员,然后单击中间上方窗格中的 角色 选项卡。
- 查看角色详细信息: 在中间窗格中选择角色。中间窗格的下半部分列出了该角色的对象类型和关联权限。单击下部窗格中的“管理员”选项卡可显示当前拥有此角色的管理员列表。
- 创建自定义角色: 在“操作”窗格中单击 创建新角色。输入名称和描述。选择对象类型和权限。
- 复制角色: 在中间窗格中选择角色,然后单击“操作”窗格中的 复制角色。根据需要更改名称、描述、对象类型和权限。
- 编辑自定义角色: 在中间窗格中选择角色,然后单击“操作”窗格中的 编辑角色。根据需要更改名称、描述、对象类型和权限。
- 删除自定义角色: 在中间窗格中选择角色,然后单击“操作”窗格中的 删除角色。出现提示时,确认删除。
创建和管理范围
创建站点时,唯一可用的范围是“所有”范围,该范围无法删除。
您可以使用以下过程创建作用域。您也可以在创建管理员时创建作用域;每个管理员必须至少与一个角色和作用域对相关联。创建或编辑桌面、计算机目录、应用程序或主机时,可以将其添加到现有作用域。如果不将其添加到作用域,它们将保留在“所有”作用域中。
站点创建无法限定作用域,委派管理对象(作用域和角色)也无法限定作用域。但是,无法限定作用域的对象会包含在“所有”作用域中。(完全管理员始终拥有“所有”作用域。)计算机、电源操作、桌面和会话不直接限定作用域。管理员可以通过关联的计算机目录或交付组获得这些对象的权限。
作用域名称最多可包含 64 个 Unicode 字符。作用域名称不能包含:反斜杠、正斜杠、分号、冒号、井号、逗号、星号、问号、等号、左箭头、右箭头、管道符、左方括号或右方括号、左括号或右括号、引号或撇号。描述最多可包含 256 个 Unicode 字符。
复制或编辑作用域时,请记住,从作用域中删除对象可能会导致管理员无法访问这些对象。如果编辑的作用域与一个或多个角色配对,请确保作用域更新不会导致任何角色/作用域对无法使用。
要管理作用域,请在 Studio 导航窗格中单击“配置 > 管理员”,然后单击上方中间窗格中的“作用域”选项卡。
- 创建作用域: 在“操作”窗格中单击“创建新作用域”。输入名称和描述。要包含特定类型的所有对象(例如,交付组),请选择对象类型。要包含特定对象,请展开类型,然后选择单个对象(例如,销售团队使用的交付组)。
- 复制作用域: 在中间窗格中选择作用域,然后在“操作”窗格中单击“复制作用域”。输入名称和描述。根据需要更改对象类型和对象。
- 编辑作用域: 在中间窗格中选择作用域,然后在“操作”窗格中单击“编辑作用域”。根据需要更改名称、描述、对象类型和对象。
- 删除作用域: 在中间窗格中选择作用域,然后在“操作”窗格中单击“删除作用域”。出现提示时,确认删除。
创建报告
您可以创建两种类型的委派管理报告:
-
一份 HTML 报告,其中列出了与管理员关联的角色/作用域对,以及每种对象类型(例如,交付组和计算机目录)的单独权限。您可以从 Studio 生成此报告。
要创建此报告,请在 Studio 导航窗格中单击“配置 > 管理员”。在中间窗格中选择一个管理员,然后在“操作”窗格中单击“创建报告”。
您也可以在创建、复制或编辑管理员时请求此报告。
-
一份 HTML 或 CSV 报告,用于将所有内置角色和自定义角色映射到权限。您可以通过运行名为 OutputPermissionMapping.ps1 的 PowerShell 脚本来生成此报告。
To run this script, you must be a Full Administrator, a Read Only Administrator, or a custom administrator with permission to read roles. The script is located in: Program Files\Citrix\DelegatedAdmin\SnapIn\Citrix.DelegatedAdmin.Admin.V1\Scripts.
语法:
OutputPermissionMapping.ps1 [-Help] [-Csv] [-Path string] [-AdminAddress string] [-Show] [CommonParameters]参数名称 描述信息 -Help显示脚本帮助。 -Csv指定 CSV 输出。默认值 = HTML -Path string输出写入位置。默认值 = stdout -AdminAddress string要连接的交付控制器™的 IP 地址或主机名。默认值 = localhost -Show(仅当也指定了 -Path参数时有效)当您将输出写入文件时,-Show会使输出在适当的程序(例如 Web 浏览器)中打开。通用参数 Verbose、Debug、ErrorAction、ErrorVariable、WarningAction、WarningVariable、OutBuffer和OutVariable。有关详细信息,请参阅 Microsoft 文档。
以下示例将 HTML 表写入名为 Roles.html 的文件,并在 Web 浏览器中打开该表。
& "$env:ProgramFiles\Citrix\DelegatedAdmin\SnapIn\
Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1"
-Path Roles.html –Show
<!--NeedCopy-->
以下示例将 CSV 表写入名为 Roles.csv 的文件。该表不显示。
& "$env:ProgramFiles\Citrix\DelegatedAdmin\SnapIn\
Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1"
–CSV -Path Roles.csv
<!--NeedCopy-->
在 Windows 命令提示符下,前面的示例命令为:
powershell -command "& '%ProgramFiles%\Citrix\DelegatedAdmin\SnapIn\
Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1'
-CSV -Path Roles.csv"
<!--NeedCopy-->