Produktdokumentation
Citrix Hypervisor
8.2 CU1 XenServer 8
PDF anzeigen

RBAC-Rollen und -Berechtigungen

January 31, 2025
Beitrag von: 
X

Wichtig:

Citrix Hypervisor 8.2 Kumulatives Update 1 wird am 25. Juni 2025 End of Life. Planen Sie jetzt Ihr Upgrade auf XenServer 8, um einen reibungslosen Übergang und kontinuierlichen Support zu gewährleisten. Weitere Informationen finden Sie unter Upgrade.

Wenn Sie Ihre Citrix Virtual Apps and Desktops-Lizenzdateien verwenden, um Ihre Citrix Hypervisor 8.2 Cumulative Update 1-Hosts zu lizenzieren, sind diese Lizenzdateien nicht mit XenServer 8 kompatibel. Vor dem Upgrade müssen Sie XenServer Premium Edition-Socket-Lizenzdateien für die Verwendung mit XenServer 8 erwerben. Diese Socket-Lizenzdateien sind als Berechtigung für die Abonnements Citrix für Private Cloud, Citrix Universal Hybrid Multi-Cloud, Citrix Universal MSP und Citrix Platform License für die Ausführung Ihrer Citrix-Workloads verfügbar. Citrix-Kunden, die noch nicht auf diese neuen Abonnements umgestiegen sind, können die Teilnahme an einer kostenlosen Aktion für 10.000 XenServer Premium Edition-Socket-Lizenzen anfordern. Weitere Informationen finden Sie unter XenServer (Englisch).

Wenn Sie vor dem Upgrade keine kompatible Lizenz für XenServer 8 erhalten, werden Ihre Hosts beim Upgrade auf die 90-Tage-Testversion zurückgesetzt. Die Testversion bietet die gleichen Funktionen wie die Premium Edition, jedoch mit einigen Einschränkungen. Weitere Informationen finden Sie unter Übersicht über die XenServer 8-Lizenzierung.

Rollen

Citrix Hypervisor wird mit den folgenden sechs vorab festgelegten Rollen ausgeliefert:

  • Pool-Administrator (Pool Admin) – identisch mit dem lokalen Stamm. Kann alle Vorgänge ausführen.

    Hinweis:

    Der lokale Superuser (root) hat die Rolle “Pool Admin”. Die Rolle “Pooladministrator” verfügt über die gleichen Berechtigungen wie der lokale Stamm.

    Wenn Sie die Rolle “Pooladministrator” von einem Benutzer entfernen, sollten Sie auch das Root-Kennwort des Servers ändern und den geheimen Poolschlüssel rotieren. Weitere Informationen finden Sie unter Pool-Sicherheit.

  • Pool-Betreiber (Pool-Operator) – kann alles tun, außer Benutzer hinzufügen/entfernen und ihre Rollen ändern. Diese Rolle konzentriert sich hauptsächlich auf die Host- und Poolverwaltung (d. h. das Erstellen von Speicher, das Erstellen von Pools, das Verwalten der Hosts usw.).

  • Energieadministrator für virtuelle Maschinen (VM Power Admin) – erstellt und verwaltet virtuelle Maschinen. Diese Rolle konzentriert sich auf die Bereitstellung von VMs für die Verwendung durch einen VM-Operator.

  • Administrator für virtuelle Maschinen (VM Admin) – ähnlich wie ein VM Power Admin, kann aber keine VMs migrieren oder Snapshots durchführen.

  • Bediener virtueller Maschinen (VM-Operator) – ähnlich wie VM Admin, kann aber keine VMs erstellen/zerstören, kann aber Lebenszyklusvorgänge starten/stoppen.

  • Schreibgeschützt (Schreibgeschützt) – kann Ressourcenpool- und Leistungsdaten anzeigen.

Warnung:

Wenn Sie Active Directory-Gruppen verwenden, um Pooladministratorbenutzern, die SSH-Zugriff auf den Host benötigen, Zugriff zu gewähren, darf die Anzahl der Benutzer in der Active Directory-Gruppe 500 nicht überschreiten.

Eine Zusammenfassung der für die einzelnen Rollen verfügbaren Berechtigungen und Informationen zu den für die einzelnen Berechtigungen verfügbaren Vorgängen finden Sie unter Definitionen von RBAC-Rollen und -Berechtigungen im folgenden Abschnitt.

Wenn Sie einen Benutzer in Citrix Hypervisor erstellen, müssen Sie dem neu erstellten Benutzer zuerst eine Rolle zuweisen, bevor er das Konto verwenden kann. Citrix Hypervisor Nicht Weisen Sie dem neu erstellten Benutzer automatisch eine Rolle zu. Daher haben diese Konten keinen Zugriff auf den Citrix Hypervisor-Pool, bis Sie ihnen eine Rolle zuweisen.

  1. Ändern Sie den Betreff in die Rollenzuordnung. Dazu ist die Berechtigung zum Zuweisen/Ändern von Rollen erforderlich, die nur einem Pooladministrator zur Verfügung steht.

  2. Ändern Sie die Gruppenmitgliedschaft des Benutzers in Active Directory.

Definitionen von RBAC-Rollen und -Berechtigungen

In der folgenden Tabelle sind die Berechtigungen zusammengefasst, die für die einzelnen Rollen verfügbar sind. Ausführliche Informationen zu den für die einzelnen Berechtigungen verfügbaren Vorgängen finden Sie unter Definitionen von Berechtigungen.

Berechtigungen für Rollen Pool-Administrator Pooloperator VM-Hauptadministrator VM-Administrator VM-Operator Schreibgeschützt
Rollen zuweisen/ändern X          
Melden Sie sich bei (physischen) Serverkonsolen an (über SSH und XenCenter) X          
Server-Sicherung/-Wiederherstellung X          
Importieren von OVF/OVA-Paketen; Importieren von Disk-Images X          
Importieren von XVA-Paketen X X X      
Exportieren von OVF/OVA-Paketen X          
Exportieren von XVA-Paketen X X X      
Kerne pro Sockel festlegen X X X X    
Konvertieren von VMs mit dem Conversion Manager X          
Verriegelung des Switch-Ports X X        
Multipathing X X        
Aktive Benutzerverbindungen abmelden X X        
Erstellen und Verwerfen von Warnungen X X        
Aufgabe eines beliebigen Benutzers abbrechen X X        
Pool-Verwaltung X X        
Live-Migration X X X      
Live-Migration des Speichers X X X      
Erweiterte VM-Vorgänge X X X      
Vorgänge zum Erstellen/Zerstören von VMs X X X X    
VM CD-Medien wechseln X X X X X  
VM Energiestatus ändern X X X X X  
Anzeigen von VM-Konsolen X X X X X  
vApps (Hinzufügen/Ändern/Löschen von vApps) X X        
vApps (Starten/Herunterfahren von vApps) X X        
vApps (Hinzufügen/Entfernen von VMs zu einer vorhandenen vApp) X X        
vApps (vApps anzeigen) X X X X X X
Vorgänge zur Verwaltung von XenCenter-Ansichten X X X X X  
Eigene Aufgaben abbrechen X X X X X X
Lesen von Überwachungsprotokollen X X X X X X
Verbinden Sie sich mit dem Pool und lesen Sie alle Poolmetadaten X X X X X X
Konfigurieren der virtuellen GPU X X        
Virtuelle GPU-Konfiguration anzeigen X X X X X X
Zugreifen auf das Konfigurationslaufwerk (nur CoreOS-VMs) X          
Geplante Snapshots (Hinzufügen/Entfernen von VMs zu vorhandenen Snapshot-Zeitplänen) X X X      
Geplante Snapshots (Hinzufügen/Ändern/Löschen von Snapshot-Zeitplänen) X X        
Sammeln von Diagnoseinformationen X X        
Konfigurieren der Nachverfolgung geänderter Blöcke X X X X    
Geänderte Blöcke auflisten X X X X X  
Konfigurieren von PVS-Accelerator X X        
PVS-Accelerator-Konfiguration anzeigen X X X X X X

Definitionen von Berechtigungen

Rollen zuweisen/ändern:

  • Benutzer hinzufügen/entfernen
  • Hinzufügen/Entfernen von Rollen von Benutzern
  • Aktivieren und Deaktivieren der Active Directory-Integration (Beitritt zur Domäne)

Mit dieser Berechtigung kann sich der Benutzer selbst eine beliebige Berechtigung erteilen oder eine Aufgabe ausführen.

Warnung: Mit dieser Rolle kann der Benutzer die Active Directory-Integration und alle aus Active Directory hinzugefügten Themen deaktivieren.

Melden Sie sich bei den Serverkonsolen an:

  • Zugriff auf die Serverkonsole über SSH
  • Zugriff auf die Serverkonsole über XenCenter

Warnung: Mit Zugriff auf eine Root-Shell kann der Beauftragte das gesamte System, einschließlich RBAC, beliebig neu konfigurieren.

Vorgänge zum Erstellen/Zerstören von Server-Backups/-Wiederherstellungen von VMs:

  • Sichern und Wiederherstellen von Servern
  • Sichern und Wiederherstellen von Pool-Metadaten

Die Möglichkeit, eine Sicherung wiederherzustellen, ermöglicht es dem Beauftragten, RBAC-Konfigurationsänderungen rückgängig zu machen.

Importieren/Exportieren von OVF/OVA-Paketen und Disk-Images:

  • Importieren von OVF- und OVA-Paketen
  • Importieren von Disk-Images
  • Exportieren von VMs als OVF/OVA-Pakete

Legen Sie die Kerne pro Sockel fest:

  • Festlegen der Anzahl der Kerne pro Socket für die virtuellen CPUs der VM

Mit dieser Berechtigung kann der Benutzer die Topologie für die virtuellen CPUs des virtuellen Computers angeben.

Konvertieren von VMs mit dem Conversion Manager:

  • Konvertieren von VMware ESXi/vCenter-VMs in Citrix Hypervisor-VMs

Mit dieser Berechtigung kann der Benutzer Arbeitslasten von VMware in Citrix Hypervisor konvertieren, indem er Batches von VMware ESXi/vCenter-VMs in die Citrix Hypervisor-Umgebung kopiert.

Verriegelung des Switch-Ports:

  • Steuern des Datenverkehrs in einem Netzwerk

Mit dieser Berechtigung kann der Benutzer standardmäßig den gesamten Datenverkehr in einem Netzwerk blockieren oder bestimmte IP-Adressen definieren, von denen eine VM Datenverkehr senden darf.

Multipathing:

  • Multipathing aktivieren
  • Multipathing deaktivieren

Aktive Benutzerverbindungen abmelden:

  • Möglichkeit, die Verbindung zu angemeldeten Benutzern zu trennen

Erstellen/Verwerfen von Warnungen:

  • Konfigurieren Sie XenCenter so, dass Warnungen generiert werden, wenn die Ressourcennutzung bestimmte Schwellenwerte überschreitet
  • Entfernen von Warnungen aus der Ansicht “Warnungen”

Warnung: Ein Benutzer mit dieser Berechtigung kann Warnungen für den gesamten Pool verwerfen.

Hinweis: Die Möglichkeit, Warnungen anzuzeigen, ist Teil der Berechtigung Mit Pool verbinden und alle Pool-Metadaten lesen.

Aufgabe eines beliebigen Benutzers abbrechen:

  • Abbrechen der ausgeführten Aufgabe eines Benutzers

Mit dieser Berechtigung kann der Benutzer Citrix Hypervisor anfordern, eine laufende Aufgabe abzubrechen, die von einem beliebigen Benutzer initiiert wurde.

Pool-Verwaltung:

  • Festlegen von Pooleigenschaften (Benennung, Standard-SRs)
  • Erstellen eines Cluster-Pools
  • Aktivieren, Deaktivieren und Konfigurieren von Hochverfügbarkeit
  • Festlegen von Prioritäten für den Neustart der Hochverfügbarkeit pro VM
  • Konfigurieren der Notfallwiederherstellung und Durchführen von Failover-, Failback- und Testfailovervorgängen für die Notfallwiederherstellung
  • Aktivieren, Deaktivieren und Konfigurieren von Workload Balancing (WLB)
  • Hinzufügen und Entfernen des Servers aus dem Pool
  • Notfall-Übergang zum Master
  • Hauptadresse für Notfälle
  • Mitglieder des Notfallwiederherstellungspools
  • Neuen Master benennen
  • Verwalten von Pool- und Serverzertifikaten
  • Flickerei
  • Festlegen von Servereigenschaften
  • Konfigurieren der Serverprotokollierung
  • Aktivieren und Deaktivieren von Servern
  • Herunterfahren, Neustarten und Einschalten von Servern
  • Toolstack neu starten
  • Berichte zum Systemstatus
  • Lizenz anwenden
  • Livemigration aller anderen VMs auf einem Server auf einen anderen Server aufgrund des Wartungsmodus oder der Hochverfügbarkeit
  • Konfigurieren der Serververwaltungsschnittstelle und der sekundären Schnittstellen
  • Deaktivieren der Serververwaltung
  • Löschen von Crashdumps
  • Hinzufügen, Bearbeiten und Entfernen von Netzwerken
  • Hinzufügen, Bearbeiten und Entfernen von PBDs/PIFs/VLANs/Bonds/SRs
  • Hinzufügen, Entfernen und Abrufen von Geheimnissen

Diese Berechtigung umfasst alle Aktionen, die zum Verwalten eines Pools erforderlich sind.

Hinweis: Wenn die Verwaltungsschnittstelle nicht funktioniert, können sich keine Anmeldungen authentifizieren, außer lokalen Root-Anmeldungen.

Live-Migration:

  • Migrieren von VMs von einem Host zu einem anderen Host, wenn sich die VMs auf einem Speicher befinden, der von beiden Hosts gemeinsam genutzt wird

Live-Migration des Speichers:

  • Migrieren von einem Host zu einem anderen Host, wenn sich die VMs nicht auf einem Speicher befinden, der von den beiden Hosts gemeinsam genutzt wird
  • Verschieben von virtuellen Festplatten (VDIs) von einer SR auf eine andere SR

Erweiterte VM-Vorgänge:

  • Anpassen des VM-Arbeitsspeichers (über Dynamic Memory Control)
  • Erstellen eines VM-Snapshots mit Arbeitsspeicher, Erstellen von VM-Snapshots und Zurücksetzen von VMs
  • Migrieren von VMs
  • Starten von VMs, einschließlich Angeben eines physischen Servers
  • Fortsetzen von VMs

Diese Berechtigung gibt dem Beauftragten genügend Berechtigungen, um eine VM auf einem anderen Server zu starten, wenn er mit dem ausgewählten Server Citrix Hypervisor nicht zufrieden ist.

Vorgänge zum Erstellen/Zerstören von VMs:

  • Installieren oder löschen
  • Klonen/Kopieren von VMs
  • Hinzufügen, Entfernen und Konfigurieren von virtuellen Festplatten/CD-Geräten
  • Hinzufügen, Entfernen und Konfigurieren von virtuellen Netzwerkgeräten
  • Importieren/Exportieren von XVA-Dateien
  • Änderung der VM-Konfiguration
  • Server-Sicherung/-Wiederherstellung

VM CD-Medium wechseln:

  • Aktuelle CD auswerfen
  • Neue CD einlegen

Importieren/Exportieren von OVF/OVA-Paketen; Importieren von Disk-Images

Ändern des Energiestatus der VM:

  • Starten von VMs (automatische Platzierung)
  • Herunterfahren von VMs
  • VMs neu starten
  • Anhalten von VMs
  • Fortsetzen von VMs (automatische Platzierung)

Diese Berechtigung gilt nicht für start_on, resume_on und Migrieren, die Teil der Berechtigung für erweiterte VM-Vorgänge sind.

VM-Konsolen anzeigen:

  • Anzeigen und Interagieren mit VM-Konsolen

Mit dieser Berechtigung kann der Benutzer Serverkonsolen nicht anzeigen.

vApps (Hinzufügen/Ändern/Löschen von vApps):

  • Erstellen einer vApp
  • Löschen einer vApp
  • Ändern der Eigenschaften einer vApp

vApps (Starten/Herunterfahren von vApps):

  • Starten einer vApp
  • Herunterfahren einer vApp

vApps (Hinzufügen/Entfernen von VMs zu einer vorhandenen vApp):

  • Fügen Sie einer vApp eine VM hinzu.
  • Entfernen einer VM aus einer vApp

vApps (vApps anzeigen):

  • Anzeigen von vApps im Pool

Vorgänge zur Verwaltung der XenCenter-Ansicht:

  • Erstellen und Ändern von globalen XenCenter-Ordnern
  • Erstellen und Ändern von globalen benutzerdefinierten XenCenter-Feldern
  • Erstellen und Ändern globaler XenCenter-Suchen

Ordner, benutzerdefinierte Felder und Suchvorgänge werden von allen Benutzern gemeinsam genutzt, die auf den Pool zugreifen

Eigene Aufgaben abbrechen:

  • Ermöglicht es einem Benutzer, seine eigenen Aufgaben abzubrechen

Audit-Protokoll lesen:

  • Laden Sie das Citrix Hypervisor-Überwachungsprotokoll herunter

Verbinden Sie sich mit dem Pool, und lesen Sie alle Poolmetadaten:

  • Melden Sie sich im Pool an
  • Anzeigen von Pool-Metadaten
  • Anzeigen historischer Leistungsdaten
  • Angemeldete Benutzer anzeigen
  • Anzeigen von Benutzern und Rollen
  • Anzeigen von Nachrichten
  • Sich für Veranstaltungen anmelden und erhalten

Konfigurieren der virtuellen GPU:

  • Angeben einer poolweiten Platzierungsrichtlinie
  • Zuweisen einer virtuellen GPU zu einer VM
  • Entfernen einer virtuellen GPU von einer VM
  • Ändern zulässiger virtueller GPU-Typen
  • Erstellen, Löschen oder Zuweisen einer GPU-Gruppe

Virtuelle GPU-Konfiguration anzeigen:

  • Anzeigen von GPUs, GPU-Platzierungsrichtlinien und virtuellen GPU-Zuweisungen

Greifen Sie auf das Konfigurationslaufwerk zu (nur CoreOS-VMs):

  • Zugreifen auf den Konfigurationstreiber der VM

Geplante Snapshots:

  • Hinzufügen von VMs zu vorhandenen Snapshot-Zeitplänen
  • Entfernen von VMs aus vorhandenen Snapshot-Zeitplänen
  • Hinzufügen von Snapshot-Zeitplänen
  • Ändern von Snapshot-Zeitplänen
  • Löschen von Snapshot-Zeitplänen

Sammeln Sie Diagnoseinformationen von Citrix Hypervisor:

  • Initiieren der GC-Sammlung und Heap-Komprimierung
  • Sammeln von Garbage Collection-Statistiken
  • Sammeln von Datenbankstatistiken
  • Sammeln von Netzwerkstatistiken

Konfigurieren der Nachverfolgung geänderter Blöcke:

  • Nachverfolgung geänderter Blöcke aktivieren
  • Deaktivieren der Verfolgung geänderter Blöcke
  • Zerstören Sie die mit einem Snapshot verknüpften Daten, und behalten Sie die Metadaten bei
  • Abrufen der NBD-Verbindungsinformationen für eine VDI

Die Nachverfolgung geänderter Blöcke kann nur für lizenzierte Instanzen von Citrix Hypervisor Premium Edition aktiviert werden.

Geänderte Blöcke auflisten:

  • Vergleichen Sie zwei VDI-Snapshots und listen Sie die Blöcke auf, die sich zwischen ihnen geändert haben

Konfigurieren von PVS-Accelerator:

  • PVS-Beschleuniger aktivieren
  • PVS-Accelerator deaktivieren
  • Cache-Konfiguration aktualisieren (PVS-Accelerator)
  • Hinzufügen/Entfernen (PVS-Accelerator) Cache-Konfiguration

PVS-Accelerator-Konfiguration anzeigen:

  • Den Status von PVS-Accelerator anzeigen

Hinweis:

Manchmal kann ein schreibgeschützter Benutzer eine Ressource nicht in einen Ordner in XenCenter verschieben, selbst nachdem er eine Eingabeaufforderung für erhöhte Rechte erhalten und die Anmeldeinformationen eines privilegierteren Benutzers angegeben hat. Melden Sie sich in diesem Fall bei XenCenter als privilegierterer Benutzer an und wiederholen Sie die Aktion.

Wie berechnet Citrix Hypervisor die Rollen für die Sitzung?

  1. Der Betreff wird über den Active Directory-Server authentifiziert, um zu überprüfen, zu welchen Gruppen er auch gehören kann.

  2. Citrix Hypervisor überprüft dann, welche Rollen sowohl dem Betreff als auch den darin enthaltenen Gruppen zugewiesen wurden.

  3. Da Betreffzeilen Mitglieder mehrerer Active Directory-Gruppen sein können, erben sie alle Berechtigungen der zugeordneten Rollen.

Da in dieser Abbildung Subjekt 2 (Gruppe 2) der Pooloperator und Benutzer 1 ein Mitglied von Gruppe 2 ist, erbt Subjekt 3 (Benutzer 1) beim Versuch, sich anzumelden, sowohl die Rollen von Subjekt 3 (VM-Operator) als auch von Gruppe 2 (Pooloperator). Da die Rolle "Pooloperator" höher ist, lautet die resultierende Rolle für Subjekt 3 (Benutzer 1) "Pooloperator" und nicht "VM-Operator".

RBAC-Rollen und -Berechtigungen
January 31, 2025
Beitrag von: 
X
January 31, 2025
Beitrag von: 
X

In diesem Artikel

Feedback zur Site | Your privacy choices footer linkIhre Datenschutzauswahl | Datenschutz und rechtliche Bestimmungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.