Hyper-V Security Konfiguration mit AZMAN

  • Article

Für den Blog Artikel “Hyper-V Security Konfiguration mit AZMAN” konnte ich den sehr erfahrenen Kollegen Jörg Ostermann aus dem Microsoft Services Bereich gewinnen. Jörg arbeitete bereits in sehr vielen Virtualisierungsprojekten und möchte zukünftig auf diesem Blog ein wenig unterstützen.

Artikel von Jörg Ostermann:

Nachdem ich immer mal wieder Anfragen zum Thema Hyper-V und lokale Konfiguration von Sicherheitseinstellungen per AZMAN (Authorization Manager) bekommen habe, habe ich mich entschlossen dazu einen Beitrag zu schreiben. Mittels AZMAN können lokale Berechtigungen auf einem Hyper-V System konfiguriert werden, was über die grafische Oberfläche des Hyper-V Managers nicht möglich ist. So ist es zum Beispiel möglich, Benutzern den Zugriff auf die virtuelle Maschine mittels VMConnect zu gestatten, ohne dass sie die Möglichkeit haben, die Einstellungen der VM aufzurufen.

Anhand eines Beispiels werde ich durch die notwendigen Konfigurationsschritte gehen, die benötigt werden, um einem Benutzer eingeschränkte Zugriffsrechte auf einen Hyper-V Server zu ermöglichen. Unserem Demobenutzer werden wir dabei die folgenden Rechte zuweisen:

  • Starten und stoppen der VMs
  • Pause und Neustart

Um dies zu ermöglichen benötigt er neben den „selbsterklärenden“ Berechtigungen noch einige ergänzende. Dazu aber an späterer Stelle mehr.

Für die Konfiguration habe ich einen lokalen Benutzer mit dem Namen “Contoso_User” gewählt. Natürlich können hier aber auch Domänenbenutzer und –Gruppen verwendet werden.

Als erste öffnen wir die Verwaltungskonsole für AZMAN über die Suchleiste oder den Punkt Ausführen im Startmenü. Dazu einfach AZMAN.MSC eingeben und bestätigen. Alternativ kann das Snap-In über die Managementkonsole (MMC) geladen werden.

Anschließend muss die InitialStore.xml geladen werden. Dies ist die lokale Konfigurationsdatei für die Sicherheitseinstellungen unter Hyper-V und ist unter folgendem Pfad zu finden: <C:\ProgramData\Microsoft\Windows\Hyper-V\InitialStore.xml>

Achtung: Beim Einsatz von SCVMM wird eine weitere XML Konfigurationsdatei auf dem Server abgelegt. Die Datei HyperVAuthStore.xml, welche dann unter dem Pfad <C:\ProgramData\Microsoft\Virtual Machine Manager\HyperVAuthStore.xml> zu finden ist. Auch nach einer Deinstallation des SCVMM Agenten, ist diese Datei weiter vorhanden. Weitere Informationen sind hier zu finden.

Ist diese Datei vorhanden, ignoriert Hyper-V die Einstellungen in der InitialStore.xml!

clip_image002

clip_image003

Nachdem die InitialStore.xml geladen wurde, beginnen wir die entsprechenden Einstellungen vorzunehmen. Als erstes wird eine neue Aufgabendefinition angelegt, um eine Sammlung von einzelnen Berechtigungen zu definieren.

clip_image005

Als Namen habe ich hier VM Basis Zugriff gewählt.

clip_image006

Die Eingabe bestätigen und anschließend die Eigenschaften der Definition aufrufen.

clip_image008

Über den Punkt “Hinzufügen” unter der dem Karteireiter “Definition” wählen wir dann die entsprechenden Berechtigungen aus, die für diese Aufgabendefinition hinterlegt werden sollen.

clip_image009

Für unser Beispiel wählen wir aus der Liste die folgenden Berechtigungen aus:

  • Allow Input to Virtual Machine
  • Allow Output from Virtual Machine
  • Pause and Restart Virtual Machine
  • Read Service Configuration
  • Start Virtual Machine
  • Stop Virtual Machine

Die Berechtigungen “Allow Input to Virtual Machine” und “Allow Output from Virtual Machine” werden für die Interaktion mit der VM benötigt, das Recht “Read Service Configuration” für das Einlesen der VMs.

Anschließend die Fenster mit OK schließen.

clip_image010

Nachdem wir nun die möglichen Aufgaben definiert haben, müssen wir eine Rollendefinition anlegen.

clip_image012

Als Namen für die Gruppe habe ich “Contoso User” gewählt. Um nun die zuvor angelegte Aufgabedefinition zuzuweisen, einfach auf “Hinzufügen“ klicken …

clip_image013

Unter dem Karteireiter “Aufgaben“ die Aufgabendefinition auswählen und bestätigen.

clip_image014

Die noch offenen Fenster der Rollendefinition mit OK schließen.

clip_image015

Zu guter Letzt müssen wir in AZMAN die Gruppen oder Benutzer hinterlegen, die auf dem lokalen Hyper-V Server berechtigt werden sollen. Dazu müssen wir eine neue Rollenzuweisung anlegen, welche unserer Rollendefinition mit einer Gruppe oder an unserer Stelle einem Benutzer verbindet.

Dazu einfach mit der rechten Maustaste auf “Rollenzuweisung“ klicken und den Punkt “Rollen zuweisen… “ auswählen. Danach die entsprechende Rollendefinition auswählen und bestätigen.

clip_image017

clip_image018

Dann in den Eigenschaften die entsprechende Gruppe aus dem AD oder lokalen Computer hinzufügen, welche die Benutzerkonten für den Zugriff enthält.

clip_image020

clip_image021

clip_image023

Das war es ……

Nachfolgend noch ein paar allgemeine Links zu dem Thema und verwandten Themen:

AZMAN Dokumentation:
Konfigurieren von Hyper-V für rollenbasierte Zugriffssteuerung - https://technet.microsoft.com/de-de/library/dd283076(WS.10).aspx (Englisch: https://technet.microsoft.com/en-us/library/dd283076(WS.10).aspx )

Hyper-V Administration mit WMI
Hyper-V WMI Provider - https://msdn.microsoft.com/en-us/library/cc136992(VS.85).aspx

Script AzMan Scopes in Hyper-V? (Scriptcenter Forum) - https://social.technet.microsoft.com/Forums/en-US/ITCG/thread/3d0888e2-7538-4578-b16c-97b73c8e0f96/

Viel Spaß

Jörg Ostermann (Infrastruktur Consultant – Virtualisierung)

VM sticker green