Делегирование прав на Hyper-V. Введение


По умолчанию Hyper-V разрешает создание и управление виртуальными машинами только администраторам. Сегодня мы поговорим о том, как делегировать эти права пользователям, не обладающими правами администратора сервера.


Hyper-V используют новую модель авторизации пользователей — Authorization Management Framework, которая позволяет гибко настроить права пользователей на виртуальные машины. Модель очень хорошо продумана и имеет ряд интересных моментов, которые я обязательно как-нибудь затрону. Сейчас же мне придется сообщить некую вводную информацию про эту модель, чтобы затем показать настройки делегирования. Итак, термины:


Операция (Operation)


Основной кирпичик модели авторизации — представляет собой действие, которое пользователь может произвести. Примерами операций модели являются op_Create_VM, позволяющая создать виртуальную машину и op_Start_VM, соответственно, запускающая виртуальную машину.


Задача (Task)


Задача — это группа операций, требуемых для выполнения некоторых действий. По умолчанию мы не создаем никаких заданий, но если бы мы могли создать задачу control_VM, то нам бы потребовалось добавить в эту группу операции по запуску (op_Start_VM), остановке (op_Stop_VM), приостановке (op_Pause_VM) и перезапуску (op_Restart_VM) для выполнения необходимых в задаче действий.


Роль (Role)


Роль определяет должность, круг задач или зону ответственности для пользователя. Например, может потребоваться роль Virtual_Network_Admin. Эта роль будет иметь права на все операции и задачи, связанные с виртуальными сетями. При необходимости эту роль можно будет назначать пользователям.


Область (Scope)


Область позволяет вам указать, какие объекты управляются конкретными ролями. Если у вас есть система, и вы хотели бы быть дать пользователю административный доступ к некому набору виртуальных машин в ней, вам потребуется создать область, содержащую эти конкретные виртуальные машины, а затем применить ваши настройки к данной области.


Область по умолчанию (Default Scope)


Область по умолчанию присваивается виртуальным машинам, для которых явно не задана другая область.


 


Hyper-V может хранить настройки модели авторизации в Active Directory или в локальном файле в формате XML. По умолчанию после установки роли Hyper-V настройки хранятся в файле, который находится по адресу: %programdata%\Microsoft\Windows\Hyper-V\InitialStore.xml. Для того, чтобы изменить настройки, вам потребуется:



  • Запустить приложение MMC. (Для этого выберите пункт Run в Start Menu или нажмите комбинацию клавиш ‘Windows Key + R’, затем выполните mmc.exe).

  • В меню File выбрать Add/Remove Snap-in.

  • Добавить Authorization Manager.

  • В дереве консоли (левой панели ) выбрать Authorization Manager, затем в меню Action выбрать пункт Open Authorization Store.

  • Выбрать XML file в предлагаемом диалоге Select the authorization store type: и открыть файл по указанному выше пути. (Папка programdata является скрытой, так что проще будет скопировать путь целиком).

  • Выберите InitialStore.xml, затем Microsoft Hyper-V services, далее Role Assignments и в конце концов Administrator.

  • В меню Action выберите Assign Users and Groups, затем From Windows and Active Directory, далее выберите пользователя, которому хотите делегировать права на управления Hyper-V. Нажмите OK и закройте окно MMC. (При этом можно сохранить или отменить настройки MMC. Это не повлияет на изменения, внесенные вами в модель авторизации).

На этом ваша задача выполнена. Пользователь может полностью контролировать Hyper-V, не являясь администратором на этом сервере. Делегирование гранулярных прав на конкретные виртуальные машины осуществляется абсолютно таким же образом.

Comments (11)

  1. Anonymous says:

    Мы только что рассмотрели, как делегировать пользователю права на управление Hyper-V. Но этими правами пользователь сможет воспользоваться, только работая на сервере локально. Для того, чтобы управлять гипервизором с другого компьютера, пользователю,

  2. Anonymous says:

    Мы уже обсуждали общие вопросы модели делегирования Authorization Management Framework и Authorization Manager, используемый в Hyper-V. Сейчас пришло время более детально рассмотреть некоторые наиболее насущные вопросы. Большинство заказчиков, которым

  3. Anonymous says:

    В своей вводной статье о модели делегирования прав в Hyper-V я рассказал об основных элементах модели Authorization Management Framework, их взаимосвязях — и о том, как делегировать права пользователю на определенные действия. По умолчанию Authorization

  4. Anonymous says:

    Уже все конечно отпиарили, но не могу удержаться – уж больно хороший блог Алексея Кибкало. Даже у Virtual PC Guy такого контента не встречал, а тут еще и на русском! Сегодня после проведения вебкаста по PowerShell , сразу начну воплощать пару статей в

  5. Anonymous says:

    Итак, как я уже писал вчера – я отправился домой устанавливать свежевышедший бесплатный билд Microsoft

  6. Alex A says:

    Ну с ходу я знаю три способа

    1) PowerShell (или WMI)

    2) Удалённо при помощи MMC с полного сервера или с Windows 7

    3) Скопировать InitialStore.xml с полного сервера, где вы уже настроили.

  7. SergKz says:

    Интересно, как это всё сделать на HyperV server, где НЕТ mmc.exe ?

  8. Pavel says:

    Все настроил, пользователь через rdp запускает диспетчер Hyper-V и при попытке присоединиться к локальному гипервизору видит "У вас нет необходимого разрешения на выполнение этой задачи. Обратитесь к администратору политики авторизации для компьютера"localhost".

  9. Alex A says:

    А пользователь имеет права Hyper-V Administrator? или локальный администратор?

    Если нет, ему нужно не открывать Hyper-V Manager, а соединяться с делегированной машиной при помощи VMConnect.

    P.S. Все написанное в статье в марте 2008 года применялось к серверу 2008. Оно же работало в 2008 R2 и в 2012.

    Увы, в 2012R2 безопасность Hyper-V более не управляется через AzMan.

  10. Antoxa says:

    А каким образом она теперь управляется?

  11. Через создание тенантов и делегированим им полномочий посредством SC VMM.

Skip to main content