SCVMM – Roles – Funções

Uma Role de usuário é composta das seguintes partes:

  • Um PERFIL define um conjunto de operaçòes disponíveis que um membro da operação pode executar.
  • O escopo define o conjunto de objetos que as operaçòes podem ser executadas nos objetos.
  • A MembersShip especifica contas de usuários e grupos de seguraça que são atribuidos à função.

Existem 3 regras  na delegação com regras de usuários.

No VMM 2008, administradores controlam o acesso ao host através de regras de usuário. Existem 3 regras de usuários no VMM 2008: Administrator, Delegated Admnistrator e Self-Service.

A regra Administrator concede aos usuários direitos administrativos a todo o ambiente.

  • Capaz de executar todas as ações no VMM Administrator console. Membros dessa regra conseguem criar novas permissões de Delegated Administrator and self-service user roles. Somente membros da regra de Administrators conseguem adicionar membros as regras.

Observação: A regra de usuários Administrators é criada quando você instala o VMM. Por padrão, o usuário que efetuar a instalação do VMM é adicionado à regra Administrators e todos as contas que estiverem no grupo de segurança “Local Administrators”.

Características da Role Administrator

Configurações Descrição
Perfil Todas as operações no VMM
Escopo Todos os objetos gerenciados pelo Servidor VMM
Acesso do cliente VMM Administrator Console: SIM
Windows PowerShell -VMM Command Shell: SIM
VMM Self-Service Portal: Não

A regra Delegated Administrator concede aos usuários permissão administrativa com base em um escopo

  • Capaz de executar a maioria das ações no VMM Administrator console, mas apenas o que é definido no escopo da regra. Membros desta regra podem adicionar novos usuários nas regras “Delegated Administrator” e “Self-Service”, mas não conseguem modificar as configurações do VMM.

A função de Delegated Administrator atribui direitos de adminsitrador em um escopo amplo de grupo de hosts e biblioteca de servidores designados para a função. A eficiência que você delega a administração do VMM depende de um planejamento cuidadoso dos grupos de host e servidores de biblioteca dentro do seu ambiênte virtualizado.

Características da Role Delegated Administrator

    Configurações Descrição
Perfil O perfil “Delegated Administrator” permite as seguintes operações em objetos dentro do escopo da função do usuário. Estas operações não pode ser alteradas.

  • Visualizar, criar e gerenciar grupos de host,  hosts e redes virtuais no escopo do papel do usuário.
  • Criar, ver, modificar e migrar as máquinas virtuais no âmbito de escopo do papel do usuário.
  • Adicionar servidores na biblioteca.
  • Gerenciar os recursos de máquina virtual em todas as partes da biblioteca especificada nos library servers no âmbito de escopo do papel do usuário
  • Criar função de usuário
  • Adicionar servidores de biblioteca VMM
  • Gerenciar os recursos de máquina virtual em todas as partes da biblioteca especificada nos servidores da biblioteca no escopo do papel do usuário
  • Criar funções de usuário no escopo da função de usuário
  • Exibir, modificar ou remover funções de usuário que eles criaram
  • Realizar todas as operações de administrador no escopo do seu papel de usuário, exceto para as seguintes operações:
    • Não é possivel exibir, modificar ou remover funções de usuário criado por membros da função de usuário Administrador ou por outros membros de uma função de usuário Delegated Administrator.
    • Não é possivel midificar as configuraões globais do VMM ou configurações system center no VMM.
Escopo
  • N Grupos de Host –  Administrators tem permissão em todos os objetos dentro do grupo de host, hosts e redes virtuais contidos nos grupos de host atribuidos. Isso inlui disco rígidos virtuais, adaptadores de rede virtual, adaptadores SCSI, e assim por diante configurado em máquinas virtuais sobre os anfitriões.
  • N Library Servers – Virtual hard disk, Virtual Floppy, arquivos de imagem ISO, Windows PowerShell Scripts, arquivos de resposta SysPrep e Vmware templates armazenados na biblioteca de todas as ações dos servidores da biblioteca
Acesso do cliente VMM Administrator Console: SIM
Windows PowerShell – VMM Shell command: SIM
VMM Self-Service Portal: Não

A regra Self-Service determina quais ações os usuários podem tomar em suas próprias máquinas virtuais usando uma interface web: O Virtual Machine Manager Self-Service Portal. A regra de usuário self-service pode ser atribuida uma quota para limitar o nímero de máquinas virtuais que o usuário pode criar.

  • Capaz de executar o VMM  Self-Service Portal para executar tarefas nas suas máquinas virtuais que são definidas nas regras de usuário. Membros desta regra não conseguem criar novas regras para usuários.
  • O VMM usa permissões nos perfis de Self-Service do usuário, em vez de os controles de acesso baseado em função que estão configurados no Hyper-V para autorizar as operações em máquinas virtuais.

Características da Role Self-Service 

Configuração Descrição
Perfil Uma função de Self-Service pode conceder permissão para executar um ou todas das seguintes operações nas máquina virtuais que são proprietários:

  • Criar
  • Iniciar
  • Parar
  • Pausa e Resumo
  • Checkpoint – Criar e remover. Restaurar uma máquina virtual a um checkpoint anterior
  • Remover
  • Local Administrator – Definir a senha do administrador local, criando uma máquina virtual, que permite que o usuário seja um  dministrador na máquina virtual. Se você não permitir que esta operação, o VMM utilizará as credenciais do arquivo de resposta do SysPrep em vez de solicitar-los durante a criação da máquina virtual.
  • Conexão remota
  • Armazenar na biblioteca – Permite ao usuário armazenar as máquinas virtuais utilizadas na biblioteca VMM. As máquinas virtuais que estão armazenadas na biblioteca não contam contra a quota de máquina virtual.
Escopo
  • N Host Groups –  Utilizadores de self-service implantam máquinas virtuais automaticamente no  host mais adequado nos grupos de host, atribuido com base nos requisitos da  máquina virtual e as preferências da organização na configuração do  Placement. Isso é transparente para o usuário que não sabe onde a máquina virtual é implantada.
  • Um caminho para a bilbioteca – O caminho da biblioteca atribuido a uma função de self-service do usuário tem as seguinte finalidades:
    • Faz a imagem ISO disponível para os membros da função durante a criação da máquina virtual
    • Para o armazenamento da máquina virtual membros da função tem que ter a permissão para escolher em qual biblioteca armazenar.
    • Utilizadores do Self-service tem acesso de leitura nos discos virtuais e arquivos de imagem ISO usado durante a criação de máquinas virtuais, mas eles não são informados sobre a localização dos arquivos.
Acesso do cliente VMM Administrator console: Não
Windows Power Shell – VMM shell de comando: Sim (no âmbito da função de usuário self-service)
VMM Portal de Auto-Atendimento: Sim
Observação: para acessar o VMM Self-Service Portal, um administrador deve ser adicionado a uma função de usuário self-service.

Quando se tem um servidor de Hyper-V todas as permissões relacionadas a usuários, estão em no arquivo initialstore.xml localizado em
C:\programdata\microsoft\windows\Hyper-V. Quando se adiciona este host para ser gerenciado pelo VMM todas as configurações de permissão do Hyper-v que estão neste arquivo é direcionada para as regras que estão configuradas no VMM. Portanto após a adição do host a um SCVMM as permissões que passam a ser válidas são as que estão configuradas no VMM.

Arquivo initialstore.xml do VMM: c:\ProgramData\Microsoft\Virtual Machine Manager

Arquivo initialstore.xml no regedit:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization\StoreLocation

StoreLocation:
msxml://C:\ProgramData\Microsoft\Virtual Machine Manager\HyperVAuthStore.xml

VmmPreviousStoreLocation:
msxml://C:\ProgramData\Microsoft\Windows\Hyper-V\InitialStore.xml

  • Dentro desta chave de registro existe um registro chamado VmmPreviousApplication(Que informa qual aplicativo controlava as      permissões de acesso ao recurso, Hyper-v), VmmPreviousStoreLocation (informa qual era a localização do arquivo antes de ser gerenciado por outro aplicativo, que no caso é o VMM), StoreLocation informa onde está localizado o HyperVauthStore.xml

Uma da coisas interessantes que vi no XML é que, no arquivo mostra o SID do usuário que está na regra do VMM, regras Administrator,  Delegated Administrator, Self-Service.

Quota: Para limitar o volume de máquinas virtuais que os membros de uma função de usuário self-service pode implantar em qualquer momento, você pode configurar uma quota para uma função de usuário self-service.

Anúncios

Publicado em maio 22, 2011, em VMM 2008. Adicione o link aos favoritos. Deixe um comentário.

Deixe seu Comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: