Správa rolí a oprávnění v nástroji VMM
System Center Virtual Machine Manager (VMM) umožňuje spravovat role a oprávnění. Nástroj VMM poskytuje:
- Zabezpečení na základě rolí: Role určují, co můžou uživatelé dělat v prostředí VMM. Role se skládají z profilu, který definuje sadu dostupných operací pro roli, obor, který definuje sadu objektů, na kterých může role pracovat, a seznam členství definující uživatelské účty a skupiny zabezpečení služby Active Directory, které jsou přiřazeny k roli.
- Účty Spustit jako: Účty Spustit jako fungují jako kontejnery pro uložené přihlašovací údaje, které používáte ke spouštění úloh a procesů nástroje VMM.
Zabezpečení na základě rolí
Následující tabulka shrnuje role uživatelů VMM.
| Role uživatele VMM | Oprávnění | Podrobnosti |
|---|---|---|
| Role správce | Členové této role mohou provádět všechny akce správy pro všechny objekty, které spravuje nástroj VMM. | K povolení aktualizací prostředků infrastruktury VMM prostřednictvím nástroje VMM můžou přidat pouze správci server WSUS. |
| Správce virtuálního počítače | Správci můžou vytvořit roli (platí pro VMM 2019 a novější). | Delegovaný správce může vytvořit roli správce virtuálního počítače, která zahrnuje celý obor nebo podmnožinu jejich oboru, serverů knihoven a účtů Spustit jako. |
| Správce prostředků infrastruktury (delegovaný správce) | Členové této role mohou provádět všechny úlohy správy v rámci přiřazených skupin hostitelů, cloudů a serverů knihoven. | Delegovaní správci nemůžou měnit nastavení nástroje VMM, přidávat nebo odebírat členy role uživatele Administrators nebo přidávat servery WSUS. |
| Správce jen pro čtení | Členové této role mohou zobrazit vlastnosti, stav a stav úlohy objektů v rámci přiřazených skupin hostitelů, cloudů a serverů knihoven, ale nemůžou měnit objekty. | Správce jen pro čtení může zobrazit účty Spustit jako, které správci nebo delegovaní správci určili pro tuto roli uživatele správce jen pro čtení. |
| Správce klienta | Členové této role mohou spravovat samoobslužné uživatele a sítě virtuálních počítačů. | Správci tenantů můžou vytvářet, nasazovat a spravovat vlastní virtuální počítače a služby pomocí konzoly VMM nebo webového portálu. Správci tenantů také můžou určit, které úlohy můžou uživatelé samoobslužných služeb provádět na svých virtuálních počítačích a službách. Správci tenantů můžou umístit kvóty na výpočetní prostředky a virtuální počítače. |
| Správce klienta | Členové této role mohou spravovat samoobslužné uživatele a sítě virtuálních počítačů. | Správci tenantů můžou vytvářet, nasazovat a spravovat vlastní virtuální počítače a služby pomocí konzoly VMM nebo webového portálu. Správci tenantů také můžou určit, které úlohy můžou uživatelé samoobslužných služeb provádět na svých virtuálních počítačích a službách. Správci tenantů můžou umístit kvóty na výpočetní prostředky a virtuální počítače. |
| Správce aplikací (samoobslužný uživatel) | Členové této role mohou vytvářet, nasazovat a spravovat vlastní virtuální počítače a služby. | Můžou spravovat nástroj VMM pomocí konzoly VMM. |
| Role uživatele VMM | Oprávnění | Podrobnosti |
|---|---|---|
| Role správce | Členové této role mohou provádět všechny akce správy pro všechny objekty, které spravuje nástroj VMM. | K povolení aktualizací prostředků infrastruktury VMM prostřednictvím nástroje VMM můžou přidat pouze správci server WSUS. |
| Správce virtuálního počítače | Správci můžou tuto roli vytvořit. | Delegovaný správce může vytvořit roli správce virtuálního počítače, která zahrnuje celý obor nebo podmnožinu jejich oboru, serverů knihoven a účtů Spustit jako. |
| Správce prostředků infrastruktury (delegovaný správce) | Členové této role mohou provádět všechny úlohy správy v rámci přiřazených skupin hostitelů, cloudů a serverů knihoven. | Delegovaní správci nemůžou měnit nastavení nástroje VMM, přidávat nebo odebírat členy role uživatele Administrators nebo přidávat servery WSUS. |
| Správce jen pro čtení | Členové této role mohou zobrazit vlastnosti, stav a stav úlohy objektů v rámci přiřazených skupin hostitelů, cloudů a serverů knihoven, ale nemůžou měnit objekty. | Správce jen pro čtení může zobrazit účty Spustit jako, které správci nebo delegovaní správci určili pro tuto roli uživatele správce jen pro čtení. |
| Správce klienta | Členové této role mohou spravovat samoobslužné uživatele a sítě virtuálních počítačů. | Správci tenantů můžou vytvářet, nasazovat a spravovat vlastní virtuální počítače a služby pomocí konzoly VMM nebo webového portálu. Správci tenantů také můžou určit, které úlohy můžou uživatelé samoobslužných služeb provádět na svých virtuálních počítačích a službách. Správci tenantů můžou umístit kvóty na výpočetní prostředky a virtuální počítače. |
| Správce aplikací (samoobslužný uživatel) | Členové této role mohou vytvářet, nasazovat a spravovat vlastní virtuální počítače a služby. | Můžou spravovat nástroj VMM pomocí konzoly VMM. |
Účty Spustit jako
Existují různé typy účtů Spustit jako:
- Účty hostitelských počítačů se používají k interakci se servery virtualizace.
- Účty řadiče pro správu základní desky se používají ke komunikaci s řadičem pro správu základní desky na hostitelích pro vzdálenou správu nebo optimalizaci výkonu.
- Externí účty se používají ke komunikaci s externími aplikacemi, jako je Operations Manager.
- Účty síťových zařízení slouží k připojení k nástrojům pro vyrovnávání zatížení sítě.
- Účty profilů se používají v profilech Spustit jako při nasazování služby VMM nebo vytváření profilů.
Poznámka:
- Nástroj VMM používá rozhraní API pro ochranu dat windows (DPAPI) k poskytování služeb ochrany dat na úrovni operačního systému během ukládání a načítání přihlašovacích údajů účtu Spustit jako. DPAPI je služba ochrany dat založená na heslech, která používá kryptografické rutiny (silný algoritmus Triple-DES se silnými klíči) k posunu rizika způsobeného ochranou dat založenými na heslech. Další informace.
- Při instalaci nástroje VMM můžete nástroj VMM nakonfigurovat tak, aby používal správu distribuovaných klíčů k ukládání šifrovacích klíčů ve službě Active Directory.
- Účty Spustit jako můžete nastavit před zahájením správy nástroje VMM nebo můžete nastavit účty Spustit jako, pokud je potřebujete pro konkrétní akce.
Další kroky
- Nastavte role uživatelů.
- Nastavte účet spustit jako.