Delegando el control en Hyper-V (parte 1)
Una de las características mas buscadas por los administradores es la delegación de control de ciertas actividades, desde la salida de Active Directory la delegación de control se ha convertido en una de las estrellas en el control descentralizado de las operaciones.
AzMan es la solución de seguridad que se decidió utilizar para controlar las operaciones de Hyper-V. con AzMan se pueden definir "roles" (enlazando usuarios y operaciones/tareas).
El store de AzMan que contiene las políticas usadas por Hyper-V (para asegurar VMMs, VMs, y operaciones de red) de manera predeterminada se instala en %programdata%\Microsoft\Windows\Hyper-V\InitialStore.xml.
Para administrar las políticas de AzMan es necesario utilizar la herramienta azman.msc y abrir el store de politicas. En AzMan seleccionar "Action", "Open Authorization Store", luego seleccionar "XML file" y en Store se debe indicar la ubicación del mismo. En este caso se debe indicar el path indicado anteriormente, con eso sera posible editar las políticas de Hyper-V.
Abrir el nodo "Hyper-V Services" bajo InitialStore.xml, se verán tres nodos: "Groups", "Definitions" y "Role Assignments". Expandir los nodos Definitions y Role Assignments.
De manera predeterminada se vera lo siguiente: En Definitions habrá dos nodos "Role Definitions y "Tasks Definitions", Bajo "Role Definitions" habrá una entrada llamada Administrator y otra User. "Task Definitions" estara vacia y bajo "Role Assignment" nuevamente aparecerá Administrator y User.
Un Role se divide en dos partes Role definition y Role assignment
- Role Definition contiene una lista de operaciones que un usuario en ese rol puede hacer.
- Role Assignment Contiene la lista de usuarios asignada a ese rol.
Un Role Assignment esta siempre enlazado a un Role Definition, de esa manera todos los usuarios asignados a un Role Assignment van a tener permisos para realizar las operaciones asignadas al Role Definition. Es posible crear un nuevo Role Definition seleccionando el nodo Role Definitions, botón derecho y seleccionando New Role Definition..." en el menú contextual. Es posible crear nuevos Role Assignment seleccionando el nodo "Role Assignments", botón derecho y seleccionar "New Role Assignment...".
En Hyper-V se encuentran definidas las siguientes operaciones:
// Service
Read Service Configuration
Reconfigure Service
// Networking
Create Virtual Switch
Delete Virtual Switch
Create Virtual Switch Port
Delete Virtual Switch Port
Connect Virtual Switch Port
Disconnect Virtual Switch Port
Create Internal Ethernet Port
Delete Internal Ethernet Port
Bind External Ethernet Port
Unbind External Ethernet Port
Change VLAN Configuration on Port
Modify Switch Settings
Modify Switch Port Settings
View Switches
View Switch Ports
View External Ethernet Ports
View Internal Ethernet Ports
View VLAN Settings
View LAN Endpoints
View Virtual Switch Management Service
Modify Internal Ethernet Port
// VM
Create Virtual Machine
DeleteVirtual Machine
Change Virtual Machine Authorization Scope
Start Virtual Machine
Stop Virtual Machine
Pause and Restart Virtual Machine
Reconfigure Virtual Machine
View Virtual Machine Configuration
Allow Input to Virtual Machine
Allow Output from Virtual Machine
* Es posible ver y editar que operaciones son permitidas a un determinado rol seleccionando el Role Definition y viendo sus propiedades. Por ejemplo, es posible elegir el role definition "Administrator" (esto se ve en el panel derecho de la mmc cuando Role Definitions es seleccionado en el panel izquierdo, es posible ver que operaciones están permitidas a el haciendo doble click en "User" y observando el tab "Definition". Es en el tab Definition que se opeuden agregar o quitar operaciones. Para poder agregar una operación a un rol, click en el boton "Add..." en el tab "Definition". En la caja de dialogo "Add Definition" que es mostrada ir al tab "Operations", seleccionar la operación que se busca agregar y seleccionar "Ok". Remover una operación es bastante simple, se la selecciona en al aleta "Definition" usando el botón "Remove".
Para darle permisos a un usuario solo es necesario agregar el usuario a uno de los roles en Role Assignments. Todas las operaciones permitidas a ese rol van a ser permitidas a ese usuario.
Hyper-V debería aceptar los cambios hechos en AzMan de manera dinámica, no es necesario parar y arrancar ningún servicio para que los cambios surtan efecto.
Nota 1: Nunca se deberia agregar el grupo BUILTIN\Users a ningún rol.
Nota 2: Los permisos se suman, si un grupo o usuario pertenece a mas de un rol, el conjunto resultante de operaciones permitidas son la UNION de las operaciones permitidas por cada rol.
Comments
Anonymous
January 01, 2003
Fantastico articulo de Ponicke sobre como delegar permisos en Hyper-V. He quedado asombrado por el nivelAnonymous
January 01, 2003
Fantastico articulo de Ponicke sobre como delegar permisos en Hyper-V. He quedado asombrado por el nivel