Freigeben über


Delegando el control en Hyper-V (parte 1)

Una de las características mas buscadas por los administradores es la delegación de control de ciertas actividades, desde la salida de Active Directory la delegación de control se ha convertido en una de las estrellas en el control descentralizado de las operaciones.

AzMan es la solución de seguridad que se decidió utilizar para controlar las operaciones de Hyper-V. con AzMan se pueden definir "roles" (enlazando usuarios y operaciones/tareas).

El store de AzMan que contiene las políticas usadas por Hyper-V (para asegurar VMMs, VMs, y operaciones de red) de manera predeterminada se instala en %programdata%\Microsoft\Windows\Hyper-V\InitialStore.xml.

Para administrar las políticas de AzMan es necesario utilizar la herramienta  azman.msc y abrir el store de politicas. En AzMan seleccionar "Action", "Open Authorization Store", luego seleccionar "XML file"  y en Store se debe indicar la ubicación del mismo. En este caso se debe indicar el path indicado anteriormente, con eso sera posible editar las políticas de Hyper-V.

Azman-00001

Abrir el nodo "Hyper-V Services"   bajo InitialStore.xml, se verán tres nodos: "Groups", "Definitions" y "Role Assignments". Expandir los nodos Definitions y  Role Assignments.

Azman-00002

De manera predeterminada se vera lo siguiente: En Definitions habrá dos nodos "Role Definitions y "Tasks Definitions", Bajo "Role Definitions" habrá una entrada llamada Administrator y otra User. "Task Definitions" estara vacia y bajo "Role Assignment" nuevamente aparecerá Administrator y User.

Un Role se divide en dos partes Role definition y Role assignment

  • Role Definition contiene una lista de operaciones que un usuario en ese rol puede hacer.
  • Role Assignment Contiene la lista de usuarios asignada a ese rol.

Un Role Assignment esta siempre enlazado a un Role Definition, de esa manera todos los usuarios asignados a un Role Assignment van a tener permisos para realizar las operaciones asignadas al Role Definition. Es posible crear un nuevo Role Definition seleccionando el nodo Role Definitions, botón derecho y seleccionando New Role Definition..." en el menú contextual. Es posible crear nuevos Role Assignment seleccionando el nodo "Role Assignments", botón derecho y seleccionar "New Role Assignment...". 

En Hyper-V se encuentran definidas las siguientes operaciones:

            // Service
            Read Service Configuration
            Reconfigure Service

            // Networking
            Create Virtual Switch
            Delete Virtual Switch
            Create Virtual Switch Port
            Delete Virtual Switch Port
            Connect Virtual Switch Port
            Disconnect Virtual Switch Port
            Create Internal Ethernet Port
            Delete Internal Ethernet Port
            Bind External Ethernet Port
            Unbind External Ethernet Port
            Change VLAN Configuration on Port
            Modify Switch Settings
            Modify Switch Port Settings
            View Switches
            View Switch Ports
            View External Ethernet Ports
            View Internal Ethernet Ports
            View VLAN Settings
            View LAN Endpoints
            View Virtual Switch Management Service
            Modify Internal Ethernet Port

            // VM
            Create Virtual Machine
            DeleteVirtual Machine
            Change Virtual Machine Authorization Scope
            Start Virtual Machine
            Stop Virtual Machine
            Pause and Restart Virtual Machine
            Reconfigure Virtual Machine
            View Virtual Machine Configuration
            Allow Input to Virtual Machine
            Allow Output from Virtual Machine

* Es posible ver y editar que operaciones son permitidas a un determinado rol seleccionando el Role Definition y viendo sus propiedades. Por ejemplo,  es posible elegir el role definition "Administrator" (esto se ve en el panel derecho de la mmc cuando Role Definitions es seleccionado en el panel izquierdo, es posible ver que operaciones están permitidas a el haciendo doble click en "User" y observando el tab "Definition". Es en el tab Definition que se opeuden agregar o quitar operaciones. Para poder agregar una operación a un rol, click en el boton "Add..." en el tab "Definition".  En la caja de dialogo "Add Definition" que es mostrada ir al tab "Operations", seleccionar la operación que se busca agregar y seleccionar "Ok". Remover una operación es bastante simple, se la selecciona en al aleta "Definition" usando el botón "Remove".

Azman-00003

Para darle permisos a un usuario solo es necesario agregar el usuario a uno de los roles en Role Assignments. Todas las operaciones permitidas a ese rol van a ser permitidas a ese usuario.

Hyper-V debería aceptar los cambios hechos en AzMan de manera dinámica, no es necesario parar y arrancar ningún servicio para que los cambios surtan efecto.

Nota 1: Nunca se deberia agregar el grupo BUILTIN\Users a ningún rol.

Nota 2: Los permisos se suman, si un grupo o usuario pertenece a mas de un rol, el conjunto resultante de operaciones permitidas son la UNION de las operaciones permitidas por cada rol.

Comments

  • Anonymous
    January 01, 2003
    Fantastico articulo de Ponicke sobre como delegar permisos en Hyper-V. He quedado asombrado por el nivel

  • Anonymous
    January 01, 2003
    Fantastico articulo de Ponicke sobre como delegar permisos en Hyper-V. He quedado asombrado por el nivel