Administración de roles y permisos en VMM
System Center Virtual Machine Manager (VMM) permite administrar roles y permisos. VMM proporciona:
- Seguridad basada en roles: los roles especifican lo que los usuarios pueden hacer en el entorno VMM. Los roles constan de un perfil que define un conjunto de operaciones disponibles para el rol, ámbito que define el conjunto de objetos en los que puede funcionar el rol y una lista de pertenencia que define las cuentas de usuario de Active Directory y los grupos de seguridad que se asignan al rol.
- Cuentas de ejecución: las Cuentas de ejecución actúan como contenedores para las credenciales almacenadas que se usan para ejecutar tareas y procesos de VMM.
Seguridad basada en roles
En la tabla siguiente se resumen los roles de usuario de VMM.
| Rol de usuario de VMM | Permisos | Detalles |
|---|---|---|
| Rol Administrador | Los miembros de este rol pueden realizar todas las acciones administrativas en todos los objetos que administra VMM. | Solo los administradores pueden agregar un servidor WSUS a VMM para habilitar las actualizaciones del tejido de VMM a través de VMM. |
| Administrador de máquina virtual | Los administradores pueden crear el rol (aplicable a VMM 2019 y versiones posteriores). | El administrador delegado puede crear un rol de administrador de máquina virtual que incluya todo el ámbito o un subconjunto de su ámbito, servidores de biblioteca y cuentas de ejecución. |
| Administrador de Tejido (administrador delegado) | Los miembros de este rol pueden realizar todas las tareas administrativas dentro de sus grupos host asignados, nubes y servidores de biblioteca. | Los administradores delegados no pueden modificar la configuración de VMM, agregar o quitar miembros del rol de usuario administradores ni agregar servidores WSUS. |
| Administrador de solo lectura | Los miembros de este rol pueden ver las propiedades, el estado y el estado del trabajo de los objetos dentro de sus grupos de host asignados, nubes y servidores de biblioteca, pero no pueden modificar los objetos. | El administrador de solo lectura también puede ver las cuentas de ejecución que los administradores o administradores delegados han especificado para ese rol de usuario de administrador de solo lectura. |
| Administrador del inquilino | Los miembros de este rol pueden administrar usuarios de autoservicio y redes de VM. | Los administradores de inquilinos pueden crear, implementar y administrar sus propias máquinas virtuales y servicios mediante la consola VMM o un portal web. Los administradores de inquilinos también pueden especificar qué tareas pueden realizar los usuarios de autoservicio en sus máquinas virtuales y servicios. Los administradores de inquilinos pueden colocar cuotas en recursos informáticos y máquinas virtuales. |
| Administrador del inquilino | Los miembros de este rol pueden administrar usuarios de autoservicio y redes de VM. | Los administradores de inquilinos pueden crear, implementar y administrar sus propias máquinas virtuales y servicios mediante la consola VMM o un portal web. Los administradores de inquilinos también pueden especificar qué tareas pueden realizar los usuarios de autoservicio en sus máquinas virtuales y servicios. Los administradores de inquilinos pueden colocar cuotas en recursos informáticos y máquinas virtuales. |
| Administrador de aplicaciones (usuario de autoservicio) | Los miembros de este rol pueden crear, implementar y administrar sus propias máquinas virtuales y servicios. | Pueden administrar VMM mediante la consola VMM. |
| Rol de usuario de VMM | Permisos | Detalles |
|---|---|---|
| Rol Administrador | Los miembros de este rol pueden realizar todas las acciones administrativas en todos los objetos que administra VMM. | Solo los administradores pueden agregar un servidor WSUS a VMM para habilitar las actualizaciones del tejido de VMM a través de VMM. |
| Administrador de máquina virtual | Los administradores pueden crear el rol. | El administrador delegado puede crear un rol de administrador de máquina virtual que incluya todo el ámbito o un subconjunto de su ámbito, servidores de biblioteca y cuentas de ejecución. |
| Administrador de Tejido (administrador delegado) | Los miembros de este rol pueden realizar todas las tareas administrativas dentro de sus grupos host asignados, nubes y servidores de biblioteca. | Los administradores delegados no pueden modificar la configuración de VMM, agregar o quitar miembros del rol de usuario administradores ni agregar servidores WSUS. |
| Administrador de solo lectura | Los miembros de este rol pueden ver las propiedades, el estado y el estado del trabajo de los objetos dentro de sus grupos de host asignados, nubes y servidores de biblioteca, pero no pueden modificar los objetos. | El administrador de solo lectura también puede ver las cuentas de ejecución que los administradores o administradores delegados han especificado para ese rol de usuario de administrador de solo lectura. |
| Administrador del inquilino | Los miembros de este rol pueden administrar usuarios de autoservicio y redes de VM. | Los administradores de inquilinos pueden crear, implementar y administrar sus propias máquinas virtuales y servicios mediante la consola VMM o un portal web. Los administradores de inquilinos también pueden especificar qué tareas pueden realizar los usuarios de autoservicio en sus máquinas virtuales y servicios. Los administradores de inquilinos pueden colocar cuotas en recursos informáticos y máquinas virtuales. |
| Administrador de aplicaciones (usuario de autoservicio) | Los miembros de este rol pueden crear, implementar y administrar sus propias máquinas virtuales y servicios. | Pueden administrar VMM mediante la consola VMM. |
Cuentas de ejecución
Existen dos tipos de cuentas de ejecución:
- Las cuentas de equipo host se usan para interactuar con los servidores de virtualización.
- Las cuentas de BMC se usan para comunicarse con BMC en hosts para la administración fuera de banda o la optimización de energía.
- Las cuentas externas se usan para comunicarse con aplicaciones externas como Operations Manager.
- Las cuentas de dispositivo de red se usan para conectarse con equilibradores de carga de red.
- Las cuentas de perfil se usan en perfiles de ejecución al implementar un servicio VMM o crear perfiles.
Nota:
- VMM usa la API de protección de datos de Windows (DPAPI) para proporcionar servicios de protección de datos de nivel de sistema operativo durante el almacenamiento y la recuperación de las credenciales de la cuenta de ejecución. DPAPI es un servicio de protección de datos basado en contraseña que usa rutinas criptográficas (el algoritmo Triple-DES seguro, con claves seguras) para compensar el riesgo que supone la protección de datos basada en contraseña. Más información.
- Al instalar VMM, puede configurar VMM para que use Administración de claves distribuidas para almacenar claves de cifrado en Active Directory.
- Puede configurar cuentas de ejecución antes de empezar a administrar VMM o puede configurar cuentas de ejecución si las necesita para acciones específicas.