Gestire ruoli e autorizzazioni in VMM
System Center Virtual Machine Manager (VMM) consente di gestire ruoli e autorizzazioni. VMM fornisce:
- Sicurezza basata sui ruoli: i ruoli specificano le operazioni che gli utenti possono eseguire nell'ambiente VMM. I ruoli sono costituiti da un profilo che definisce un set di operazioni disponibili per il ruolo, ambito che definisce il set di oggetti in cui il ruolo può operare e un elenco di appartenenze che definisce gli account utente e i gruppi di sicurezza di Active Directory assegnati al ruolo.
- Account RunAs: gli account RunAs fungono da contenitori per le credenziali archiviate usate per eseguire attività e processi VMM.
Sicurezza basata sui ruoli
La tabella seguente riepiloga i ruoli utente di VMM.
| Ruolo utente VMM | Autorizzazioni | Dettagli |
|---|---|---|
| Ruolo Amministratore | I membri di questo ruolo possono eseguire tutte le azioni amministrative su tutti gli oggetti gestiti da VMM. | Solo gli amministratori possono aggiungere un server WSUS a VMM per abilitare gli aggiornamenti dell'infrastruttura VMM tramite VMM. |
| Amministratore macchina virtuale | Gli amministratori possono creare il ruolo (applicabile per VMM 2019 e versioni successive). | L'amministratore delegato può creare un ruolo di amministratore della macchina virtuale che includa l'intero ambito o un sottoinsieme dell'ambito, dei server di libreria e degli account Run-As. |
| Amministratore dell'infrastruttura (amministratore delegato) | I membri di questo ruolo possono eseguire tutte le attività amministrative all'interno dei gruppi host, dei cloud e dei server di libreria assegnati. | Gli amministratori delegati non possono modificare le impostazioni di VMM, aggiungere o rimuovere membri del ruolo utente amministratori o aggiungere server WSUS. |
| Amministratore di sola lettura | I membri di questo ruolo possono visualizzare le proprietà, lo stato e lo stato del processo degli oggetti all'interno dei gruppi host, dei cloud e dei server di libreria assegnati, ma non possono modificare gli oggetti. | L'amministratore di sola lettura può anche visualizzare gli account RunAs specificati dagli amministratori o dagli amministratori delegati per il ruolo utente amministratore di sola lettura. |
| Amministratore tenant | I membri di questo ruolo possono gestire utenti self-service e reti VM. | Gli amministratori tenant possono creare, distribuire e gestire le macchine virtuali e i servizi di loro competenza utilizzando la console VMM o un portale Web. Gli amministratori tenant possono inoltre specificare le attività che gli utenti self-service possono eseguire sulle macchine virtuali e sui servizi. Gli amministratori tenant possono inserire delle quote nel calcolo delle risorse e delle macchine virtuali. |
| Amministratore tenant | I membri di questo ruolo possono gestire utenti self-service e reti VM. | Gli amministratori tenant possono creare, distribuire e gestire le proprie macchine virtuali e servizi usando la console VMM o un portale Web. Gli amministratori tenant possono inoltre specificare le attività che gli utenti self-service possono eseguire sulle macchine virtuali e sui servizi. Gli amministratori tenant possono inserire delle quote nel calcolo delle risorse e delle macchine virtuali. |
| Amministratore dell'applicazione (utente self-service) | I membri di questo ruolo possono creare, distribuire e gestire le proprie macchine virtuali e servizi. | Possono gestire VMM usando la console VMM. |
| Ruolo utente VMM | Autorizzazioni | Dettagli |
|---|---|---|
| Ruolo Amministratore | I membri di questo ruolo possono eseguire tutte le azioni amministrative su tutti gli oggetti gestiti da VMM. | Solo gli amministratori possono aggiungere un server WSUS a VMM per abilitare gli aggiornamenti dell'infrastruttura VMM tramite VMM. |
| Amministratore macchina virtuale | Gli amministratori possono creare il ruolo. | L'amministratore delegato può creare un ruolo di amministratore della macchina virtuale che includa l'intero ambito o un sottoinsieme dell'ambito, dei server di libreria e degli account Run-As. |
| Amministratore dell'infrastruttura (amministratore delegato) | I membri di questo ruolo possono eseguire tutte le attività amministrative all'interno dei gruppi host, dei cloud e dei server di libreria assegnati. | Gli amministratori delegati non possono modificare le impostazioni di VMM, aggiungere o rimuovere membri del ruolo utente amministratori o aggiungere server WSUS. |
| Amministratore di sola lettura | I membri di questo ruolo possono visualizzare le proprietà, lo stato e lo stato del processo degli oggetti all'interno dei gruppi host, dei cloud e dei server di libreria assegnati, ma non possono modificare gli oggetti. | L'amministratore di sola lettura può anche visualizzare gli account RunAs specificati dagli amministratori o dagli amministratori delegati per il ruolo utente amministratore di sola lettura. |
| Amministratore tenant | I membri di questo ruolo possono gestire utenti self-service e reti VM. | Gli amministratori tenant possono creare, distribuire e gestire le proprie macchine virtuali e servizi usando la console VMM o un portale Web. Gli amministratori tenant possono inoltre specificare le attività che gli utenti self-service possono eseguire sulle macchine virtuali e sui servizi. Gli amministratori tenant possono inserire delle quote nel calcolo delle risorse e delle macchine virtuali. |
| Amministratore dell'applicazione (utente self-service) | I membri di questo ruolo possono creare, distribuire e gestire le proprie macchine virtuali e servizi. | Possono gestire VMM usando la console VMM. |
Account RunAs
Esistono diversi tipi di account RunAs:
- Gli account computer host vengono usati per interagire con i server di virtualizzazione.
- Gli account BMC vengono usati per comunicare con il BMC negli host per la gestione fuori banda o l'ottimizzazione dell'alimentazione.
- Gli account esterni vengono usati per comunicare con app esterne, ad esempio Operations Manager.
- Gli account dei dispositivi di rete vengono usati per connettersi ai servizi di bilanciamento del carico di rete.
- Gli account profilo vengono usati nei profili RunAs quando si distribuisce un servizio VMM o si creano profili.
Nota
- VMM usa l'API Protezione dati windows (DPAPI) per fornire servizi di protezione dei dati a livello di sistema operativo durante l'archiviazione e il recupero delle credenziali dell'account RunAs. DPAPI è un servizio di protezione dei dati basato su password che compensa il rischio rappresentato dalla protezione dei dati basata su password applicando routine di crittografia (algoritmo complesso Triple DES con chiavi complesse). Altre informazioni.
- Quando si installa VMM, è possibile configurare VMM per l'uso di Gestione chiavi distribuite per archiviare le chiavi di crittografia in Active Directory.
- È possibile configurare gli account RunAs prima di iniziare a gestire VMM oppure è possibile configurare gli account RunAs se sono necessari per azioni specifiche.
Passaggi successivi
- Configurare i ruoli utente.
- Configurare gli account RunAs.