Rollen en machtigingen beheren in VMM
Belangrijk
Deze versie van Virtual Machine Manager (VMM) heeft het einde van de ondersteuning bereikt. U wordt aangeraden een upgrade uit te voeren naar VMM 2022.
Met System Center - Virtual Machine Manager (VMM) kunt u rollen en machtigingen beheren. VMM biedt:
- Op rollen gebaseerde beveiliging: rollen bepalen wat gebruikers kunnen doen in de VMM-omgeving. Rollen bestaan uit een profiel waarmee het volgende wordt gedefinieerd: een verzameling beschikbare bewerkingen voor de rol, een bereik waarin de set objecten wordt gedefinieerd waarop de rol kan worden toegepast, en een lidmaatschapslijst die de Active Directory-gebruikersaccounts en beveiligingsgroepen definieert die worden toegewezen aan de rol.
- Uitvoeren als-accounts: Uitvoeren als-accounts dienen als containers voor opgeslagen referenties die u gebruikt om VMM-taken en -processen uit te voeren.
Op rollen gebaseerde beveiliging
De volgende tabel biedt een overzicht van de VMM-gebruikersrollen.
| VMM-gebruikersrol | Machtigingen | Details |
|---|---|---|
| Beheerdersrol | Leden van deze rol kunnen alle beheeracties uitvoeren op alle objecten die met VMM worden beheerd. | Alleen beheerders kunnen een WSUS-server (Windows Server Update Services) aan VMM toevoegen om updates van de VMM-infrastructuur via VMM in te schakelen. |
| Beheerder van virtuele machine | Beheerders kunnen de rol maken (van toepassing op VMM 2019 en hoger). | Gedelegeerde beheerder kan de rol VAN VM-beheerder maken die het volledige bereik of een subset van het bereik, bibliotheekservers en Run-As-accounts omvat. |
| Infrastructuurbeheerder (gedelegeerde beheerder) | Leden van deze rol kunnen alle beheerderstaken uitvoeren binnen hun toegewezen hostgroepen, clouds en bibliotheekservers. | Gedelegeerde beheerders kunnen geen VMM-instellingen wijzigen, leden van de beheerdersgebruikersrol toevoegen of verwijderen, of WSUS-servers toevoegen. |
| Read-Only beheerder | Leden van deze rol kunnen eigenschappen, status en taakstatus van objecten in hun toegewezen hostgroepen, clouds en bibliotheekservers bekijken, maar ze kunnen de objecten niet wijzigen. | Een alleen-lezen beheerder kan ook Uitvoeren als-accounts weergeven die door beheerders of gedelegeerde beheerders zijn opgegeven voor die specifieke gebruikersrol als alleen-lezen beheerder. |
| Tenantbeheerder | Leden van deze rol kunnen selfservicegebruikers en VM-netwerken beheren. | Tenantbeheerders kunnen hun eigen virtuele machines en services maken, implementeren en beheren via de VMM-console of een webportal. Tenantbeheerders kunnen ook opgeven welke taken de selfservicegebruikers kunnen uitvoeren op hun virtuele machines en services. Tentantbeheerders kunnen quota plaatsen op rekenresources en virtuele machines. |
| Toepassingsbeheerder (selfservicegebruiker) | Leden van deze rol kunnen hun eigen virtuele machines en services maken, implementeren en beheren. | Ze kunnen VMM beheren met behulp van de VMM-console. |
Uitvoeren als-accounts
Er zijn verschillende typen Uitvoeren als-accounts:
- Accounts voor hostcomputers dienen voor interactie met virtualisatieservers.
- Met BMC-accounts kan met de BMC op hosts worden gecommuniceerd voor out-of-band-beheer of energieverbruikoptimalisatie.
- Een extern account wordt gebruikt om te communiceren met externe apps, zoals Operations Manager.
- Met Accounts voor netwerkapparaten kan verbinding worden gemaakt met Load Balancers in het netwerk.
- Profielaccounts worden gebruikt in Uitvoeren als-profielen wanneer u een VMM-service implementeert of profielen maakt.
Notitie
- VMM gebruikt Windows DPAPI (Data Protection API) om services voor gegevensbescherming op het niveau van het besturingssysteem te bieden tijdens het opslaan en ophalen van de Uitvoeren als-accountreferenties. DPAPI is een service voor gegevensbescherming met wachtwoord die gebruikmaakt van cryptografische routines (het Triple DES-algoritme met sterke sleutels) om het risico te ondervangen dat gegevensbescherming op basis van wachtwoorden met zich meebrengt. Meer informatie.
- Als u VMM installeert, kunt u het configureren om gedistribueerd sleutelbeheer te gebruiken voor de opslag van versleutelingssleutels in Active Directory.
- U kunt Uitvoeren als-accounts instellen voordat u VMM gaat beheren of u kunt Uitvoeren als-accounts instellen als u deze nodig hebt voor specifieke acties.