Zarządzanie rolami i uprawnieniami w programie VMM
Program System Center Virtual Machine Manager (VMM) umożliwia zarządzanie rolami i uprawnieniami. Program VMM zapewnia:
- Zabezpieczenia oparte na rolach: Role określają, co użytkownicy mogą robić w środowisku programu VMM. Role składają się z profilu, który definiuje zestaw dostępnych operacji dla roli, zakres, który definiuje zestaw obiektów, na których może działać rola, oraz listę członkostwa definiującą konta użytkowników usługi Active Directory i grupy zabezpieczeń przypisane do roli.
- Konta Uruchom jako: konta Uruchom jako działają jako kontenery dla przechowywanych poświadczeń używanych do uruchamiania zadań i procesów programu VMM.
Zabezpieczenia oparte na rolach
Poniższa tabela zawiera podsumowanie ról użytkowników programu VMM.
| Rola użytkownika programu VMM | Uprawnienia | Szczegóły |
|---|---|---|
| Rola administratora | Członkowie tej roli mogą wykonywać wszystkie akcje administracyjne na wszystkich obiektach zarządzanych przez program VMM. | Tylko administratorzy mogą dodać serwer WSUS do programu VMM, aby umożliwić aktualizacje sieci szkieletowej programu VMM za pośrednictwem programu VMM. |
| Administrator maszyny wirtualnej | Administratorzy mogą utworzyć rolę (dotyczy programu VMM 2019 lub nowszego). | Administrator delegowany może utworzyć rolę administratora maszyny wirtualnej, która obejmuje cały zakres lub podzbiór ich zakresu, serwerów bibliotek i kont Uruchom jako. |
| Administrator sieci szkieletowej (administrator delegowany) | Członkowie tej roli mogą wykonywać wszystkie zadania administracyjne w ramach przypisanych grup hostów, chmur i serwerów bibliotek. | Administratorzy delegowani nie mogą modyfikować ustawień programu VMM, dodawać ani usuwać członków roli użytkownika administratorów ani dodawać serwerów WSUS. |
| Administrator tylko do odczytu | Członkowie tej roli mogą wyświetlać właściwości, stan i stan zadania obiektów w przypisanych grupach hostów, chmurach i serwerach bibliotek, ale nie mogą modyfikować obiektów. | Administrator tylko do odczytu może również wyświetlać konta Uruchom jako określone przez administratorów lub administratorów delegowanych dla tej roli użytkownika administratora tylko do odczytu. |
| Administrator dzierżawy | Członkowie tej roli mogą zarządzać użytkownikami samoobsługi i sieciami maszyn wirtualnych. | Administratorzy dzierżawy mogą tworzyć, wdrażać i zarządzać własnymi maszynami wirtualnymi i usługami przy użyciu konsoli programu VMM lub portalu internetowego. Administratorzy dzierżawy mogą również określić zadania, które użytkownicy samoobsługi mogą wykonywać na swoich maszynach wirtualnych i usługach. Administratorzy dzierżawy mogą umieszczać limity przydziału zasobów obliczeniowych i maszyn wirtualnych. |
| Administrator dzierżawy | Członkowie tej roli mogą zarządzać użytkownikami samoobsługi i sieciami maszyn wirtualnych. | Administratorzy dzierżawy mogą tworzyć, wdrażać i zarządzać własnymi maszynami wirtualnymi i usługami przy użyciu konsoli programu VMM lub portalu internetowego. Administratorzy dzierżawy mogą również określić zadania, które użytkownicy samoobsługi mogą wykonywać na swoich maszynach wirtualnych i usługach. Administratorzy dzierżawy mogą umieszczać limity przydziału zasobów obliczeniowych i maszyn wirtualnych. |
| Administrator aplikacji (użytkownik samoobsługi) | Członkowie tej roli mogą tworzyć, wdrażać i zarządzać własnymi maszynami wirtualnymi i usługami oraz zarządzać nimi. | Mogą zarządzać programem VMM przy użyciu konsoli programu VMM. |
| Rola użytkownika programu VMM | Uprawnienia | Szczegóły |
|---|---|---|
| Rola administratora | Członkowie tej roli mogą wykonywać wszystkie akcje administracyjne na wszystkich obiektach zarządzanych przez program VMM. | Tylko administratorzy mogą dodać serwer WSUS do programu VMM, aby umożliwić aktualizacje sieci szkieletowej programu VMM za pośrednictwem programu VMM. |
| Administrator maszyny wirtualnej | Administratorzy mogą utworzyć rolę. | Administrator delegowany może utworzyć rolę administratora maszyny wirtualnej, która obejmuje cały zakres lub podzbiór ich zakresu, serwerów bibliotek i kont Uruchom jako. |
| Administrator sieci szkieletowej (administrator delegowany) | Członkowie tej roli mogą wykonywać wszystkie zadania administracyjne w ramach przypisanych grup hostów, chmur i serwerów bibliotek. | Administratorzy delegowani nie mogą modyfikować ustawień programu VMM, dodawać ani usuwać członków roli użytkownika administratorów ani dodawać serwerów WSUS. |
| Administrator tylko do odczytu | Członkowie tej roli mogą wyświetlać właściwości, stan i stan zadania obiektów w przypisanych grupach hostów, chmurach i serwerach bibliotek, ale nie mogą modyfikować obiektów. | Administrator tylko do odczytu może również wyświetlać konta Uruchom jako określone przez administratorów lub administratorów delegowanych dla tej roli użytkownika administratora tylko do odczytu. |
| Administrator dzierżawy | Członkowie tej roli mogą zarządzać użytkownikami samoobsługi i sieciami maszyn wirtualnych. | Administratorzy dzierżawy mogą tworzyć, wdrażać i zarządzać własnymi maszynami wirtualnymi i usługami przy użyciu konsoli programu VMM lub portalu internetowego. Administratorzy dzierżawy mogą również określić zadania, które użytkownicy samoobsługi mogą wykonywać na swoich maszynach wirtualnych i usługach. Administratorzy dzierżawy mogą umieszczać limity przydziału zasobów obliczeniowych i maszyn wirtualnych. |
| Administrator aplikacji (użytkownik samoobsługi) | Członkowie tej roli mogą tworzyć, wdrażać i zarządzać własnymi maszynami wirtualnymi i usługami oraz zarządzać nimi. | Mogą zarządzać programem VMM przy użyciu konsoli programu VMM. |
Konta Uruchom jako
Istnieją różne typy kont Uruchom jako:
- Konta komputerów hosta są używane do interakcji z serwerami wirtualizacji.
- Konta BMC są używane do komunikowania się z kontrolerem BMC na hostach na potrzeby zarządzania poza pasmem lub optymalizacji zużycia energii.
- Konta zewnętrzne są używane do komunikowania się z aplikacjami zewnętrznymi, takimi jak Operations Manager.
- Konta urządzeń sieciowych służą do nawiązywania połączenia z modułami równoważenia obciążenia sieciowego.
- Konta profilów są używane w profilach Uruchom jako podczas wdrażania usługi programu VMM lub tworzenia profilów.
Uwaga
- Program VMM używa interfejsu API ochrony danych systemu Windows (DPAPI), aby zapewnić usługi ochrony danych na poziomie systemu operacyjnego podczas przechowywania i pobierania poświadczeń konta Uruchom jako. DPAPI to usługa ochrony danych oparta na hasłach, która używa procedur kryptograficznych (silny algorytm Triple-DES z silnymi kluczami), aby zrównoważyć ryzyko stwarzane przez ochronę danych opartą na hasłach. Dowiedz się więcej.
- Podczas instalowania programu VMM można skonfigurować program VMM tak, aby używał rozproszonego zarządzania kluczami do przechowywania kluczy szyfrowania w usłudze Active Directory.
- Konta Uruchom jako można skonfigurować przed rozpoczęciem zarządzania programem VMM lub skonfigurować konta Uruchom jako, jeśli są potrzebne dla określonych akcji.
Następne kroki
- Konfigurowanie ról użytkowników.
- Konfigurowanie uruchom jako kont.