Gerir funções e permissões no VMM
Importante
Esta versão do Virtual Machine Manager (VMM) chegou ao fim do suporte. Recomendamos que atualize para o VMM 2022.
O System Center – Virtual Machine Manager (VMM) permite-lhe gerir funções e permissões. O VMM fornece:
- Segurança baseada em funções: as funções especificam o que os utilizadores podem fazer no ambiente do VMM. As funções consistem num perfil que define um conjunto de operações disponíveis para a função, no âmbito que define o conjunto de objetos nos quais a função pode operar e numa lista de associação que define as contas de utilizador do Active Directory e os grupos de segurança atribuídos à função.
- Contas Run As: as contas Run As atuam como contentores para as credenciais armazenadas que utilizar para executar tarefas e processos do VMM.
Segurança baseada em funções
A tabela seguinte resume as funções de utilizador do VMM.
| Função de utilizador do VMM | Permissões | Detalhes |
|---|---|---|
| Função de administrador | Os membros desta função podem realizar todas as ações administrativas em todos os objetos geridos pelo VMM. | Apenas os administradores podem adicionar um servidor WSUS ao VMM para permitir as atualizações dos recursos de infraestruturas do VMM através do VMM. |
| Administrador de máquina virtual | Os administradores podem criar a função (aplicável ao VMM 2019 e posterior). | O administrador delegado pode criar uma função de administrador de VM que inclua todo o âmbito ou um subconjunto do respetivo âmbito, servidores de bibliotecas e contas de Run-As. |
| Administrador de recursos de infraestrutura (administrador delegado) | Os membros desta função podem realizar todas as tarefas administrativas atribuídas aos seus grupos de anfitriões, às nuvens e aos servidores de biblioteca. | Os administradores delegados não podem modificar as definições do VMM, adicionar ou remover membros da função de utilizador administradores ou adicionar servidores WSUS. |
| administrador Read-Only | Os membros desta função podem ver as propriedades, o estado e o estado da tarefa dos objetos nos grupos de anfitriões, nuvens e servidores de bibliotecas atribuídos, mas não podem modificar os objetos. | Além disso, o administrador só de leitura pode ver as contas Run As que os administradores ou administradores delegados especificaram para essa função de utilizador de administrador só de leitura. |
| Administrador inquilino | Os membros desta função podem gerir utilizadores self-service e redes VM. | Os administradores inquilinos podem criar, implementar e gerir o seus próprios serviços e máquinas virtuais, utilizando a consola do VMM ou um portal Web. Os administradores inquilinos também podem especificar quais as tarefas que os utilizadores self-service podem efetuar nas respetivas máquinas virtuais e serviços. Os administradores inquilinos podem definir quotas para o cálculo de recursos e máquinas virtuais. |
| Administrador da aplicação (Utilizador Self-Service) | Os membros desta função podem criar, implementar e gerir as suas próprias máquinas virtuais e serviços. | Podem gerir o VMM com a consola do VMM. |
Contas Run As
Existem vários tipos de contas Run As:
- As Contas do computador do anfitrião são utilizadas para interagir com os servidores de virtualização.
- As Contas de BMC são utilizadas para comunicar com o BMC em anfitriões de gestão fora de banda ou de otimização de energia.
- As contas externas são utilizadas para comunicar com aplicações externas, como o Operations Manager.
- As contas de dispositivos de rede são utilizadas para estabelecer ligação com balanceadores de carga de rede.
- As contas de perfil são utilizadas em perfis Run As quando está a implementar um serviço VMM ou a criar perfis.
Nota
- O VMM utiliza a API do Windows Data Protection (DPAPI) para fornecer serviços de proteção de dados ao nível do sistema operativo durante o armazenamento e a obtenção das credenciais da conta Run As. A DPAPI é um serviço de proteção de dados baseado em palavra-passe que utiliza rotinas criptográficas (o algoritmo Triple-DES forte, com chaves fortes) para mitigar o risco proveniente da proteção de dados baseada em palavra-passe. Saiba mais.
- Ao instalar o VMM, pode configurar o VMM para utilizar a Gestão Distribuída de Chaves para armazenar as chaves de encriptação no Active Directory.
- Pode configurar contas Run As antes de começar a gerir o VMM ou pode configurar contas Run As se precisar delas para ações específicas.