通过

在 VMM 中管理角色和权限

  • 项目

System Center Virtual Machine Manager(VMM)允许管理角色和权限。 VMM 提供:

  • 基于角色的安全性:角色指定用户可以在 VMM 环境中执行的操作。 角色包括一个配置文件,用于定义角色的一组可用操作、定义角色可对其操作的对象集以及定义分配给该角色的 Active Directory 用户帐户和安全组的成员身份列表。
  • 运行方式帐户:运行方式帐户充当用于运行 VMM 任务和进程的存储凭据的容器。

基于角色的安全性

下表汇总了 VMM 用户角色。

VMM 用户角色 权限 详细信息
管理员角色 此角色的成员可以对 VMM 管理的所有对象执行所有管理操作。 只有管理员才能将 WSUS 服务器添加到 VMM,以便通过 VMM 启用 VMM 构造的更新。
虚拟机管理员 管理员可以创建角色(适用于 VMM 2019 和更高版本)。 委派的管理员可以创建 VM 管理员角色,该角色包括整个作用域或其范围的子集、库服务器和运行方式帐户。
结构管理员(委派管理员) 此角色的成员可以在分配的主机组、云和库服务器内执行所有管理任务。 委派的管理员无法修改 VMM 设置、添加或删除管理员用户角色的成员或添加 WSUS 服务器。
只读管理员 此角色的成员可以查看其分配的主机组、云和库服务器中对象的属性、状态和作业状态,但不能修改对象。 只读管理员还可以查看管理员或委派管理员为该只读管理员用户角色指定的运行方式帐户。
租户管理员 此角色的成员可以管理自助服务用户和 VM 网络。 租户管理员可通过使用 VMM 控制台或 Web 门户创建、部署和管理自己的虚拟机及服务。

租户管理员还可指定自助服务用户可对其虚拟机及服务执行哪些任务。

租户管理员可对计算资源和虚拟机设置配额。
租户管理员 此角色的成员可以管理自助服务用户和 VM 网络。 租户管理员可以使用 VMM 控制台或 Web 门户创建、部署和管理自己的虚拟机和服务。

租户管理员还可指定自助服务用户可对其虚拟机及服务执行哪些任务。

租户管理员可对计算资源和虚拟机设置配额。
应用程序管理员(自助服务用户) 此角色的成员可以创建、部署和管理自己的虚拟机和服务。 他们可以使用 VMM 控制台管理 VMM。
VMM 用户角色 权限 详细信息
管理员角色 此角色的成员可以对 VMM 管理的所有对象执行所有管理操作。 只有管理员才能将 WSUS 服务器添加到 VMM,以便通过 VMM 启用 VMM 构造的更新。
虚拟机管理员 管理员可以创建角色。 委派的管理员可以创建 VM 管理员角色,该角色包括整个作用域或其范围的子集、库服务器和运行方式帐户。
结构管理员(委派管理员) 此角色的成员可以在分配的主机组、云和库服务器内执行所有管理任务。 委派的管理员无法修改 VMM 设置、添加或删除管理员用户角色的成员或添加 WSUS 服务器。
只读管理员 此角色的成员可以查看其分配的主机组、云和库服务器中对象的属性、状态和作业状态,但不能修改对象。 只读管理员还可以查看管理员或委派管理员为该只读管理员用户角色指定的运行方式帐户。
租户管理员 此角色的成员可以管理自助服务用户和 VM 网络。 租户管理员可以使用 VMM 控制台或 Web 门户创建、部署和管理自己的虚拟机和服务。

租户管理员还可指定自助服务用户可对其虚拟机及服务执行哪些任务。

租户管理员可对计算资源和虚拟机设置配额。
应用程序管理员(自助服务用户) 此角色的成员可以创建、部署和管理自己的虚拟机和服务。 他们可以使用 VMM 控制台管理 VMM。

运行方式帐户

有不同类型的运行方式帐户:

  • 主计算机帐户 用于与虚拟化服务器交互。
  • BMC 帐户 用于与主机上的 BMC 通信,以便进行带外管理或电源优化。
  • 外部帐户 用于与 Operations Manager 等外部应用通信。
  • 网络设备帐户 用于与网络负载均衡器连接。
  • 部署 VMM 服务或创建配置文件时,配置文件帐户 在运行方式配置文件中使用。

注意

  • VMM 使用 Windows 数据保护 API(DPAPI)在存储和检索运行方式帐户凭据期间提供操作系统级数据保护服务。 DPAPI 是一种基于密码的数据保护服务,它使用加密例程(强三重 DES 算法,包含强密钥)来抵消基于密码的数据保护所带来的风险。 了解详细信息
  • 安装 VMM 时,可以将 VMM 配置为使用分布式密钥管理将加密密钥存储在 Active Directory 中。
  • 可以在开始管理 VMM 之前设置运行方式帐户,或者如果需要运行方式帐户执行特定操作,可以设置运行方式帐户。

后续步骤