在 VMM 中管理角色和許可權
System Center Virtual Machine Manager (VMM) 可讓您管理角色和許可權。 VMM 提供:
- 角色型安全性:角色會指定使用者可以在 VMM 環境中執行的動作。 角色是由配置檔所組成,該配置檔會定義角色的可用作業集、定義角色可操作的物件集,以及定義指派給角色之 Active Directory 使用者帳戶和安全組的成員資格清單。
- 執行身分帳戶:執行身分帳戶可作為您用來執行 VMM 工作和程式的預存認證容器。
角色型安全性
下表摘要說明 VMM 使用者角色。
| VMM 使用者角色 | 權限 | 詳細資料 |
|---|---|---|
| 系統管理員角色 | 此角色的成員可以在 VMM 管理的所有物件上執行所有系統管理動作。 | 只有系統管理員可以將 WSUS 伺服器新增至 VMM,以透過 VMM 啟用 VMM 網狀架構的更新。 |
| 虛擬機管理員 | 系統管理員可以建立角色(適用於 VMM 2019 和更新版本)。 | 委派的系統管理員可以建立 VM 系統管理員角色,其中包含整個範圍或其範圍、連結庫伺服器和執行身分帳戶的子集。 |
| 網狀架構系統管理員(委派的系統管理員) | 此角色的成員可以在其指派的主機群組、雲端和連結庫伺服器內執行所有系統管理工作。 | 委派的系統管理員無法修改 VMM 設定、新增或移除系統管理員使用者角色的成員,或新增 WSUS 伺服器。 |
| 唯讀系統管理員 | 此角色的成員可以檢視其指派主機群組、雲端和連結庫伺服器內對象的屬性、狀態和作業狀態,但無法修改物件。 | 唯讀系統管理員也可以檢視系統管理員或委派系統管理員為該只讀系統管理員使用者角色指定的執行身分帳戶。 |
| 租用戶管理員 | 此角色的成員可以管理自助使用者和 VM 網路。 | 透過 VMM 主控台或入口網站,租用戶系統管理員可以建立、部署、管理自己的虛擬機器和服務。 租用戶系統管理員也可指定自助使用者在其虛擬機器和服務上,能執行哪些工作。 租用戶系統管理員可以對運算資源和虛擬機器設定配額。 |
| 租用戶管理員 | 此角色的成員可以管理自助使用者和 VM 網路。 | 租使用者管理員可以使用 VMM 控制台或入口網站來建立、部署及管理自己的虛擬機和服務。 租用戶系統管理員也可指定自助使用者在其虛擬機器和服務上,能執行哪些工作。 租用戶系統管理員可以對運算資源和虛擬機器設定配額。 |
| 應用程式管理員(自助使用者) | 此角色的成員可以建立、部署及管理自己的虛擬機和服務。 | 他們可以使用 VMM 控制台來管理 VMM。 |
| VMM 使用者角色 | 權限 | 詳細資料 |
|---|---|---|
| 系統管理員角色 | 此角色的成員可以在 VMM 管理的所有物件上執行所有系統管理動作。 | 只有系統管理員可以將 WSUS 伺服器新增至 VMM,以透過 VMM 啟用 VMM 網狀架構的更新。 |
| 虛擬機管理員 | 系統管理員可以建立角色。 | 委派的系統管理員可以建立 VM 系統管理員角色,其中包含整個範圍或其範圍、連結庫伺服器和執行身分帳戶的子集。 |
| 網狀架構系統管理員(委派的系統管理員) | 此角色的成員可以在其指派的主機群組、雲端和連結庫伺服器內執行所有系統管理工作。 | 委派的系統管理員無法修改 VMM 設定、新增或移除系統管理員使用者角色的成員,或新增 WSUS 伺服器。 |
| 唯讀系統管理員 | 此角色的成員可以檢視其指派主機群組、雲端和連結庫伺服器內對象的屬性、狀態和作業狀態,但無法修改物件。 | 唯讀系統管理員也可以檢視系統管理員或委派系統管理員為該只讀系統管理員使用者角色指定的執行身分帳戶。 |
| 租用戶管理員 | 此角色的成員可以管理自助使用者和 VM 網路。 | 租使用者管理員可以使用 VMM 控制台或入口網站來建立、部署及管理自己的虛擬機和服務。 租用戶系統管理員也可指定自助使用者在其虛擬機器和服務上,能執行哪些工作。 租用戶系統管理員可以對運算資源和虛擬機器設定配額。 |
| 應用程式管理員(自助使用者) | 此角色的成員可以建立、部署及管理自己的虛擬機和服務。 | 他們可以使用 VMM 控制台來管理 VMM。 |
執行身分帳戶
有不同類型的執行身分帳戶:
- 主電腦帳戶 可用來與虛擬化伺服器互動。
- BMC 帳戶 可用來與主機上的 BMC 通訊,以進行頻外管理或電源優化。
- 外部帳戶 可用來與 Operations Manager 等外部應用程式通訊。
- 網路裝置帳戶 可用來與網路負載平衡器連線。
- 當您部署 VMM 服務或建立設定檔時,配置文件帳戶 會在執行身分設定檔中使用。
注意
- VMM 會使用 Windows 數據保護 API (DPAPI) 在記憶體和擷取執行身分帳戶認證期間提供作業系統層級數據保護服務。 DPAPI 是個密碼型資料保護服務,其會使用密碼編譯常式 (增強式 Triple-DES 演算法,具有增強式金鑰),來彌補密碼型資料保護所造成的風險。 深入了解。
- 當您安裝 VMM 時,您可以將 VMM 設定為使用分散式密鑰管理,將加密金鑰儲存在 Active Directory 中。
- 您可以在開始管理 VMM 之前設定執行身分帳戶,或者如果您需要執行身分帳戶來執行特定動作,您可以設定執行身分帳戶。