Role và Task trong việc ủy thác truy cập Hyper-V trong Authorization Manager

Trong việc quản lý máy chủ Hyper-V, theo mặc định việc truy cập vào Hyper-V Manager trên máy vật lý bị hạn chế chỉ dành cho các nhóm ADministrator local trên máy chủ. Cấu hình mặc định này giúp cho việc duy trì an toàn cho các máy ảo theo cách là hạn chế việc điều khiển chỉ ành cho những user đang ở vai trò là người quản trị. Tuy nhiên, trong một số trường hợp chúng ta được yêu cầu cũng như cần thiết trong việc cung cấp cho những user tin tưởng một số quyền hạn quản lý các máy ảo dùng Hyper-V Manager.

Ví dụ, bạn muốn uy thác quyền quản lý cho một nhóm đặc biệt để linh động hơn trong việc quản lý thay vì một người nắm giữ tất cả, từ đó triển khai theo dạng hệ thống phân cấp, nhưng tổ chức của bạn có một chính sách nhất định và hơi khó khăn trong việc điều phối thêm một nhóm nhỏ khác có quyền admin hệ thống. Để hạn chế các truy cập admin để quản lý các hệ điều hành được cung cấp khả năng deploy ACLs để ngăn ngừa các user không chứng thực access vào các fiel VHD và các file hệ thống khác.

Bên cạnh đó công cụ được ưa thích nhất có lẽ là Authorization (AzMan) nó là một snap in trong MMC của windows server, giải quyết được vấn đề trên cho phép chúng ta phân quyền điều khiển Hyper0V cho những user hay group chỉ định mà không làm ảnh hưởng đến các group quản trị trong hệ thống. Authorization Manager là một công cụ quản trị cho phép định nghĩa và dùng các Role based authorixation trong các ứng dụng được thiết kế sẵn để thiết lập cớ chế ủy thác.Các chính sách của Role based authorization cho định nghĩa ra các vai trò dựa trên yêu cầu authorization của ứng dụng. Các role và tác vụ của một ứng dụng được đnh5 nghĩa ra chứa trong một authorixation store mà chúng ta có thể dùng Authorization Manager truy cập và hiệu chỉnh theo dự kiến.

Với Hyper-V được định nghĩa tất cả là 33 hành động và nột administrator role cho phép toàn quyền sử dụng tất cả các tác vụ. Bạn có thể tạo ra các role khác với các hành động hạn chế tùy yêu cầu triển khai và ủy thác.

Sau đây là 3 bảng tổng hợp các hành động trong Hyper-V:

Bảng 1: Hyper-V Service Operations / cac hành động ở mức dịch vụ

Name

Description

Read service configuration

Authorizes reading configuration of the Virtual Machine Management Service

Reconfigure Service

Authorizes reconfiguration of Virtual Machine Management Service

Bảng 2: Hyper-V Network Operations/ Các hành động ở mức network

Name

Description

Bind External Ethernet Port

Authorizes binding to an external Ethernet port

Connect Virtual Switch Port

Authorizes connecting to a virtual switch port

Create Internal Ethernet Port

Authorizes creating an internal Ethernet port

Create Virtual Switch

Authorizes creating a new virtual switch

Create Virtual Switch Port

Authorizes creating a new virtual switch port

Delete Internal Ethernet Port

Authorizes deleting an internal Ethernet port

Delete Virtual Switch

Authorizes deleting a virtual switch

Delete Virtual Switch Port

Authorizes deleting a virtual switch port

Disconnect Virtual Switch Port

Authorizes disconnecting from a virtual switch port

Modify Internal Ethernet Port

Authorizes modifying the internal Ethernet port settings

Modify Switch Port Settings

Authorizes modifying the switch port settings

Modify Switch Settings

Authorizes modifying the switch settings

Change VLAN Configuration on Port

Authorizes modifying VLAN settings

Unbind External Ethernet Port

Authorizes unbinding from an external Ethernet port

View External Ethernet Ports

Authorizes viewing the available external Ethernet ports

View Internal Ethernet Ports

Authorizes viewing the available internal Ethernet ports

View LAN Endpoints

Authorizes viewing the LAN endpoints

View Switch Ports

Authorizes viewing the available switch ports

View Switches

Authorizes viewing the available switches

View Virtual Switch Management Service

Authorizes viewing the Virtual Switch Management Service

View VLAN Settings

Authorizes viewing the VLAN settings

Bảng 3:  Hyper-V Virtual Machine Operations / Các hoạt động ở mức độ máy ảo

Name

Description

Allow Input to Virtual Machine

Authorizes user to give input to the virtual machine

Allow Output from Virtual Machine

Authorizes viewing the output from a virtual machine

Change Virtual Machine Authorization Scope

Authorizes changing the scope of a virtual machine

Create Virtual Machine

Authorizes creating a virtual machine

Delete Virtual Machine

Authorizes deleting a virtual machine

Pause and Restart Virtual Machine

Authorizes pause and restart of a virtual machine

Reconfigure Virtual Machine

Authorizes reconfiguring a virtual machine

Start Virtual Machine

Authorizes starting the virtual machine

Stop Virtual Machine

Authorizes stopping the virtual machine

View Virtual Machine Configuration

Authorizes viewing the virtual machine configuration

image

Bất kỳ user nào những người mà được ủy thác quyền hạn ở mức Administrator Role thông qua Authorization Manager sẽ có toàn quyền trong việc quản lý và truy cập Hyper-V Manager và toàn bộ máy ảo được triển khai trên máy đó. và có thể sử dụng tất cả 33 tác vụ nêu ở trên.

Để dùng Authorization ủy thác Administrator role cho user và group bao gồm các bước sau:

1, Từ giao diện quản lý có thể trực tiếp hoặc qua remote, click start nhập azman.msc –> Enter. Kích hoạt giao diện quản l1y của Authorization Manager.

2. Chuột phải Authorization ở cây bên trái và chọn Open Authorization Store

3. Hộp thoại Open Authorization Store xuất hiện và chọn XML file làm dạng lưu trữ chính.

4. Tiếp theo làm các hành động sau:

Nếu bạn đang đứng trên máy chủ hyper-V thì chỉ định %programdata%\Microsoft\Windows\Hyper-V\InitialStore.xml trong mục Store Name và click OK.

Nếu đang trong máy trạm và remote, chỉ định đường dãn đến file InitialStore.xml trên máy chủ trong hộp Store Name và click OK. Ví dụ nếu là Windows Server 2008 được cài đặt trên ổ C thì bạn sẽ chỉ định là \\<server name>\C$\ProgramData\Microsoft\Windows\Hyper-V\InitialStore.xml .

5. Xố Hyper-V Services bên dưới InitialStore.xml, xổ Role Assigment và sau đó click Administrator role.

6. Click Action, chọn Assign Users and Groups sau đó click From Windows and Active Directory.

Trong mục Select Users, Computers or Groups chọn lựa các tài khoản user hay group bạn muốn ủy thác role và click OK.

Posted on 04/10/2010, in Hyper-V. Bookmark the permalink. Để lại bình luận.

Gửi phản hồi

Mời bạn điền thông tin vào ô dưới đây hoặc kích vào một biểu tượng để đăng nhập:

WordPress.com Logo

Bạn đang bình luận bằng tài khoản WordPress.com Log Out / Thay đổi )

Twitter picture

Bạn đang bình luận bằng tài khoản Twitter Log Out / Thay đổi )

Facebook photo

Bạn đang bình luận bằng tài khoản Facebook Log Out / Thay đổi )

Google+ photo

Bạn đang bình luận bằng tài khoản Google+ Log Out / Thay đổi )

Connecting to %s

%d bloggers like this: