Ủy thác truy cập Hyper-V trong Authorization Manager

Trong việc quản lý máy chủ Hyper-V, theo mặc định việc truy cập vào Hyper-V Manager trên máy vật lý bị hạn chế chỉ dành cho các nhóm Aministrators local trên máy chủ. Cấu hình mặc định này giúp cho việc duy trì an toàn cho các máy ảo theo cách là hạn chế việc điều khiển chỉ dành cho những user đang ở vai trò là người quản trị. Tuy nhiên, trong một số trường hợp chúng ta được yêu cầu cũng như cần thiết trong việc cung cấp cho những user tin tưởng một số quyền hạn quản lý các máy ảo dùng Hyper-V Manager.

Ví dụ, bạn muốn uy thác quyền quản lý cho một nhóm đặc biệt để linh động hơn trong việc quản lý thay vì một người nắm giữ tất cả, từ đó triển khai theo dạng hệ thống phân cấp, nhưng tổ chức của bạn có một chính sách nhất định và hơi khó khăn trong việc điều phối thêm một nhóm nhỏ khác có quyền admin hệ thống. Để hạn chế các truy cập admin để quản lý các hệ điều hành được cung cấp khả năng deploy ACLs để ngăn ngừa các user không chứng thực access vào các fiel VHD và các file hệ thống khác.

Bên cạnh đó công cụ được ưa thích nhất có lẽ là Authorization (AzMan) nó là một snap in trong MMC của windows server, giải quyết được vấn đề trên cho phép chúng ta phân quyền điều khiển Hyper0V cho những user hay group chỉ định mà không làm ảnh hưởng đến các group quản trị trong hệ thống. Authorization Manager là một công cụ quản trị cho phép định nghĩa và dùng các Role based authorixation trong các ứng dụng được thiết kế sẵn để thiết lập cớ chế ủy thác.Các chính sách của Role based authorization cho định nghĩa ra các vai trò dựa trên yêu cầu authorization của ứng dụng. Các role và tác vụ của một ứng dụng được đnh5 nghĩa ra chứa trong một authorixation store mà chúng ta có thể dùng Authorization Manager truy cập và hiệu chỉnh theo dự kiến.

Với Hyper-V được định nghĩa tất cả là 33 hành động và một administrator role cho phép toàn quyền sử dụng tất cả các tác vụ. Bạn có thể tạo ra các role khác với các hành động hạn chế tùy yêu cầu triển khai và ủy thác.

Sau đây là 3 bảng tổng hợp các hành động trong Hyper-V:

Bảng 1: Hyper-V Service Operations / cac hành động ở mức dịch vụ

Name Description
Read service configuration Authorizes reading configuration of the Virtual Machine Management Service
Reconfigure Service Authorizes reconfiguration of Virtual Machine Management Service

Bảng 2: Hyper-V Network Operations/ Các hành động ở mức network

Name Description
Bind External Ethernet Port Authorizes binding to an external Ethernet port
Connect Virtual Switch Port Authorizes connecting to a virtual switch port
Create Internal Ethernet Port Authorizes creating an internal Ethernet port
Create Virtual Switch Authorizes creating a new virtual switch
Create Virtual Switch Port Authorizes creating a new virtual switch port
Delete Internal Ethernet Port Authorizes deleting an internal Ethernet port
Delete Virtual Switch Authorizes deleting a virtual switch
Delete Virtual Switch Port Authorizes deleting a virtual switch port
Disconnect Virtual Switch Port Authorizes disconnecting from a virtual switch port
Modify Internal Ethernet Port Authorizes modifying the internal Ethernet port settings
Modify Switch Port Settings Authorizes modifying the switch port settings
Modify Switch Settings Authorizes modifying the switch settings
Change VLAN Configuration on Port Authorizes modifying VLAN settings
Unbind External Ethernet Port Authorizes unbinding from an external Ethernet port
View External Ethernet Ports Authorizes viewing the available external Ethernet ports
View Internal Ethernet Ports Authorizes viewing the available internal Ethernet ports
View LAN Endpoints Authorizes viewing the LAN endpoints
View Switch Ports Authorizes viewing the available switch ports
View Switches Authorizes viewing the available switches
View Virtual Switch Management Service Authorizes viewing the Virtual Switch Management Service
View VLAN Settings Authorizes viewing the VLAN settings

Bảng 3:  Hyper-V Virtual Machine Operations / Các hoạt động ở mức độ máy ảo

Name Description
Allow Input to Virtual Machine Authorizes user to give input to the virtual machine
Allow Output from Virtual Machine Authorizes viewing the output from a virtual machine
Change Virtual Machine Authorization Scope Authorizes changing the scope of a virtual machine
Create Virtual Machine Authorizes creating a virtual machine
Delete Virtual Machine Authorizes deleting a virtual machine
Pause and Restart Virtual Machine Authorizes pause and restart of a virtual machine
Reconfigure Virtual Machine Authorizes reconfiguring a virtual machine
Start Virtual Machine Authorizes starting the virtual machine
Stop Virtual Machine Authorizes stopping the virtual machine
View Virtual Machine Configuration Authorizes viewing the virtual machine configuration

Bất kỳ user nào những người mà được ủy thác quyền hạn ở mức Administrator Role thông qua Authorization Manager sẽ có toàn quyền trong việc quản lý và truy cập Hyper-V Manager và toàn bộ máy ảo được triển khai trên máy đó. và có thể sử dụng tất cả 33 tác vụ nêu ở trên.

Để dùng Authorization ủy thác Administrator role cho user và group bao gồm các bước sau:

1, Từ giao diện quản lý có thể trực tiếp hoặc qua remote, click start nhập azman.msc –> Enter. Kích hoạt giao diện quản l1y của Authorization Manager.

2. Chuột phải Authorization ở cây bên trái và chọn Open Authorization Store

3. Hộp thoại Open Authorization Store xuất hiện và chọn XML file làm dạng lưu trữ chính.

4. Tiếp theo làm các hành động sau:

Nếu bạn đang đứng trên máy chủ hyper-V thì chỉ định %programdata%\Microsoft\Windows\Hyper-V\InitialStore.xml trong mục Store Name và click OK.

Nếu đang trong máy trạm và remote, chỉ định đường dãn đến file InitialStore.xml trên máy chủ trong hộp Store Name và click OK. Ví dụ nếu là Windows Server 2008 được cài đặt trên ổ C thì bạn sẽ chỉ định là \\<server name>\C$\ProgramData\Microsoft\Windows\Hyper-V\InitialStore.xml .

5. Xố Hyper-V Services bên dưới InitialStore.xml, xổ Role Assigment và sau đó click Administrator role.

6. Click Action, chọn Assign Users and Groups sau đó click From Windows and Active Directory.

Trong mục Select Users, Computers or Groups chọn lựa các tài khoản user hay group bạn muốn ủy thác role và click OK.

Advertisements

About Argron Nguyen's Blog

Vietnamese. Photographer. Writer. Illustrator. IT-er. All to some extent.

Posted on 08.09.2012, in Hyper-V. Bookmark the permalink. Để lại phản hồi.

Trả lời

Mời bạn điền thông tin vào ô dưới đây hoặc kích vào một biểu tượng để đăng nhập:

WordPress.com Logo

Bạn đang bình luận bằng tài khoản WordPress.com Log Out / Thay đổi )

Twitter picture

Bạn đang bình luận bằng tài khoản Twitter Log Out / Thay đổi )

Facebook photo

Bạn đang bình luận bằng tài khoản Facebook Log Out / Thay đổi )

Google+ photo

Bạn đang bình luận bằng tài khoản Google+ Log Out / Thay đổi )

Connecting to %s

%d bloggers like this: