Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Mit System Center Virtual Machine Manager (VMM) können Sie Rollen und Berechtigungen verwalten. VMM bietet Folgendes:
- Rollenbasierte Sicherheit: Rollen geben an, was Benutzende in der VMM-Umgebung tun können. Rollen bestehen aus einem Profil, das einen Satz verfügbarer Vorgänge für die Rolle definiert, bereich, der die Gruppe von Objekten definiert, für die die Rolle ausgeführt werden kann, und einer Mitgliedschaftsliste, die die Active Directory-Benutzerkonten und Sicherheitsgruppen definiert, die der Rolle zugewiesen sind.
- Ausführende Konten: Ausführende Konten fungieren als Container für gespeicherte Anmeldeinformationen, die Sie zum Ausführen von VMM-Aufgaben und ‑Prozessen verwenden.
Rollenbasierte Sicherheit
In der folgenden Tabelle werden die VMM-Benutzerrollen zusammengefasst.
| VMM-Benutzerrolle | Berechtigungen | Details |
|---|---|---|
| Administratorrolle | Mitglieder dieser Rolle können alle administrativen Aktionen für alle Objekte ausführen, die VMM verwaltet. | Nur Admins können einen WSUS-Server zu VMM hinzufügen, um Updates des VMM-Fabric über VMM zu ermöglichen. |
| VM-Administrator | Administratoren können die Rolle erstellen (gilt für VMM 2019 und höher). | Der delegierte Administrator kann eine VM-Administratorrolle erstellen, die den gesamten oder einen Teil ihres Bereichs, Bibliotheksserver und Run-As-Konten umfasst. |
| Fabric-Administrator (delegierter Administrator) | Mitglieder dieser Rolle können alle administrativen Aufgaben innerhalb ihrer zugewiesenen Hostgruppen, Clouds und Bibliotheksserver ausführen. | Delegierte Admins können keine VMM-Einstellungen ändern, Mitglieder der Adminbenutzerrolle hinzufügen oder entfernen oder WSUS-Server hinzufügen. |
| Schreibgeschützter Administrator | Mitglieder dieser Rolle können Eigenschaften, Status und Auftragsstatus von Objekten innerhalb der ihnen zugewiesenen Hostgruppen, Clouds und Bibliotheksserver anzeigen, sie können die Objekte jedoch nicht ändern. | Der schreibgeschützte Administrator kann auch Ausführungs-Konten anzeigen, die Administratoren oder delegierte Administratoren für diese schreibgeschützte Administrator-Nutzerrolle angegeben haben. |
| Mandanten-Administrator | Mitglieder dieser Rolle können Self-Service-Benutzende und VM-Netzwerke verwalten. | Tenant-Administratoren können ihre eigenen virtuellen Computer und Dienste über die VMM-Konsole oder ein Webportal erstellen, bereitstellen und verwalten. Mandant-Administratoren können auch angeben, welche Aufgaben die Self-Service-Benutzenden auf ihren virtuellen Maschinen und Diensten ausführen können. Mandantenadministratoren können Kontingente für Rechenressourcen und virtuelle Maschinen festlegen. |
| Mandantenverwalter | Mitglieder dieser Rolle können Self-Service-Benutzende und VM-Netzwerke verwalten. | Mandantenadministratoren können ihre eigenen virtuellen Computer und Dienste mithilfe der VMM-Konsole oder eines Webportals erstellen, bereitstellen und verwalten. Mandantenadministratoren können auch angeben, welche Aufgaben die Selbstbedienungsbenutzer auf ihren virtuellen Maschinen und Diensten ausführen können. Mandantenadministratoren können Kontingente für Rechenressourcen und virtuelle Maschinen festlegen. |
| Anwendungsadministrator (Self-Service-Benutzer) | Mitglieder dieser Rolle können eigene virtuelle Computer und Dienste erstellen, bereitstellen und verwalten. | Sie können VMM mithilfe der VMM-Konsole verwalten. |
| VMM-Benutzerrolle | Berechtigungen | Details |
|---|---|---|
| Administratorrolle | Mitglieder dieser Rolle können alle administrativen Aktionen für alle Objekte ausführen, die VMM verwaltet. | Nur Admins können einen WSUS-Server zu VMM hinzufügen, um Updates des VMM-Fabric über VMM zu ermöglichen. |
| VM-Administrator | Administratoren können die Rolle erstellen. | Der delegierte Administrator kann eine VM-Administratorrolle erstellen, die den gesamten Bereich, eine Teilmenge ihres Bereichs, Bibliotheksserver und Run-As-Konten umfasst. |
| Fabric-Administrator (delegierter Administrator) | Mitglieder dieser Rolle können alle administrativen Aufgaben innerhalb ihrer zugewiesenen Hostgruppen, Clouds und Bibliotheksserver ausführen. | Delegierte Admins können keine VMM-Einstellungen ändern, Mitglieder der Adminbenutzerrolle hinzufügen oder entfernen oder WSUS-Server hinzufügen. |
| Schreibgeschützter Admin | Mitglieder dieser Rolle können Eigenschaften, Status und Auftragsstatus von Objekten innerhalb der ihnen zugewiesenen Hostgruppen, Clouds und Bibliotheksserver anzeigen, sie können die Objekte jedoch nicht ändern. | Der schreibgeschützte Administrator kann auch Run As-Konten anzeigen, die Administratoren oder delegierte Administratoren für diese schreibgeschützte Administrator-Benutzerrolle angegeben haben. |
| Mandantenadministrator | Mitglieder dieser Rolle können Self-Service-Benutzende und VM-Netzwerke verwalten. | Mandantenadministratoren können ihre eigenen virtuellen Computer und Dienste mithilfe der VMM-Konsole oder eines Webportals erstellen, bereitstellen und verwalten. Mandantenadministratoren können auch angeben, welche Aufgaben die Self-Service-Benutzer auf ihren virtuellen Maschinen und Diensten ausführen können. Mandantenadministratoren können Kontingente für Computerressourcen und virtuelle Maschinen festlegen. |
| Anwendungsadministrator (Self-Service-Benutzer) | Mitglieder dieser Rolle können eigene virtuelle Computer und Dienste erstellen, bereitstellen und verwalten. | Sie können VMM mithilfe der VMM-Konsole verwalten. |
Ausführen als Konten
Es gibt zwei Typen von ausführenden Konten:
- Hostcomputerkonten werden für die Interaktion mit Virtualisierungsservern verwendet.
- BMC-Konten werden verwendet, um mit dem BMC auf Hosts für Out-of-Band-Verwaltung oder Leistungsoptimierung zu kommunizieren.
- Externe Konten werden verwendet, um mit externen Apps wie Operations Manager zu kommunizieren.
- Netzwerkgerätekonten werden verwendet, um eine Verbindung mit Netzwerklastenausgleichsmodulen herzustellen.
- Profilkonten werden in Run As-Profilen verwendet, wenn Sie einen VMM-Dienst bereitstellen oder Profile erstellen.
Hinweis
- VMM verwendet die Windows Data Protection API (DPAPI), um Betriebssystem-spezifische Schutzmaßnahmen bei der Speicherung und beim Abrufen von Run-As-Konto-Anmeldeinformationen bereitzustellen. DPAPI ist ein kennwortbasierter Datenschutzdienst, der kryptografische Routinen (den starken Triple-DES-Algorithmus mit starken Schlüsseln) verwendet, um das Risiko auszugleichen, das durch kennwortbasierten Datenschutz entsteht. Weitere Informationen
- Wenn Sie VMM installieren, können Sie VMM so konfigurieren, dass die Verteilte Schlüsselverwaltung zum Speichern von Verschlüsselungsschlüsseln in Active Directory verwendet wird.
- Sie können Run As-Konten einrichten, bevor Sie mit der Verwaltung von VMM beginnen, oder Sie können Run As-Konten einrichten, wenn Sie sie für bestimmte Aktionen benötigen.