Verwalten von Rollen und Berechtigungen in VMM
Mit System Center Virtual Machine Manager (VMM) können Sie Rollen und Berechtigungen verwalten. VMM bietet Folgendes:
- Rollenbasierte Sicherheit: Rollen geben an, was Benutzende in der VMM-Umgebung tun können. Rollen bestehen aus einem Profil, das einen Satz verfügbarer Vorgänge für die Rolle definiert, bereich, der die Gruppe von Objekten definiert, für die die Rolle ausgeführt werden kann, und einer Mitgliedschaftsliste, die die Active Directory-Benutzerkonten und Sicherheitsgruppen definiert, die der Rolle zugewiesen sind.
- Ausführende Konten: Ausführende Konten fungieren als Container für gespeicherte Anmeldeinformationen, die Sie zum Ausführen von VMM-Aufgaben und ‑Prozessen verwenden.
Rollenbasierte Sicherheit
In der folgenden Tabelle werden die VMM-Benutzerrollen zusammengefasst.
| VMM-Benutzerrolle | Berechtigungen | Details |
|---|---|---|
| Administratorrolle | Mitglieder dieser Rolle können alle administrativen Aktionen für alle Objekte ausführen, die VMM verwaltet. | Nur Admins können einen WSUS-Server zu VMM hinzufügen, um Updates des VMM-Fabric über VMM zu ermöglichen. |
| VM-Administrator | Administratoren können die Rolle erstellen (gilt für VMM 2019 und höher). | Delegierter Admin kann die VM-Adminrolle erstellen, die den gesamten Bereich, eine Teilmenge ihres Bereichs oder Bibliotheksserver und ausführenden Konten enthält. |
| Fabric-Administrator (delegierter Administrator) | Mitglieder dieser Rolle können alle administrativen Aufgaben innerhalb ihrer zugewiesenen Hostgruppen, Clouds und Bibliotheksserver ausführen. | Delegierte Admins können keine VMM-Einstellungen ändern, Mitglieder der Adminbenutzerrolle hinzufügen oder entfernen oder WSUS-Server hinzufügen. |
| Schreibgeschützter Admin | Mitglieder dieser Rolle können Eigenschaften, Status und Auftragsstatus von Objekten innerhalb der ihnen zugewiesenen Hostgruppen, Clouds und Bibliotheksserver anzeigen, sie können die Objekte jedoch nicht ändern. | Der schreibgeschützte Admin kann auch ausführende Konten anzeigen, die Admin oder delegierte Admins für diese schreibgeschützte Adminbenutzerrolle angegeben haben. |
| Mandantenadministrator | Mitglieder dieser Rolle können Self-Service-Benutzende und VM-Netzwerke verwalten. | Über die VMM-Konsole oder ein Webportal können Adminis von Mandanten ihre eigenen virtuellen Computer und Dienste erstellen, bereitstellen und verwalten. Mandantenadmins können auch angeben, welche Aufgaben die Self-Service-Benutzenden auf ihren virtuellen Computern und Diensten ausführen können. Mandantenadmins können Kontingente für Computerressourcen und virtuelle Computer platzieren. |
| Mandantenadministrator | Mitglieder dieser Rolle können Self-Service-Benutzende und VM-Netzwerke verwalten. | Mandantenadministratoren können ihre eigenen virtuellen Computer und Dienste mithilfe der VMM-Konsole oder eines Webportals erstellen, bereitstellen und verwalten. Mandantenadmins können auch angeben, welche Aufgaben die Self-Service-Benutzenden auf ihren virtuellen Computern und Diensten ausführen können. Mandantenadmins können Kontingente für Computerressourcen und virtuelle Computer platzieren. |
| Anwendungsadmin (Self-Service-Benutzende) | Mitglieder dieser Rolle können eigene virtuelle Computer und Dienste erstellen, bereitstellen und verwalten. | Sie können VMM mithilfe der VMM-Konsole verwalten. |
| VMM-Benutzerrolle | Berechtigungen | Details |
|---|---|---|
| Administratorrolle | Mitglieder dieser Rolle können alle administrativen Aktionen für alle Objekte ausführen, die VMM verwaltet. | Nur Admins können einen WSUS-Server zu VMM hinzufügen, um Updates des VMM-Fabric über VMM zu ermöglichen. |
| VM-Administrator | Administratoren können die Rolle erstellen. | Delegierter Admin kann die VM-Adminrolle erstellen, die den gesamten Bereich, eine Teilmenge ihres Bereichs oder Bibliotheksserver und ausführenden Konten enthält. |
| Fabric-Administrator (delegierter Administrator) | Mitglieder dieser Rolle können alle administrativen Aufgaben innerhalb ihrer zugewiesenen Hostgruppen, Clouds und Bibliotheksserver ausführen. | Delegierte Admins können keine VMM-Einstellungen ändern, Mitglieder der Adminbenutzerrolle hinzufügen oder entfernen oder WSUS-Server hinzufügen. |
| Schreibgeschützter Admin | Mitglieder dieser Rolle können Eigenschaften, Status und Auftragsstatus von Objekten innerhalb der ihnen zugewiesenen Hostgruppen, Clouds und Bibliotheksserver anzeigen, sie können die Objekte jedoch nicht ändern. | Der schreibgeschützte Admin kann auch ausführende Konten anzeigen, die Admin oder delegierte Admins für diese schreibgeschützte Adminbenutzerrolle angegeben haben. |
| Mandantenadministrator | Mitglieder dieser Rolle können Self-Service-Benutzende und VM-Netzwerke verwalten. | Mandantenadministratoren können ihre eigenen virtuellen Computer und Dienste mithilfe der VMM-Konsole oder eines Webportals erstellen, bereitstellen und verwalten. Mandantenadmins können auch angeben, welche Aufgaben die Self-Service-Benutzenden auf ihren virtuellen Computern und Diensten ausführen können. Mandantenadmins können Kontingente für Computerressourcen und virtuelle Computer platzieren. |
| Anwendungsadmin (Self-Service-Benutzende) | Mitglieder dieser Rolle können eigene virtuelle Computer und Dienste erstellen, bereitstellen und verwalten. | Sie können VMM mithilfe der VMM-Konsole verwalten. |
Ausführende Konten
Es gibt zwei Typen von ausführenden Konten:
- Hostcomputerkonten werden für die Interaktion mit Virtualisierungsservern verwendet.
- BMC-Konten werden verwendet, um mit dem BMC auf Hosts für Out-of-Band-Verwaltung oder Leistungsoptimierung zu kommunizieren.
- Externe Konten werden verwendet, um mit externen Apps wie Operations Manager zu kommunizieren.
- Netzwerkgerätekonten werden verwendet, um eine Verbindung mit Netzwerklastenausgleichsmodulen herzustellen.
- Profilkonten werden in ausführenden Profilen verwendet, wenn Sie einen VMM-Dienst bereitstellen oder Profile erstellen.
Hinweis
- VMM verwendet die Windows Data Protection API (DPAPI) zum Bereitstellen von Datenschutzdiensten auf Betriebssystemebene während des Speichers und Abrufens der Anmeldeinformationen für ausführende Konten. DPAPI ist ein kennwortbasierter Datenschutzdienst, der kryptografische Routinen (den starken Triple-DES-Algorithmus mit starken Schlüsseln) verwendet, um das Risiko auszugleichen, das durch kennwortbasierten Datenschutz entsteht. Weitere Informationen
- Wenn Sie VMM installieren, können Sie VMM so konfigurieren, dass die Verteilte Schlüsselverwaltung zum Speichern von Verschlüsselungsschlüsseln in Active Directory verwendet wird.
- Sie können Run As-Konten einrichten, bevor Sie mit der Verwaltung von VMM beginnen, oder Sie können Run As-Konten einrichten, wenn Sie sie für bestimmte Aktionen benötigen.