Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O System Center Virtual Machine Manager (VMM) permite que você gerencie funções e permissões. O VMM fornece:
- Segurança baseada em função: as funções especificam o que os usuários podem fazer no ambiente do VMM. As funções consistem em um perfil que define um conjunto de operações disponíveis para a função, escopo que define o conjunto de objetos nos quais a função pode operar e uma lista de associação que define as contas de usuário e os grupos de segurança do Active Directory atribuídos à função.
- Run As accounts: As contas Run As atuam como contêineres para credenciais armazenadas que você usa para executar tarefas e processos do VMM.
Segurança baseada em função
A tabela a seguir resume as funções de usuário do VMM.
| Função de usuário do VMM | Permissões | Detalhes |
|---|---|---|
| Função de Administrador | Os membros dessa função podem executar todas as ações administrativas em todos os objetos gerenciados pelo VMM. | Somente os administradores podem adicionar um servidor WSUS ao VMM para habilitar atualizações da malha do VMM por meio do VMM. |
| Administrador da máquina virtual | Os administradores podem criar a função (aplicável ao VMM 2019 e posterior). | O administrador delegado pode criar uma função de administrador de VM que inclua todo o escopo ou um subconjunto de seu escopo, servidores de biblioteca e contas Executar como. |
| Administrator da malha (administrador delegado) | Os membros dessa função podem executar todas as tarefas administrativas em seus grupos de hosts, nuvens e servidores de biblioteca atribuídos. | Os administradores delegados não podem modificar as configurações do VMM, adicionar ou remover membros da função de usuário administradores ou adicionar servidores WSUS. |
| Administrador somente leitura | Os membros dessa função podem exibir propriedades, status e status de trabalho de objetos em seus grupos de hosts, nuvens e servidores de biblioteca atribuídos, mas não podem modificar os objetos. | O administrador somente leitura também pode visualizar contas Executar como que os administradores ou administradores delegados especificaram para a função de usuário de administrador somente leitura. |
| Administrador de locatários | Os membros dessa função podem gerenciar usuários de autoatendimento e redes VM. | Os Administrador de Inquilinos podem criar, implantar e gerenciar suas próprias máquinas virtuais e serviços usando o console do VMM ou um portal da Web. Os Administradores de Inquilinos também podem especificar quais tarefas os usuários de autoatendimento podem executar em suas máquinas virtuais e serviços. Os administradores de locatários podem definir cotas em recursos de computação e máquinas virtuais. |
| Administrador de locatários | Os membros dessa função podem gerenciar usuários de autoatendimento e redes VM. | Os administradores de locatários podem criar, implantar e gerenciar suas próprias máquinas virtuais e serviços usando o console do VMM ou um portal da Web. Os Administradores de Inquilinos também podem especificar quais tarefas os usuários de autoatendimento podem executar em suas máquinas virtuais e serviços. Os administradores de locatários podem definir cotas em recursos de computação e máquinas virtuais. |
| Administrador de aplicativos (usuário de autoatendimento) | Os membros dessa função podem criar, implantar e gerenciar suas próprias máquinas virtuais e serviços. | Eles podem gerenciar o VMM usando o console do VMM. |
| Função de usuário do VMM | Permissões | Detalhes |
|---|---|---|
| Função de Administrador | Os membros dessa função podem executar todas as ações administrativas em todos os objetos gerenciados pelo VMM. | Somente os administradores podem adicionar um servidor WSUS ao VMM para habilitar atualizações da malha do VMM por meio do VMM. |
| Administrador da máquina virtual | Os administradores podem criar a função. | O administrador delegado pode criar uma função de administrador de VM que inclua todo o escopo ou um subconjunto de seu escopo, servidores de biblioteca e contas Executar como. |
| Administrator da malha (administrador delegado) | Os membros dessa função podem executar todas as tarefas administrativas em seus grupos de hosts, nuvens e servidores de biblioteca atribuídos. | Os administradores delegados não podem modificar as configurações do VMM, adicionar ou remover membros da função de usuário administradores ou adicionar servidores WSUS. |
| Administrador somente leitura | Os membros dessa função podem exibir propriedades, status e status de trabalho de objetos em seus grupos de hosts, nuvens e servidores de biblioteca atribuídos, mas não podem modificar os objetos. | O administrador somente leitura também pode visualizar contas Executar como que os administradores ou administradores delegados especificaram para a função de usuário de administrador somente leitura. |
| Administrador de locatários | Os membros dessa função podem gerenciar usuários de autoatendimento e redes VM. | Os administradores de locatários podem criar, implantar e gerenciar suas próprias máquinas virtuais e serviços usando o console do VMM ou um portal da Web. Os Administradores de Inquilinos também podem especificar quais tarefas os usuários de autoatendimento podem executar em suas máquinas virtuais e serviços. Os administradores de locatários podem definir cotas em recursos de computação e máquinas virtuais. |
| Administrador de aplicativos (usuário de autoatendimento) | Os membros dessa função podem criar, implantar e gerenciar suas próprias máquinas virtuais e serviços. | Eles podem gerenciar o VMM usando o console do VMM. |
Contas Executar como
Há diferentes tipos de contas Executar como:
- As contas de computador host são usadas para interagir com servidores de virtualização.
- Contas do BMC são usadas para se comunicar com o BMC em hosts para gerenciamento fora da banda ou otimização de energia.
- As contas externas são usadas para se comunicar com aplicativos externos, como o Operations Manager.
- As contas de dispositivo de rede são usadas para se conectar com balanceadores de carga de rede.
- Contas de perfil são usadas em perfis de Run As quando você está implantando um serviço do VMM ou criando perfis.
Observação
- O VMM utiliza a DPAPI (API de Proteção aos Dados) do Windows para fornecer serviços de proteção de dados de nível de sistema operacional durante o armazenamento e a recuperação de credenciais de contas Executar como. A DPAPI é um serviço de proteção de dados baseado em senha que usa rotinas criptográficas (o algoritmo forte Triple-DES, com chaves fortes) para compensar o risco representado pela proteção de dados baseada em senha. Saiba mais.
- Ao instalar o VMM, você pode configurar o VMM para usar o Gerenciamento Distribuído de Chaves para armazenar chaves de criptografia no Active Directory.
- Você pode configurar contas Executar como antes de começar a gerenciar o VMM ou pode configurar contas Executar como se precisar delas para ações específicas.