Управление ролями и разрешениями в VMM
System Center диспетчер виртуальных машин (VMM) позволяет управлять ролями и разрешениями. VMM предоставляет:
- Безопасность на основе ролей: роли указывают, что пользователи могут делать в среде VMM. Роли состоят из профиля, который определяет набор доступных операций для роли, области, которая определяет набор объектов, на которых может работать роль, и список членства, определяющий учетные записи пользователей Active Directory и группы безопасности, назначенные роли.
- Учетные записи запуска от имени. Учетные записи запуска от имени служат контейнерами для сохраненных учетных данных, которые используются для выполнения задач и процессов VMM.
Ролевая модель безопасности
В следующей таблице перечислены роли пользователей VMM.
| Роль пользователя VMM | Разрешения | Сведения |
|---|---|---|
| Роль администратора | Члены этой роли могут выполнять все административные действия для всех объектов, которыми управляет VMM. | Только администраторы могут добавить сервер WSUS в VMM, чтобы включить обновления структуры VMM через VMM. |
| Администратор виртуальной машины | Эту роль могут создавать администраторы (применимо к VMM 2019 и последующих версий). | Делегированный администратор может создать роль администратора виртуальной машины, которая включает всю область или подмножество их области, серверы библиотеки и учетные записи запуска от имени. |
| Администратор Fabric (делегированный администратор) | Члены этой роли могут выполнять все административные задачи в назначенных группах узлов, облаках и серверах библиотек. | Делегированные администраторы не могут изменять параметры VMM, добавлять или удалять участников роли пользователя администраторов или добавлять серверы WSUS. |
| Администратор только для чтения | Члены этой роли могут просматривать свойства, состояние и состояние задания объектов в назначенных группах узлов, облаках и серверах библиотек, но они не могут изменять объекты. | Администратор только для чтения также может просматривать учетные записи запуска от имени, указанные администраторами или делегированными администраторами для этой роли администратора только для чтения. |
| Администратор клиента | Члены этой роли могут управлять пользователями самообслуживания и сетями виртуальных машин. | Администраторы клиента могут создавать, развертывать собственные виртуальные машины и службы, а также управлять ими, используя консоль VMM или веб-портал. Администраторы клиента также могут указать, какие задачи пользователи самообслуживания могут выполнять на виртуальных машинах и в службах. Администраторы клиента могут задавать квоты для вычислительных ресурсов и виртуальных машин. |
| Администратор клиента | Члены этой роли могут управлять пользователями самообслуживания и сетями виртуальных машин. | Администраторы клиентов могут создавать, развертывать и управлять собственными виртуальными машинами и службами с помощью консоли VMM или веб-портала. Администраторы клиента также могут указать, какие задачи пользователи самообслуживания могут выполнять на виртуальных машинах и в службах. Администраторы клиента могут задавать квоты для вычислительных ресурсов и виртуальных машин. |
| Администратор приложений (пользователь самообслуживания) | Члены этой роли могут создавать, развертывать и управлять собственными виртуальными машинами и службами. | Они могут управлять VMM с помощью консоли VMM. |
| Роль пользователя VMM | Разрешения | Сведения |
|---|---|---|
| Роль администратора | Члены этой роли могут выполнять все административные действия для всех объектов, которыми управляет VMM. | Только администраторы могут добавить сервер WSUS в VMM, чтобы включить обновления структуры VMM через VMM. |
| Администратор виртуальной машины | Администраторы могут создать роль. | Делегированный администратор может создать роль администратора виртуальной машины, которая включает всю область или подмножество их области, серверы библиотеки и учетные записи запуска от имени. |
| Администратор Fabric (делегированный администратор) | Члены этой роли могут выполнять все административные задачи в назначенных группах узлов, облаках и серверах библиотек. | Делегированные администраторы не могут изменять параметры VMM, добавлять или удалять участников роли пользователя администраторов или добавлять серверы WSUS. |
| Администратор только для чтения | Члены этой роли могут просматривать свойства, состояние и состояние задания объектов в назначенных группах узлов, облаках и серверах библиотек, но они не могут изменять объекты. | Администратор только для чтения также может просматривать учетные записи запуска от имени, указанные администраторами или делегированными администраторами для этой роли администратора только для чтения. |
| Администратор клиента | Члены этой роли могут управлять пользователями самообслуживания и сетями виртуальных машин. | Администраторы клиентов могут создавать, развертывать и управлять собственными виртуальными машинами и службами с помощью консоли VMM или веб-портала. Администраторы клиента также могут указать, какие задачи пользователи самообслуживания могут выполнять на виртуальных машинах и в службах. Администраторы клиента могут задавать квоты для вычислительных ресурсов и виртуальных машин. |
| Администратор приложений (пользователь самообслуживания) | Члены этой роли могут создавать, развертывать и управлять собственными виртуальными машинами и службами. | Они могут управлять VMM с помощью консоли VMM. |
Учетная запись запуска от имени
Существуют различные типы учетных записей запуска от имени:
- Учетные записи компьютера узла используются для взаимодействия с серверами виртуализации.
- Учетные записи BMC используются для взаимодействия с BMC на узлах для управления вне полосой или оптимизации питания.
- Внешние учетные записи используются для взаимодействия с внешними приложениями, такими как Operations Manager.
- Учетные записи сетевых устройств используются для подключения к сетевым подсистемам балансировки нагрузки.
- Учетные записи профилей используются в профилях запуска от имени при развертывании службы VMM или создании профилей.
Примечание.
- VMM использует API защиты данных Windows (DPAPI) для предоставления служб защиты данных на уровне операционной системы во время хранения и получения учетных данных учетной записи запуска от имени. DPAPI — служба защиты данных на основе пароля, которая использует средства шифрования (надежный алгоритм Triple-DES, надежные ключи) для сокращения рисков, вызванных защитой данных на основе шифрования. Подробнее.
- При установке VMM можно настроить VMM, чтобы использовать распределенное управление ключами для хранения ключей шифрования в Active Directory.
- Вы можете настроить учетные записи запуска от имени перед началом управления VMM или настроить учетные записи запуска от имени, если они нужны для определенных действий.
Следующие шаги
- Настройка ролей пользователей.
- Настройте учетные записи запуска от имени.