Управление ролями и разрешениями в VMM
Важно!
Поддержка этой версии Virtual Machine Manager (VMM) завершена. Рекомендуется выполнить обновление до VMM 2022.
System Center Virtual Machine Manager (VMM) позволяет управлять ролями и разрешениями. VMM предоставляет следующие возможности.
- Безопасность на основе ролей. Роли определяют возможности пользователей в среде VMM. Роль включает профиль, определяющий набор операций, доступных для роли; область, определяющую набор объектов, с которыми роль может выполнять операции; и список членов, который определяет учетные записи пользователей и группы безопасности Active Directory, назначенные роли.
- Учетные записи запуска от имени. Учетные записи запуска от имени действуют как контейнеры для сохраненных учетных данных, используемых для выполнения задач и процессов VMM.
Ролевая модель безопасности
В следующей таблице приведена сводка по ролям пользователей VMM.
| Роль пользователя VMM | Разрешения | Сведения |
|---|---|---|
| роль администратора; | Члены этой роли могут выполнять все действия по администрированию для всех объектов, управляемых VMM. | Только администраторы могут добавлять сервер WSUS в VMM, чтобы включить обновление структуры VMM через VMM. |
| Администратор виртуальной машины | Эту роль могут создавать администраторы (применимо к VMM 2019 и последующих версий). | Делегированный администратор может создать роль администратора виртуальной машины, которая включает в себя все область или подмножество их область, серверов библиотек и учетных записей Run-As. |
| Администратор структуры (делегированный администратор) | Члены этой роли могут выполнять все задачи администрирования в назначенных им группах узлов, облаках и серверах библиотек. | Делегированные администраторы не могут изменять параметры VMM, добавлять или удалять членов роли пользователя администраторов, а также добавлять серверы WSUS. |
| администратор Read-Only | Члены этой роли могут просматривать свойства, состояние и состояние заданий объектов в назначенных группах узлов, облаках и серверах библиотек, но не могут изменять объекты. | Кроме того, администратор с правами только на чтение может просматривать учетные записи запуска от имени, указанные администраторами или полномочными администраторами для такого администратора с правами только на чтение. |
| Администратор клиента | Члены этой роли могут управлять пользователями самообслуживания и сетями виртуальных машин. | Администраторы клиента могут создавать, развертывать собственные виртуальные машины и службы, а также управлять ими, используя консоль VMM или веб-портал. Администраторы клиента также могут указать, какие задачи пользователи самообслуживания могут выполнять на виртуальных машинах и в службах. Администраторы клиента могут задавать квоты для вычислительных ресурсов и виртуальных машин. |
| Администратор приложения (пользователь самообслуживания) | Члены этой роли могут создавать и развертывать собственные виртуальные машины и службы и управлять ими. | Они могут управлять VMM, используя консоль VMM. |
Учетная запись запуска от имени
Существуют различные типы учетных записей запуска от имени.
- Учетные записи главных компьютеров используются для взаимодействия с серверами виртуализации.
- Учетные записи BMC используются для обмена данными с контроллерами BMC на узлах для внешнего управления и энергосбережения.
- Внешняя учетная запись используется для взаимодействия с внешними приложениями, такими как Operations Manager.
- Учетные записи сетевых устройств используются для подключения к подсистемам балансировки сетевой нагрузки.
- Учетные записи профилей используются в профилях запуска от имени при развертывании службы VMM или создании профилей.
Примечание
- Для обеспечения защиты данных на уровне операционной системы во время хранения и получения учетных данный учетной записи запуска от имени VMM использует API защиты данных Windows (DPAPI). DPAPI — служба защиты данных на основе пароля, которая использует средства шифрования (надежный алгоритм Triple-DES, надежные ключи) для сокращения рисков, вызванных защитой данных на основе шифрования. Подробнее.
- При установке VMM можно настроить хранение ключей шифрования в Active Directory с помощью распределенного управления ключами.
- Вы можете настроить учетные записи запуска от имени перед началом управления VMM или учетные записи запуска от имени, если они нужны для конкретных действий.
Дальнейшие действия
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по