web-dev-qa-db-ja.com

HyperV / VMMフォルダーレベルおよびVMレベルのアクセス許可?

VMWareとvCenterを使用すると、ファイルシステム方式でフォルダーを作成して、組織内のユーザーにアクセス許可を委任することに慣れています。たとえば、QAという名前のフォルダーを作成し、そのフォルダー内にすべてのQA VMを配置し、QA ActiveDirectoryグループがこのVM(変更できない)へのコンソールアクセスのみを許可する) 。現在、VMM 2008R2でHyperVR2を評価していますが、そのような機能は見つかりません。「ユーザーロール」を見つけましたが、これはホストレベルのソリューションであり、VMまたはフォルダレベル。そのような機能はHyperV/VMM内にまだ存在しますか?

1
Dan

Hyper-Vでは、通常、すべてのVHDファイルを通常のユーザーがアクセスできない中央フォルダーにまとめます。これは、システムを保護する別の方法です。ホストとユーザーの完全な分離。そのため、VMを作成および変更するユーザーは、ホストへの何らかの管理アクセス権を持っている必要があり、それはマシン全体(ITタイプのスタッフに一般的)またはVMMの役割(SSPまたは管理委任)。

構成の例としては、テスト用のQAVMがある場合があります。 QAユーザーは、単純なベースサーバーに基づいて新しいVMを作成し、テストを実行し、より広範なテストのためにマシンを保存するか、スクラブできる必要があります。

QAグループのロールを作成し、それをSSPユーザーロールにします。次に、VMテンプレート(基本的にはsysprepされたVM)を作成します。これは、既存のVMからクローンを作成して作成でき、クローンからテンプレートを作成します(テンプレートプロセスはソースVMを破棄します)。 。次に、テンプレートをQAグループに割り当てます。 QAユーザーはこのテンプレートに基づいてVMを作成できるようになり、新しいVMはQAに属し、QAユーザーはそれらへのフルアクセスを許可されます(または、SSPユーザーロールの設定に応じてアクセスが制限されます。セットアップ)。

また、既存のVMの所有権をそのユーザーグループに割り当てることもできます。このユーザーグループは、VMからSSPにアクセスできます(この場合も、そのグループへのアクセスを許可するユーザーロールによって課せられる制限が適用されます) )。

この例では、QAユーザーはVHDファイルに対する権限、ホストマシンに対する権限、およびADとVMMに対する制限された権限のみを必要とします。これにより、VMM管理コンソールを使用できなくなりますが、これはユーザーではなく管理者を対象としています。

または、特定のマシンの管理制御を特定のユーザーに委任することもできます。 QAテストホストがあり、それらが「メイン」クラスターでVMを実行していない場合。そのホストの管理制御を(ホストグループを介して)QAユーザーに委任できます。これにより、QAグループのユーザーはVMM管理コンソールを使用して、その特定のホストグループを完全に管理できるようになります。同じ種類の委任をライブラリに適用して、「メイン」ライブラリとは別のQAライブラリを使用できます。

これは、あまり使用していない人にとっては泥のようにはっきりしていると思います。これを解決するために、必要なだけ質問してください。
(完全開示:私はMSゴールドパートナーで働いています。私たちはこの種のシステムを構築しています)

1
Chris S