(0) exportieren Drucken
Alle erweitern

Anhang B: Terminologie zum Autorisierungs-Manager

Letzte Aktualisierung: Februar 2009

Betrifft: Windows Server 2008

Mit dem MMC-Snap-In (Microsoft Management Console) Autorisierungs-Manager (AzMan.msc) wählen Sie Vorgänge aus, gruppieren sie in Aufgaben und autorisieren dann Rollen zur Ausführung bestimmter Aufgaben. Sie können mit dem Snap-In auch Aufgaben, Vorgänge sowie Benutzerrollen und Berechtigungen verwalten. Weitere Informationen zum Verwenden der rollenbasierten Zugriffssteuerung für virtuelle Computer in Hyper-V finden Sie unter Verwenden des Autorisierungs-Managers für die Hyper-V-Sicherheit und Konfigurieren von Hyper-V für rollenbasierte Zugriffssteuerung.

Terminologie

Im Kontext des Autorisierungs-Managers wird die folgende Terminologie verwendet.

  • Vorgang. Eine Berechtigung niedriger Ebene in einer Anwendung. Vorgänge sind Bausteine Ihrer Richtlinie für die rollenbasierte Zugriffssteuerung. Vorgänge in Hyper-V sind beispielsweise Allow Input to a Virtual Machine, Allow Output from a Virtual Machine und Create a Virtual Machine.

  • Richtlinie. Die Daten, die vom Autorisierungs-Manager für die rollenbasierte Zugriffssteuerung verwendet werden. Diese Daten werden von einem Virtualisierungsadministrator konfiguriert und beschreiben die Beziehungen zwischen Rollen, Aufgaben und Vorgängen. Die Richtlinie ist in einer XML-Datei gespeichert, die Sie mit dem Autorisierungs-Manager-Snap-In oder mit Skriptingtools bearbeiten können. Weitere Informationen zu den Elementen einer Richtlinie finden Sie unter "Prüfliste: Vorbereiten der Verwendung des Autorisierungs-Managers" (http://go.microsoft.com/fwlink/?LinkID=134197).

  • Rolle. Eine Menge von Benutzern und/oder Gruppen, durch die eine Benutzerkategorie definiert wird, deren Mitglieder eine bestimmte Menge von Aufgaben oder Vorgängen ausführen können. Beispielsweise haben die Benutzer, die der Administratorrolle zugewiesen sind, standardmäßig die Möglichkeit, jede Aufgabe oder jeden Vorgang in Hyper-V auszuführen. Der Administrator kann beliebig viele andere Rollen erstellen.

  • Autorisierungsspeicher. Das Repository für die Autorisierungsrichtlinie. Sie müssen einen Speicher zur Steuerung des Ressourcenzugriffs erstellen. Dies kann programmgesteuert oder mithilfe des Snap-Ins erfolgen. Der Standardspeicherort in Hyper-V ist eine XML-Datei unter \ProgramData\Microsoft\Windows\Hyper-V\InitialStore.xml. Hyper-V und der Autorisierungs-Manager unterstützen XML-Dateien und Active Directory-Domänendienste zum Speichern einer Richtlinie. Autorisierungs-Manager-Speicher für andere Anwendungen können in Active Directory Lightweight Directory Services und in Microsoft SQL Server (neu für Windows Vista und Windows Server 2008) erstellt werden.

  • Bereich. Eine Sammlung von Ressourcen mit einer gemeinsamen Zugriffssteuerungsrichtlinie. Im Autorisierungs-Manager kann der Bereich in einem Ordner, einem Active Directory-Container, einer durch eine Dateimaske definierten Sammlung von Dateien (beispielsweise *.doc), einer URL oder einem beliebigen Objekt bestehen, auf das von der Anwendung und dem ihr zugrunde liegenden Autorisierungsspeicher zugegriffen werden kann. Das Objekt kann nur einem einzelnen Bereich zugewiesen werden. Jedes Objekt, das keinem Bereich zugewiesen ist, übernimmt die Zugriffsrichtlinie, die im Anwendungsbereich (oder Stammbereich) des Autorisierungs-Managers definiert ist. Der Standardbereich ist Hyper-V Services. Zu den Hyper-V-Objekten, die Sie als Bereiche verwenden können, gehören virtuelle Computer, virtuelle Switches und virtuelle Switchports.

    Wenn Sie beispielsweise einem bestimmten Benutzer oder einer Gruppe Administratorzugriff auf eine Reihe von virtuellen Computern gewähren möchten, können Sie einen Bereich für diese virtuellen Computer erstellen. Weitere Informationen finden Sie unter "Arbeiten mit Bereichen" (http://go.microsoft.com/fwlink/?LinkId=134199).

  • Aufgabe. Eine logische Gruppe von Vorgängen, die zum Erfüllen einer Aufgabe ausgeführt werden müssen. Aufgaben können nach Objekten kategorisiert werden und zur Zugriffssteuerung für das Objekt verwendet werden.

    noteHinweis
    Wenn Sie einer Rollendefinition Aufgaben hinzufügen, erfolgt keine Überprüfung auf abhängige Vorgänge. Beispielsweise erfordert die Aufgabe Connect to a virtual machine die Vorgänge Read Service Configuration, Allow Output from a Virtual Machine und Allow Input to a Virtual Machine.

  • Abteilungsadministrator. Ein Administrator, der nur über Berechtigungen zum Ausführen der Aufgaben verfügt, die in der Rollenbeschreibung angegeben sind. Auf einer höheren Organisationsebene erstellt und verwaltet der Virtualisierungsadministrator die Rollendefinitionen und Bereiche. Der Virtualisierungsadministrator kann beispielsweise eine Abteilungsadministratorrolle Personaladministrator erstellen, deren Bereich nur virtuelle Computer im Besitz der Personalabteilung umfasst. Außerdem kann er eine andere Rolle Finanzadministrator (mit denselben Vorgängen und Aufgaben) erstellen, deren Bereich ausschließlich die virtuellen Computer der Finanzabteilung umfasst.

  • Rollendefinition. Die Liste der Vorgänge, die ein Benutzer, dem die Rolle zugewiesen wurde, ausführen kann.

  • Rollenzuweisung. Eine Liste von Benutzern, die die in der Rollendefinition aufgelisteten Vorgänge ausführen können.

    Die Standarddefinition der Administratorrolle enthält beispielsweise alle Vorgänge, und die Standardrollenzuweisung umfasst alle Benutzer in der Gruppe VORDEFINIERT\Administratoren. Sie können eine Rolle Benutzer erstellen, die nur die Vorgänge Start Virtual Machine, Stop Virtual Machine, Allow Input to Virtual Machine und Allow Output from Virtual Machine verwenden kann. Rollen können auch auf der Grundlage von Organisationsstrukturen erstellt werden. Beispielsweise können Sie eine Rolle Administrator für virtuelle Netzwerke erstellen und der Rolle nur die Vorgänge für virtuelle Netzwerke zuweisen. Weitere Informationen finden Sie unter "Verwalten von Gruppen, Rollen und Aufgaben" (http://go.microsoft.com/fwlink/?LinkId=134517).

  • Virtualisierungsadministrator. Ein Administrator, der über die lokale Administratorberechtigung für das Verwaltungsbetriebssystem des Virtualisierungsservers verfügt und alle anderen delegierten Administratorrechte und -berechtigungen steuert.

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2014 Microsoft