(0) exportieren Drucken
Alle erweitern

Verwenden des Autorisierungs-Managers für die Hyper-V-Sicherheit

Letzte Aktualisierung: Februar 2009

Betrifft: Windows Server 2008

Mit dem Autorisierungs-Manager stellen Sie die rollenbasierte Zugriffssteuerung für Hyper-V bereit. Anweisungen zum Implementieren der rollenbasierten Zugriffssteuerung finden Sie unter Konfigurieren von Hyper-V für rollenbasierte Zugriffssteuerung. Weitere Informationen zu den ersten Schritten mit dem Autorisierungs-Manager finden Sie unter Anhang B: Terminologie zum Autorisierungs-Manager und unter "Prüfliste: Vorbereiten der Verwendung des Autorisierungs-Managers" (http://go.microsoft.com/fwlink/?LinkId=134197).

Der Autorisierungs-Manager besteht aus folgenden Komponenten:

  • Autorisierungs-Manager-Snap-In (AzMan.msc). Mit dem MMC-Snap-In (Microsoft Management Console) können Sie Vorgänge auswählen, diese in Aufgaben gruppieren und dann Rollen zur Ausführung bestimmter Aufgaben autorisieren. Sie können mit dem Snap-In auch Aufgaben, Vorgänge sowie Benutzerrollen und Berechtigungen verwalten. Vor der Verwendung des Snap-Ins müssen Sie einen Autorisierungsspeicher erstellen oder öffnen. Weitere Informationen finden Sie unter http://go.microsoft.com/fwlink/?LinkId=134086.

  • Autorisierungs-Manager-API. Die API stellt ein vereinfachtes Entwicklungsmodell für die Verwaltung flexibler Gruppen und Geschäftsregeln sowie zum Speichern von Autorisierungsrichtlinien bereit. Weitere Informationen finden Sie unter "Rollenbasierte Zugriffssteuerung" (http://go.microsoft.com/fwlink/?LinkId=134079, möglicherweise in englischer Sprache).

Für den Autorisierungs-Manager ist ein Datenspeicher für die Richtlinie erforderlich, in der Rollen, Benutzer und Zugriffsrechte zugeordnet werden. Dieser Speicher wird als Autorisierungsspeicher bezeichnet. In Hyper-V kann der Datenspeicher in einer Active Directory-Datenbank oder in einer XML-Datei auf dem lokalen Server mit der Hyper-V-Rolle verwaltet werden. Sie können den Speicher über das Autorisierungs-Manager-Snap-In oder über die Autorisierungs-Manager-API bearbeiten, die für Skriptsprachen wie VBScript zur Verfügung stehen.

Wenn eine Active Directory-Datenbank für den Autorisierungsspeicher verwendet wird, müssen die Active Directory-Domänendienste auf der Windows Server 2003-Funktionsebene ausgeführt werden.

Der XML-Speicher unterstützt keine Delegierung von Anwendungen, Speichern oder Bereichen, da der Zugriff auf die XML-Datei durch die freigegebene Zugriffssteuerungsliste (Discretionary Access Control List, DACL) für die Datei gesteuert wird. Mit dieser wird der Zugriff auf den gesamten Inhalt der Datei gewährt oder beschränkt. (Weitere Informationen zur Autorisierungs-Manager-Delegierung finden Sie unter http://go.microsoft.com/fwlink/?LinkId=134075.) Daher sollte eine XML-Datei, die als Autorisierungsspeicher verwendet wird, unbedingt regelmäßig gesichert werden. Im NTFS-Dateisystem wird die Behandlung einer Folge von Schreibvorgängen, die von Anwendungen ausgegeben werden, als ein einziger logischer Schreibvorgang für eine Datei nicht unterstützt, wenn mehrere Anwendungen in dieselbe Datei schreiben. Somit kann es vorkommen, dass eine Autorisierungs-Manager-Richtliniendatei (XML-Datei) gleichzeitig von zwei Verwaltungsanwendungen bearbeitet und dadurch beschädigt wird. Der Autorisierungsspeicher wird von Hyper-V VSS Writer auf dem Server mit der Hyper-V-Rolle gesichert.

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2014 Microsoft