(0) exportieren Drucken
Alle erweitern

Konfigurieren von Hyper-V für rollenbasierte Zugriffssteuerung

Letzte Aktualisierung: Februar 2009

Betrifft: Windows Server 2008

In diesem Thema wird das Konfigurieren der rollenbasierten Zugriffssteuerung für virtuelle Computer in Hyper-V beschrieben. Die rollenbasierte Zugriffssteuerung für Hyper-V wird mithilfe des MMC-Snap-Ins (Microsoft Management Console) Autorisierungs-Manager (AzMan.msc) bereitgestellt. Weitere Informationen finden Sie in den folgenden Themen in diesem Handbuch:

Zum Implementieren der rollenbasierten Zugriffssteuerung müssen Sie zunächst Bereiche definieren. Anschließend fassen Sie die Vorgänge, die zum Ausführen von Aufgaben erforderlich sind, in Gruppen zusammen. Sie weisen bestimmten Rollen Aufgaben zu und weisen dann Benutzer oder Gruppen der Rolle zu. Jeder Benutzer, der einer Rolle zugewiesen ist, kann alle Vorgänge in allen der Rolle zugewiesenen Aufgaben ausführen.

Das Einrichten der rollenbasierten Zugriffssteuerung für Hyper-V umfasst vier allgemeine Schritte:

  1. Definieren von Bereichen entsprechend den Anforderungen der Organisation. Sie können Bereiche beispielsweise nach der Geografie, der Organisationsstruktur, der Funktion (Entwickler/Test oder Produktion) oder entsprechend den Active Directory-Verzeichnisdiensten definieren. Ein Beispielskript zum Erstellen der Bereiche finden Sie unter http://go.microsoft.com/fwlink/?LinkId=134074 (möglicherweise in englischer Sprache).

  2. Definieren von Aufgaben. Im Autorisierungs-Manager können Sie keine Vorgänge ändern oder erstellen. Sie können jedoch beliebig viele Aufgaben erstellen und diese zu Rollendefinitionen zusammenfassen. Beispielaufgaben, die Sie in Rollendefinitionen verwenden können, finden Sie unter Anhang A: Beispielaufgaben und -vorgänge für den Autorisierungs-Manager.

  3. Erstellen von Rollen. Wenn Sie beispielsweise eine Rolle IT-Monitor erstellen möchten, mit der Sie Eigenschaften eines virtuellen Computers anzeigen, aber nicht mit dem virtuellen Computer interagieren möchten, erstellen Sie im Autorisierungs-Manager eine neue Aufgabe mit der Bezeichnung Virtuellen Computer überwachen mit folgenden Vorgängen:

    • Lesen der Dienstkonfiguration

    • Anzeigen externer Ethernet-Anschlüsse

    • Anzeigen interner Ethernet-Anschlüsse

    • Anzeigen von LAN-Endpunkten

    • Anzeigen von Switchports

    • Anzeigen von Switches

    • Anzeigen des Verwaltungsdiensts für virtuelle Switches

    • Anzeigen von LAN-Einstellungen

  4. Zuweisen von Benutzern oder Gruppen zu Rollen.

Angenommen, Sie verwenden zwei Sätze von virtuellen Computern, von denen einer zur Personalabteilung gehört und der andere zur Finanzabteilung. Die Administratoren virtueller Computer für die Personalabteilung sollen über Vollzugriff auf die virtuellen Computer für diese Abteilung verfügen, aber keinen Zugriff auf die virtuellen Computer der Finanzabteilung haben. Entsprechend sollen die Administratoren virtueller Computer für die Finanzabteilung keinen Zugriff auf die virtuellen Computer der Personalabteilung erhalten. Zu diesem Zweck definieren Sie eine Rolle Abteilungsadministrator virtueller Computer, definieren die entsprechenden Aufgaben und weisen dann jeden Administrator dieser Rolle im entsprechenden Bereich zu. Den Bereich der Administratoren virtueller Computer für die Personalabteilung legen Sie auf die virtuellen Computer in der Personalabteilung fest und den Bereich der Administratoren virtueller Computer für die Finanzabteilung auf die virtuellen Computer in der Finanzabteilung. Anschließend weisen Sie die virtuellen Computer ihren jeweiligen Bereichen zu.

Konfigurieren der rollenbasierten Zugriffssteuerung

Verwenden Sie die folgenden Verfahren, um die rollenbasierte Zugriffssteuerung für virtuelle Computer in Hyper-V einzurichten.

ImportantWichtig
Zum Ausführen der Verfahren müssen Sie den Autorisierungs-Manager mit einem Konto öffnen, das ein Mitglied der Administratorgruppe ist.

So erstellen Sie einen Bereich

  1. Öffnen Sie den Autorisierungs-Manager, indem Sie an einer Eingabeaufforderung azman.msc ausführen.

    Die Standardautorisierungsrichtlinie ist XML-basiert und unter \ProgramData\Microsoft\Windows\Hyper-V\InitialStore.xml gespeichert.

    noteHinweis
    Beachten Sie, dass \ProgramData\ ein verstecktes Verzeichnis ist. Sie können nicht danach suchen. Geben Sie den Speicherort im Dialogfeld Autorisierungsspeicher öffnen im Feld Speichername ein.

  2. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Hyper-V services, und klicken Sie dann auf Neuer Bereich.

  3. Geben Sie im Dialogfeld Neuer Bereich im Feld Name einen Namen für den Bereich ein, und klicken Sie dann auf OK.

  4. (Optional) Geben Sie unter Beschreibung eine Beschreibung für den Bereich ein, und klicken Sie dann auf OK.

    Die Beschreibung ist auf 1024 Bytes beschränkt. Geben Sie eine Beschreibung ein, die Ihnen die Anwendung des Bereichs gemäß Ihrer Zielsetzung erleichtert. Sie können die Beschreibung beispielsweise verwenden, um den Personalbereich vom Finanzbereich zu unterscheiden.

So erstellen Sie eine Aufgabe

  1. Öffnen Sie den Autorisierungs-Manager, indem Sie an einer Eingabeaufforderung azman.msc ausführen.

  2. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf den Bereich, und klicken Sie dann auf Definitionen.

  3. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Aufgabendefinitionen, und klicken Sie dann auf Neue Aufgabendefinition.

  4. Geben Sie im Dialogfeld Neue Aufgabendefinition im Feld Name einen Namen für die Aufgabe ein.

  5. Klicken Sie auf Hinzufügen, um das Dialogfeld Definition hinzufügen zu öffnen, und klicken Sie dann auf die Registerkarte Vorgänge.

  6. Wählen Sie unter Vorgänge die einzelnen Vorgänge der Aufgabe aus, und klicken Sie dann auf OK.

So erstellen Sie eine Rolle

  1. Öffnen Sie den Autorisierungs-Manager, indem Sie an einer Eingabeaufforderung azman.msc ausführen.

  2. Erweitern Sie den Bereich, klicken Sie auf Definitionen, klicken Sie mit der rechten Maustaste auf Rollendefinition, und klicken Sie dann auf Neue Rollendefinition.

    Die Beschreibung ist auf 1024 Bytes beschränkt.

  3. Geben Sie im Dialogfeld Neue Rollendefinition im Feld Name einen Namen für die Rolle ein.

  4. Geben Sie unter Beschreibung eine Beschreibung für die Rolle ein, und klicken Sie dann zweimal auf OK.

  5. (Optional) Klicken Sie auf Hinzufügen, um die Vorgänge, Aufgaben, Rollen und Autorisierungsregeln anzugeben, die Sie hinzufügen möchten, und klicken Sie dann zweimal auf OK.

So weisen Sie eine Rolle zu

  1. Öffnen Sie den Autorisierungs-Manager, indem Sie an einer Eingabeaufforderung azman.msc ausführen.

  2. Erweitern Sie den Bereich, klicken Sie mit der rechten Maustaste auf Rollenzuweisungen, und klicken Sie dann auf Rollen zuweisen.

  3. Überprüfen Sie im Dialogfeld Rolle hinzufügen die hinzuzufügenden Rollendefinitionen, und klicken Sie dann auf OK.

  4. Klicken Sie mit der rechten Maustaste auf die Rolle, klicken Sie auf Benutzer und Gruppen zuweisen, und klicken Sie dann auf Von Windows und Active Directory oder Vom Autorisierungs-Manager.

  5. Geben Sie im Dialogfeld Benutzer oder Gruppen wählen die auszuwählenden Objektnamen ein, und klicken Sie dann auf OK.

Weitere Ressourcen

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2014 Microsoft