本文件已封存並已停止維護。

VMM 中的角色安全性

更新日期: 2009年9月

適用於: Virtual Machine Manager 2008, Virtual Machine Manager 2008 R2, Virtual Machine Manager 2008 R2 SP1

從 System Center Virtual Machine Manager (VMM) 2008 開始,VMM 實作「角色安全性」以針對虛擬環境中的角色與可從事的活動提供較細微的控制。此安全性模組支援 VMM 2007 未提供的委派管理,並以自助使用者角色取代 VMM 2007 中用來管理虛擬機器自助的自助原則。

使用者角色可針對選取的一組物件 (由使用者角色範圍定義) 定義能執行的一組作業 (在設定檔中分組)。例如,在此架構中,組織可建立委派的系統管理員角色以允許高層級的系統管理員管理紐約辦公室的所有作業、專業的系統管理員管理所有程式庫伺服器,或進階使用者在單一實驗室中設定複雜的虛擬環境等。組織也可以建立自助使用者角色,以允許使用者在自己的虛擬機器上執行一組指定的作業。

使用者角色是由下列組件構成:

  • 「設定檔」:用來定義角色成員可執行的一組作業。

  • 「範圍」:用來定義可當做操作對象的一組物件。

  • 「成員資格清單」:用來指定指派給角色的 Active Directory 使用者帳戶與安全性群組。

Important重要事項
當您將 Hyper-V 主機新增至 VMM 2008 R2 時,VMM 會將角色定義或角色成員資格的變更保留在 Hyper-V 授權存放區的根範圍中。VMM 代理程式會覆寫其他範圍的所有變更。因此,當 VMM 2008 R2 管理 Hyper-V 主機時,存取權限是由根範圍中所有角色與指派給每個虛擬機器範圍之 VMM 角色的聯集決定。

這與 VMM 2008 處理 Hyper-V 角色定義與範圍的方式不同。將 Hyper-V 主機新增至 VMM 2008 時,VMM 會建立自己的授權存放區而不會從 Hyper-V 電腦的 initialstore.xml 匯入任何角色與成員資格設定,然後再更新登錄使該 Hyper-V 指向 VMM 授權存放區。

如需詳細資訊,請參閱 強化受 VMM 管理的虛擬機器主機中的 Hyper-V 主機安全性考量事項。

可用的目標

在角色安全性中,物件 (如主機或虛擬機器) 執行個體的動態集合 (亦稱為群組) 會決定使用者執行之特定作業的可用目標。例如,當使用者嘗試啟動虛擬機器時,VMM 會先檢查使用者是否有在虛擬機器上執行「啟動」動作的權限,然後再驗證使用者是否有啟動選取之虛擬機器的權限。

這些群組是階層式組織:提供特定執行個體的存取權限也會提供該執行個體內所有執行個體的存取權限。例如,提供主機群組的存取權限也會提供主機群組內所有主機,以及主機上所有虛擬網路的存取權限。

下圖顯示適用於 VMM 使用者角色的群組,與其中的執行個體階層。當使用者角色提供外環中執行個體的存取權限時,也會自動提供內環中所有執行個體的存取權限。虛擬機器則是以個別的圖例說明,因為它們的存取流程有些許不同。對於所有系統管理員角色,主機群組權限會流向部署在主機中的所有虛擬機器。不過,這不適用於自助使用者角色成員。自助使用者的權限僅限於自己擁有的虛擬機器。

VMM 中角色安全性的群組階層

角色安全性的群組階層

VMM 中的角色類型

下列使用者角色類型是針對 VMM 定義的類型,以具有相同名稱的設定檔區分:

  • 系統管理員角色 — 系統管理員角色成員可針對受 VMM 伺服器管理的所有物件執行所有 VMM 動作。此設定檔只能與一個角色建立關聯。至少要有一位系統管理員屬於此角色成員。

  • 委派系統管理員角色 — 以委派系統管理員設定檔為依據的角色成員具有完整的 VMM 系統管理員權限 (但有例外),其對象為由指派給角色之主機群組與程式庫所定義之範圍內的所有物件。委派系統管理員不能修改 VMM 設定,也不能新增或移除系統管理員角色成員。

  • 自助使用者角色 — 以自助使用者設定檔為依據的角色成員可在受限制的環境內管理自己的虛擬機器。自助使用者可使用 VMM 自助入口網站管理自己的虛擬機器。自助入口網站提供簡化的檢視,讓使用者只能查看自己擁有的虛擬機器,以及在這些虛擬機器上執行允許的作業。自助使用者角色可指定成員能在擁有之虛擬機器上執行的作業 (包括建立虛擬機器),以及成員用來建立虛擬機器的範本與 ISO 映像檔。使用者角色還可設定虛擬機器的配額,以限制使用者一次可部署的虛擬機器數目。自助使用者的虛擬機器會以透明化的方式部署在指派給使用者角色之主機群組中最合適的主機上。

VMM 不支援建立自訂的使用者設定檔。

使用者可以是多個使用者角色的成員,在這種情況下,VMM 會根據使用者擁有的所有角色授與相關權限。

下圖為在支援虛擬機器自助的虛擬化環境內委派管理的簡單結構。

VMM 的範例委派系統管理計劃

委派管理的範例拓撲

系統管理員角色

系統管理員角色成員可針對受 VMM 伺服器管理的所有主機、程式庫伺服器及虛擬機器執行所有 VMM 動作。動作與範圍無法變更。

若要新增系統管理員角色的成員,請在 VMM 系統管理主控台的 [管理] 檢視中展開 [使用者角色] 節點,在清單中的 [系統管理員] 上按一下滑鼠右鍵,然後再按一下 [內容]。

下表彙總系統管理員角色的功能。

 

設定 說明

設定檔

所有 VMM 作業

範圍

受 VMM 伺服器管理的所有物件

用戶端存取

VMM 系統管理員主控台:有

Windows PowerShell – VMM 命令殼層:有

VMM 自助入口網站:無

委派的系統管理員角色

委派系統管理員角色可指派一定範圍內的多種系統管理員權限,此範圍是由指派給角色的主機群組與程式庫伺服器所定義。在 VMM 中委派管理的效能取決於在虛擬化環境中謹慎規劃主機群組與程式庫伺服器。如需建立委派系統管理員角色的詳細資訊,請參閱如何建立委派的系統管理員使用者角色 (http://go.microsoft.com/fwlink/?LinkId=162941)。

下表說明委派系統管理員角色的功能。

 

設定 說明

設定檔

委派系統管理員設定檔允許針對使用者角色範圍內的物件執行下列作業。這些作業無法變更。

  • 檢視、建立及管理使用者角色範圍內的主機群組、主機及虛擬網路。

  • 建立、檢視、修改及移轉使用者角色範圍內的虛擬機器。

  • 將程式庫伺服器新增至 VMM。

  • 針對使用者角色範圍內的程式庫伺服器,管理所有指定之程式庫共用的虛擬機器資源。

  • 在使用者角色範圍內建立使用者角色。

  • 檢視、修改或移除所建立的使用者角色。

  • 在使用者角色範圍內執行所有系統管理員作業,下列作業除外:

    • 不得檢視、修改或移除系統管理員使用者角色成員建立的使用者角色,或其他委派系統管理員使用者角色成員建立的使用者角色。

    • 不得在 VMM 中修改全域 VMM 設定或 System Center 設定。

範圍

n 個主機群組 — 可針對已指派之主機群組中的主機群組、主機及虛擬網路內所有物件履行系統管理員權限。包括在主機中虛擬機器上設定的虛擬硬碟、虛擬網路介面卡、SCSI 介面卡等。

n 部程式庫伺服器 — 存放在程式庫伺服器中所有程式庫共用內的虛擬硬碟、虛擬磁碟、ISO 映像檔、Windows PowerShell 指令碼、Sysprep 回應檔案及 VMware 範本。

用戶端存取

VMM 系統管理員主控台:有

Windows PowerShell – VMM 命令殼層:有

VMM 自助入口網站:無

note附註
若要存取 VMM 自助入口網站,必須將系統管理員新增至自助使用者角色。

自助使用者角色

自助使用者角色允許使用者在受限的環境中管理自己的虛擬機器 (亦即使用者是這些虛擬機器上指定的擁有者)。自助使用者可使用 VMM 自助入口網站檢視、操作及管理自己的虛擬機器。自助入口網站提供簡化的檢視,讓自助使用者只能查看自己擁有的虛擬機器,以及可在每部虛擬機器上執行的作業。在 VMM 2008 中,自助使用者可在 Windows PowerShell – VMM 命令殼層中針對使用者角色範圍內的物件執行相同的作業。

自助使用者角色會定義使用者可在自己擁有之虛擬機器上執行的作業、可用來建立虛擬機器的範本、可部署虛擬機器的主機群組,以及存放使用之 ISO 映像的程式庫路徑。

如果您沿用 VMM 2007 的虛擬機器自助,則可以在升級為 VMM 2008 時自動將現有的自助原則轉換為使用者角色,同時保留主機群組的管理結構。在使用者角色與自助原則中,許多自助功能的實作方式都有些許不同。如需詳細的的比較,請參閱自助使用者角色與自助原則的比較

Important重要事項
在管理 Hyper-V 主機時,VMM 會使用自助使用者設定檔中的權限來授權虛擬機器上的作業,而不是在 Hyper-V 中設定的角色存取控制。如需詳細資訊,請參閱強化受 VMM 管理的虛擬機器主機

下表說明自助使用者角色的功能。如需建立自助使用者角色的詳細資訊,請參閱如何建立自助使用者角色 (http://go.microsoft.com/fwlink/?LinkId=162946)。

 

設定 說明

設定檔

自助使用者角色可針對成員擁有的虛擬機器,授與下列任一或所有作業的執行權限:

  • 建立。

  • 啟動。

  • 停止。

  • 暫停和繼續。

  • 檢查點 — 建立及移除檢查點。將虛擬機器還原至先前的檢查點。

  • 移除。

  • 本機系統管理員 — 在建立虛擬機器時設定本機系統管理員密碼,讓使用者成為虛擬機器的系統管理員。如果您不允許此作業,則 VMM 會採用 SysPrep 回應檔案中的認證,而不會在虛擬機器建立期間提示認證。

  • 遠端連線。

  • 存放至程式庫 — 允許使用者將未使用的虛擬機器存放在 VMM 程式庫中。存放在程式庫中的虛擬機器不算在虛擬機器配額內。

範圍

n 個主機群組 — 自助使用者的虛擬機器會根據虛擬機器的需求與組織的放置喜好設定,自動部署在指派之主機群組中最合適的主機上。這對使用者來說是透明的,他們無法得知虛擬機器的部署位置。

1 個程式庫路徑 — 指派給自助使用者角色的程式庫路徑有下列用途:

  • 使角色成員能在虛擬機器建立期間使用 ISO 映像。

  • 使具有必要權限的角色成員能將虛擬機器存放在程式庫中選擇的位置。

自助使用者可讀取虛擬機器建立期間使用的虛擬硬碟與 ISO 映像檔,不過他們不知道檔案的位置。

用戶端存取

VMM 系統管理員主控台:無

Windows PowerShell – VMM 命令殼層:有 (自助使用者的角色範圍內)

VMM 自助入口網站:有

note附註
若要存取 VMM 自助入口網站,必須將系統管理員新增至自助使用者角色。

存取虛擬機器資源

自助使用者需使用 VMM 系統管理員指派給角色的範本來建立虛擬機器。若要讓自助使用者在虛擬機器的建立期間使用 ISO 映像,您必須將映像檔存放在使用者角色中指定的程式庫路徑。

自助使用者只能透過自助入口網站使用這些資源。除非系統管理員透過檔案系統授與權限,否則他們不會有這些檔案的其他存取權。

基於額外的安全性措施,自助使用者無法得知虛擬機器部署的主機、虛擬機器組態檔的位置、存放使用之 ISO 映像的程式庫路徑,以及存放的虛擬機器。

設定使用者虛擬機器的配額

若要限制自助使用者角色成員一次可部署的虛擬機器數目,您可以為自助使用者角色設定配額。

「虛擬機器配額」只是一個指派給自助使用者角色的值,用來限制角色成員每次所能部署的虛擬機器數目。配額可套用在所有角色成員部署的所有虛擬機器上,或分別套用在每位角色成員部署的虛擬機器上。

由於虛擬機器在主機上耗用的資源不盡相同,因此 VMM 允許系統管理員依據每部虛擬機器的需求,指派特定數量的配額計點給每個虛擬機器範本,而不是每部虛擬機器配㱮㜀䘀㸀一個配額計點。在部署以範本為根據的虛擬機器時,不論虛擬機器是否為執行狀態,都會根據配額套用計點,不過將虛擬機器存放在程式庫時便不會套用。

虛擬機器的所有權

在虛擬機器自助中,虛擬機器具有一位擁有者 (預設為建立虛擬機器的使用者) 以及一個自助使用者角色 (預設為建立虛擬機器的自助使用者角色)。

在 VMM 自助入口網站中,虛擬機器的擁有者是唯一一位可在虛擬機器上查看及執行作業的人員。

自助使用者可將自己虛擬機器的擁有者變更為自助使用者角色的其他任何成員。

如果擁有者同時為多個自助使用者角色的成員,則在符合下列需求的前提下,使用者可將虛擬機器的擁有者變更為該使用者其他角色的任何成員:

  • 目前的擁有者必須屬於即將指派之自助使用者角色。

  • 虛擬機器必須位於該使用者角色的範圍 (主機或程式庫路徑) 內。

共用虛擬機器

若要讓使用者共用虛擬機器,請使用安全性群組將使用者新增至自助使用者角色,然後再將該群組指定成您想讓群組成員共用之虛擬機器的擁有者。當群組成員建立虛擬機器時,預設的擁有者是該人員的使用者帳戶。不過,使用者可以將所有權重新指派給群組。如果虛擬機器配額套用在個別使用者,指派給群組擁有之虛擬機器的配額計點會套用在所有群組成員的個別配額。

管理虛擬機器自助

若要存取 VMM 自助入口網站,VMM 系統管理員必須是自助使用者角色的成員。當然,VMM 系統管理員能在 VMM 系統管理員主控台與 Windows PowerShell – VMM 中,在角色範圍內的虛擬機器上執行所有作業。

另請參閱

 
顯示: