HyperV/VMM 文件夹和 VM 级别的权限?

HyperV/VMM 文件夹和 VM 级别的权限?

使用 VMWare 和 vCenter,我习惯以文件系统方式创建文件夹,以将权限委托给组织内的用户。例如,我可以创建一个名为 QA 的文件夹,将所有 QA VM 放在该文件夹中,并允许 QA Active Directory 组仅对此 VM 具有控制台访问权限(无法更改)。我现在正在使用 VMM 2008 R2 评估 HyperV R2,但我找不到任何此类功能。我找到了“用户角色”,但这似乎更像是主机级解决方案,而不是 VM 或文件夹级解决方案。HyperV/VMM 中是否存在此类功能?

答案1

在 Hyper-V 中,您通常将所有 VHD 文件保存在一个普通用户无权访问的中央文件夹中。这是保护系统的另一种方式;将主机与用户完全分离。因此,创建和修改虚拟机的用户必须对主机具有某种管理访问权限,并且该访问权限要么覆盖整个机器(IT 类员工很常见),要么通过 VMM 中的角色(通​​过 SSP 或管理委派)访问。

示例配置可能是您有用于测试的 QA VM。QA 用户需要能够基于简单的基础服务器创建新的 VM,进行测试,然后保存机器以进行更广泛的测试或清理它。

您为 QA 组创建一个角色,使其成为 SSP 用户角色。然后创建一个 VM 模板,基本上是一个 syspreped VM,可以通过克隆现有 VM 并从克隆中创建模板(模板化过程会破坏源 VM)来创建。然后,您将模板分配给 QA 组。QA 用户现在可以基于此模板创建 VM,新 VM 将属于 QA,并且 QA 用户将被允许完全访问它们(或有限访问,取决于您设置的 SSP 用户角色中的设置)。

您还可以将现有虚拟机的所有权分配给该用户组,然后该用户组可以通过 SSP 访问虚拟机(同样受授予该组访问权限的用户角色所施加的限制)。

在此示例中,QA 用户不需要 VHD 文件的权限、主机的权限,并且仅需要 AD 和 VMM 中的有限权限。这不允许他们使用 VMM 管理控制台,但这是针对管理员而非用户的。

或者,您可以将某些机器的管理控制权委托给特定用户。如果有一个 QA 测试主机,并且它们不会在“主”集群上运行其虚拟机;您可以将该主机的管理控制权(通过主机组)委托给 QA 用户。这将允许 QA 组的用户使用 VMM 管理控制台并对该特定主机组拥有完全的管理控制权。同样的委托可以应用于库,从而允许将 QA 库与“主”库分开。

我确信,对于那些没有广泛使用过它的人来说,这一切都一清二楚;您可以随意提问,以帮助澄清这一点。
(全面披露:我在 MS 金牌合作伙伴工作,我们构建了这类系统)

相关内容