Delegando o controle e o gerenciamento de acesso no Hyper-V

Aplica-se

  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Datacenter
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Datacenter

Visão Geral

Delegando o controle e o gerenciamento de acesso no Hyper-V

Conceito e procedimento

Quando implementamos um ambiente virtualizado utilizando o Hyper-V é necessário controlarmos o acesso dos grupos de usuário às máquinas virtuais (VMs) como administradores, Help Desk, Desenvolvedores, enfim, cada um com seu acesso específico. Por exemplo, um deve ter controle total, outro grupo não pode desligar ou criar novas VMs e outro sem o acesso de tirar o snapshot. Pra quem trabalha em ambientes grandes com vários níveis administrativos é super importante a delegação da administração para que não aconteça nenhum imprevisto ou até mesmo um acesso indevido.

Authorization Manager (azman)

Antes de começarmos o procedimento é importante sabermos que o serviço do Hyper-V é controlado com o Authorization Manager, onde é possível conceder permissionamento através de Access Control Lists (ACL). Da mesma forma que você controla o acesso à uma pasta ou um arquivo com permissões, o Azman controla o acesso à aplicações ou serviços. Neste caso o Hyper-V.

Para abrir o azman, faça logon como administrador no servidor do Hyper-V e execute no menu iniciar o comando azman.msc. Depois disso, clique com o botão direito do mouse em Authorization Manager e logo após em Open Authorization Store. Digite o caminho C:ProgramDataMicrosoftWindowsHyper-VInitialStore.xml, conforme a figura 1.

azman1

Figura 1 – Abrindo o Authorization Manager para gerenciar as permissões no Hyper-V

Expanda Hyper-V services e clique em Definitions.

Role Definitions são usadas para criar grupos de controle de acesso ao Hyper-V;

Task Definitions são usadas para centralizar as definições de permissões das VMs como desligar, vizualizar, controlar, etc.

Neste cenário de exemplo teremos três grupos que serão definidos em Role Definitions: Administradores (já existente por padrão), Desenvolvedores e Help Desk. Para criá-los clique com o botão direito em Role Definitions e depois em New Role Definition. Os grupos serão listados à direita da tela, conforme figura 2:

azman2

Figura 2 – Roles Definitions criadas

A seguir criaremos 3 Task Definitions para facilitar a administração do acesso aos grupos com os nomes Full Control, Advanced Access Control e Read-Only Access Control. Para criá-los, clique com o botão direito em Task Definitions e depois em New Task Definitions. Você verá mais a frente que não é necessário a criação dessas definições de tarefas, mas ajudará muito na facilitação na hora de alterar o controle de acesso a qualquer grupo.

azman3

Figura 3 – Lista das Task Definitions

No próximo passo daremos o acesso de cada Task Definitions clicando com o botão direito e depois em Properties na tarefa que você deseja controlar, depois selecione a guia Definitions, clique em Add e depois em Operations. Será exibida uma janela com todos os direitos de acesso do serviço do Hyper-V. Na figura 4 foi concedida todas as permissões à Task Definitions Full Control.

azman4

Figura 4 – Definições de acesso do Hyper-V.

Já a Task Advanced Access Control foram concedidas algumas definições para acesso com certas restrições como não criar máquinas virtuais, não alterar o escopo de autorização, etc. Ao grupo Read-Only Access Control foi dado somente as definições de visualização e de conexão às VMs, sem acesso de tirar Snapshots, criações, deleções, etc.

azman5

Figura 5 – Definições de Advanced Access Control

Agora, voltando em Role Definitions, clique com o botão direito no grupo específico e clique em Properties. Clique na guia Definition e depois em Add. Na guia Task, escolha a Task Definitions adequada ao grupo selecionado e depois clique em OK. Perceba pela figura 6, onde é dada a permissão de Advanced Access Control ao grupo Delevopers, que é possível adicionarmos as definições de acesso direto ao grupo sem uma Task Definitions porém, ao usar uma Task para vários grupos ficará mais fácil na hora de alterar todos ao mesmo tempo. Depois disso o grupo terá o acesso de acordo com sua Task Definition.

azman6

Figura 6 – Controle de acesso Advanced Access Control ao grupo Delevopers

Para finalizar o processo de permissão é preciso adicionar o grupo local ou do Active Directory às Roles Definitions que foram criadas. Para isso clique com o botão direito em Role Assignments e depois em New Roles Assignments. Selecione as Roles Definitions e clique em Ok. Elas serão exibidas, como mostra a figura 7.

azman7

Figura 7 – Role Assignments adicionadas

Logo após clique no grupo e depois em Assign Users and Groups e clique em From Windows and Active Directory. Selecione o grupo e clique em OK. Ele será exibido na tela à direita do Authorization Manager, como exibido na figura 8.

azman8

Figura 8 – Grupo adicionado na Role Definition

Pronto, agora é só adicionar os usuários aos grupos e já estará funcionando.

Lembrando que este procedimento também pode ser usado no Windows Server 2008, mas sem a definição de Snapshots, que é novidade do Windows Server 2008 R2.

Leandro Carvalho.

About these ads

About leandroesc
Leandro Carvalho works as product specialist with Microsoft solutions such as Windows Server, Hyper-V, App-V, VDI, Security, System Center, Exchange, Lync Server, Sharepoint, Project Server and client systems, in addition to helping the community constantly with articles, forums, videos and lectures about his passion: Microsoft Virtualization. He obtained the certifications Certified Ethical Hacker/MCP/MCSA+M+S/MCSE+S/MCTS/MCITP/MCT and MVP. In 2009 he won the MCT Awards Latin America Trainer of the year and since 2009 the Microsoft MVP as a Virtualization Specialist.

3 Responses to Delegando o controle e o gerenciamento de acesso no Hyper-V

  1. jcmijan says:

    Thank you guy!
    this article helped so much!.

  2. Ashli says:

    I am truly grateful to the owner of this web site who has shared this fantastic paragraph at at this place.

  3. Hi my loved one! I want to say that this post is amazing, nice written and come with almost all significant infos.

    I’d like to see extra posts like this .

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

Follow

Get every new post delivered to your Inbox.

Join 39 other followers

%d bloggers like this: