Esse artigo foi originalmente escrito em:  http://social.technet.microsoft.com/wiki/contents/articles/hyper-v-delegate-access-control-and-management.aspx 

Conceito e procedimento

Quando implementamos um ambiente virtualizado utilizando o Hyper-V é necessário controlarmos o acesso dos grupos de usuário às máquinas virtuais (VMs) como administradores, Help Desk, Desenvolvedores, enfim, cada um com seu acesso específico. Por exemplo, um deve ter controle total, outro grupo não pode desligar ou criar novas VMs e outro sem o acesso de tirar o snapshot. Pra quem trabalha em ambientes grandes com vários níveis administrativos é super importante a delegação da administração para que não aconteça nenhum imprevisto ou até mesmo um acesso indevido.

Authorization Manager (azman)

Antes de começarmos o procedimento é importante sabermos que o serviço do Hyper-V é controlado com oAuthorization Manager, onde é possível conceder permissionamento através de Access Control Lists (ACL). Da mesma forma que você controla o acesso à uma pasta ou um arquivo com permissões, o Azman controla o acesso à aplicações ou serviços. Neste caso o Hyper-V.

Para abrir o azman, faça logon como administrador no servidor do Hyper-V e execute no menu iniciar o comando azman.msc. Depois disso, clique com o botão direito do mouse em Authorization Manager e logo após em Open Authorization Store. Digite o caminho C:\ProgramDataMicrosoftWindowsHyper-VInitialStore.xml, conforme a figura 1.

azman1

Figura 1 – Abrindo o Authorization Manager para gerenciar as permissões no Hyper-V

Expanda Hyper-V services e clique em Definitions.

Role Definitions são usadas para criar grupos de controle de acesso ao Hyper-V;

Task Definitions são usadas para centralizar as definições de permissões das VMs como desligar, vizualizar, controlar, etc.

Neste cenário de exemplo teremos três grupos que serão definidos em Role DefinitionsAdministradores (já existente por padrão), Desenvolvedores Help Desk. Para criá-los clique com o botão direito em Role Definitionse depois em New Role Definition. Os grupos serão listados à direita da tela, conforme figura 2:

azman2

Figura 2 – Roles Definitions criadas

A seguir criaremos 3 Task Definitions para facilitar a administração do acesso aos grupos com os nomes Full ControlAdvanced Access Control e Read-Only Access Control. Para criá-los, clique com o botão direito em Task Definitions e depois em New Task Definitions. Você verá mais a frente que não é necessário a criação dessas definições de tarefas, mas ajudará muito na facilitação na hora de alterar o controle de acesso a qualquer grupo.

azman3

Figura 3 – Lista das Task Definitions

No próximo passo daremos o acesso de cada Task Definitions clicando com o botão direito e depois em Properties na tarefa que você deseja controlar, depois selecione a guia Definitions, clique em Add e depois em Operations. Será exibida uma janela com todos os direitos de acesso do serviço do Hyper-V. Na figura 4 foi concedida todas as permissões à Task Definitions Full Control.

azman4

Figura 4 – Definições de acesso do Hyper-V.

Já a Task Advanced Access Control foram concedidas algumas definições para acesso com certas restrições como não criar máquinas virtuais, não alterar o escopo de autorização, etc. Ao grupo Read-Only Access Control foi dado somente as definições de visualização e de conexão às VMs, sem acesso de tirar Snapshots, criações, deleções, etc.

azman5

Figura 5 – Definições de Advanced Access Control

Agora, voltando em Role Definitions, clique com o botão direito no grupo específico e clique em Properties. Clique na guia Definition e depois em Add. Na guia Task, escolha a Task Definitions adequada ao grupo selecionado e depois clique em OK. Perceba pela figura 6, onde é dada a permissão de Advanced Access Control ao grupoDelevopers, que é possível adicionarmos as definições de acesso direto ao grupo sem uma Task Definitionsporém, ao usar uma Task para vários grupos ficará mais fácil na hora de alterar todos ao mesmo tempo. Depois disso o grupo terá o acesso de acordo com sua Task Definition.

azman6

Figura 6 – Controle de acesso Advanced Access Control ao grupo Delevopers

Para finalizar o processo de permissão é preciso adicionar o grupo local ou do Active Directory às Roles Definitions que foram criadas. Para isso clique com o botão direito em Role Assignments e depois em New Roles Assignments. Selecione as Roles Definitions e clique em Ok. Elas serão exibidas, como mostra a figura 7.

azman7

Figura 7 – Role Assignments adicionadas

Logo após clique no grupo e depois em Assign Users and Groups e clique em From Windows and Active Directory. Selecione o grupo e clique em OK. Ele será exibido na tela à direita do Authorization Manager, como exibido na figura 8.

azman8

Figura 8 – Grupo adicionado na Role Definition

Pronto, agora é só adicionar os usuários aos grupos e já estará funcionando.

Lembrando que este procedimento também pode ser usado no Windows Server 2008, mas sem a definição de Snapshots, que é novidade do Windows Server 2008 R2.

Este artigo também está disponível nos seguintes idiomas:


Leandro Carvalho 
MCSA+S+M| MCSE+S | MCTS | MCITP | MCBMSS | MCT | MVP Virtual Machine 
MSVirtualization | BetterTogether | LinhadeCodigo | MVP Profile
TwitterLeandroEduardo | LinkedInLeandroesc