none
SCVMM 2008 + Authorization Manager RRS feed

  • Вопрос

  • Добрый день уважаемые коллеги!
    Опишу проблему.
    Было:
    2 сервера на каждом Win2008 SP2 Hyper-V c гостевыми машинами. Доступ к гостевым машинам был настроен через Authorization Manager. Тоесть была группа "Администраторы" с пользователями из домена которым
    разрешалось всё и группа "пользователи" которые только могли вкл/выкл вируальные ОС. И так было настроено
    на каждом сервере по отдельности.
    Стало:
    Установил на сервер "1" SCVMM 2008, добавил в через "SCVMM Admin Console" мои два хоста сервер "1" и "2".
    Они подключились и на них видны всё гостевые ОС. Делал всё от Администратора Домена.
    Проблема:
    На сервере "1" с установленным SCVMM 2008 нет никаких изменений в доступе, всё так же действуют группы
    "Администраторы" и "пользователи" настроенные через Authorization Manager.
    Но вот на сервере "2" настройки сделанные через azman.msc перестали выполняться!!!
    При подключиении к серверу любого аккаунта из группы "пользователи" и открытии оснастки Hyper-V
    появляется следующее: "Connecting to Virtual Machine Manager services..." и потом
    "You dont have the required permission to complete this task..."!!!
    Тоесть с установкой SCVMM 2008 локальная конфигурация доступа через Authorization Manager перестала действовать.
    Только пользователи домена которые были в локальной группе администраторов сохранили возможность доступа
    к гостевым ОС Hyper-V
    Если кто то может помочь советом, как настроить авторизацию для доступа к гостевым ОС..
    Буду очень признателен!!
    Спасибо!
    16 ноября 2009 г. 17:46

Ответы

  • Посмотрите статью:
    http://technet.microsoft.com/en-us/library/dd548285.aspx
    "When a Hyper-V host is added to VMM, VMM applies its own authorization layer, defined by the VMM user roles, to determine the actions that VMM administrators and self-service users can perform on the Hyper-V virtual machines while working in VMM. To do this, VMM creates its own AZMan authorization store on the host computer. In VMM 2008 R2, the method for implementing user roles in AZMan was changed to preserve role definitions and role memberships in the root scope of the Hyper-V authorization store while VMM is managing a Hyper-V host. In VMM 2008, the Hyper-V roles are not used while a host is managed by VMM."
    Попробуйте обновиться до SCVMM R2 перед добавлением хоста в общую базу.
    • Помечено в качестве ответа serjsk8 19 ноября 2009 г. 8:48
    16 ноября 2009 г. 18:48
  • Установите пользователям консоль администрирования SCVMM - пусть пользуются ей, раздайте права через User role и попробуйте эту схему. В моем случае девелоперы именно так управляют выделенным им сервером виртуализации.
    • Помечено в качестве ответа serjsk8 19 ноября 2009 г. 8:50
    18 ноября 2009 г. 11:17
    Модератор

Все ответы

  • Посмотрите статью:
    http://technet.microsoft.com/en-us/library/dd548285.aspx
    "When a Hyper-V host is added to VMM, VMM applies its own authorization layer, defined by the VMM user roles, to determine the actions that VMM administrators and self-service users can perform on the Hyper-V virtual machines while working in VMM. To do this, VMM creates its own AZMan authorization store on the host computer. In VMM 2008 R2, the method for implementing user roles in AZMan was changed to preserve role definitions and role memberships in the root scope of the Hyper-V authorization store while VMM is managing a Hyper-V host. In VMM 2008, the Hyper-V roles are not used while a host is managed by VMM."
    Попробуйте обновиться до SCVMM R2 перед добавлением хоста в общую базу.
    • Помечено в качестве ответа serjsk8 19 ноября 2009 г. 8:48
    16 ноября 2009 г. 18:48
  • Если Вам необходимо нарезать права на управление виртуальными машинами - можете воспользоваться либо Self-service Portal, либо делегировать определенной группе пользователей права на группу хостов (ее необходимо будет создать) с помощью закладки SCVMM Administration-Users Role-New user role: там будет предложено выбрать пользователей/группу пользователей, управляемые хосты и библиотеки, права доступа пользователей (self-service user role/delegated administrator).
    16 ноября 2009 г. 19:19
    Модератор
  • Спасибо большое за ответы!

    Denis Dyagilev. Пробывал раздавать прова через "SCVMM Administration-Users" но эти изменения влияли только на хост "1" где установлен VMM. На хосте "2" установлен только агент. Self-service Portal я не устанавливал.
    Видимо я то то не так делаю?

    Dmitry Rudykh Обновился до SCVMM R2. Спасибо за ссылку!
    Нашёл следующее:
    Authorization for Hyper-V Virtual Machines in VMM 2008 R2

    VMM 2008 R2 preserves changes to role definitions and role memberships in the root scope of the Hyper-V authorization store. The VMM agent overwrites all changes to other scopes. As a result, while a Hyper-V host is managed by VMM 2008 R2, access is determined by the union of all roles in the root scope plus the VMM role assigned to each virtual machine’s scope.

    VMM 2008 R2 makes the following changes to authorization stores during agent installation on a Hyper-V host:

    1. VMM creates its own AZman authorization store—HyperVAuthStore.xml, stored in the folder %ProgramData%\Microsoft Virtual Machine Manager—which will store the roles and memberships that are used to authorize virtual machine access and management through VMM.
    2. VMM updates the registry entry HKLM\Software\Microsoft\Windows NT\CurrentVersion\Virtualization on the Hyper-V host to point Hyper-V to the VMM authorization store.
    3. VMM imports any user roles and role memberships in the root scope of Hyper-V’s initialstore.xml authorization store into the VMM authorization store.
    Раньше я на каждом хосте через AZman подключался к C:\ProgramData\Microsoft\Windows\Hyper-V\InitialStore.xml и в нём правил разрешения.
    Теперь с установкой VMM у меня появился C:\ProgramData\Microsoft\Virtual Machine Manager\HyperVAuthStore.xml и я попробывал добавить моих пользователей в этот файл. Теперь всё работает как прежде!!!!

    Но мне кажется это немного странным! По логике изменения сделанные через SCVMM Administration-Users должны влиять на все хосты!
    Или я должен продолжать менять доступ через AZman на каждом хосте по отдельности?
    17 ноября 2009 г. 10:23
  • Вы права делегировалина какие хосты? На оба? Хосты находятся у вас в All hosts?

    17 ноября 2009 г. 10:31
    Модератор
  • У меня есть:

    All Hosts
       |___KB
           |__Server 1
          |__Server 2

    Оба хоста находятся в "КВ" и делегировал на только на "КВ".

    После делегирования прав изменения должны появиться в C:\ProgramData\Microsoft\Virtual Machine Manager\HyperVAuthStore.xml ?
    17 ноября 2009 г. 11:08
  • Скорей всего да. В той же статье:
    "After VMM agent installation, the VMM user role refresher overwrites any changes to scopes other than the root scope every half hour. However, VMM preserves any role definitions and memberships that subsequently are added to the root scope."
    17 ноября 2009 г. 11:31
  • Может я не правильно понял концепцию!?
    После установки CSVMM 2008 я должен отказаться от оснастки Hyper-V и перейти на Self-service Portal или SCVMM Admin Console.
    Мои же пользователи продолжают использовать оснастку Hyper-v, заходят на сервер через RDP и используют останстку для включения/выключения своих гостевых ОС, и права розданы через AZman...

    18 ноября 2009 г. 10:34
  • Установите пользователям консоль администрирования SCVMM - пусть пользуются ей, раздайте права через User role и попробуйте эту схему. В моем случае девелоперы именно так управляют выделенным им сервером виртуализации.
    • Помечено в качестве ответа serjsk8 19 ноября 2009 г. 8:50
    18 ноября 2009 г. 11:17
    Модератор
  • Да я уже вчера так и сделал, установил консоль администрирования SCVMM... у меня виртуальными машинами пользуется отдел тестирования ПО.
    Как я понял Self-service Portal не устанавливается на ХР, по крайней мере у меня. пробывал поставить на ХР sp3 и не установилось.
    18 ноября 2009 г. 16:14
  • Я хочу узнать. есть 3 поля в
    User role
    Администраторы
    Делегирование
    Self-service

    У виртуальных машин можно указывать владельца, тогда если web можно ими управлять если ты входишь в группу Self-service то ты их видишь, но какие нужны права чтобы назначить владельца? достаточно чтобы входить в группу Делегирования данного сервера?
    18 ноября 2009 г. 18:10
  • У виртуальных машин можно указывать владельца, тогда если web можно ими управлять если ты входишь в группу Self-service то ты их видишь, но какие нужны права чтобы назначить владельца?

    Для смены владельца виртальной машины достаточно прав Delegated Administrator. В принципе, права этих пользователей фактически не отличаются от прав пользователей, входящих в группу Administrator, за исключением того делегированным пользователям можно "зарезать" те или иные действия.
    18 ноября 2009 г. 18:22
    Модератор
  • Да я уже вчера так и сделал, установил консоль администрирования SCVMM... у меня виртуальными машинами пользуется отдел тестирования ПО.
    Как я понял Self-service Portal не устанавливается на ХР, по крайней мере у меня. пробывал поставить на ХР sp3 и не установилось.

    Вам на клиентские рабочие станции нужно установить не Self-service Portal, а именно консоль администрирования. А она на XP SP2 уже ставится.
    18 ноября 2009 г. 18:27
    Модератор
  • Пытаюсь сделать так,
    Я вхожу в группу Делегирования.
    добавляю владельца, который входит только в группу Self-service (чтобы они через web могли управлять виртуальными машинами)
    а мне ошибка
    Error (11427)
    The ownership for this virtual machine cannot be changed because the new owner is not a member of a user role that has access to this virtual machine.  
    
    Recommended Action
    Either change the new owner to a user who has access to this virtual machine, or contact your Virtual Machine Manager administrator to request access for the user you want to own this virtual machine and then try the operation again.
    или владелец может быть, только из группы Делегирования? а на уровне Self-service ограничивать управление в web ?
    19 ноября 2009 г. 4:34
  • Да, Self-service - это управление через веб. Делегирование - нарезка прав на количество действий над виртуальными машинами.


    О делегировании прав и ролей - здесь.
    19 ноября 2009 г. 7:18
    Модератор
  • Вам на клиентские рабочие станции нужно установить не Self-service Portal, а именно консоль администрирования. А она на XP SP2 уже ставится.
    Ага именно так и поступил, поставил на рабочие станции "консоль администрирования"...

    Denis Dyagilev и Dmitry Rudykh Большое спасибо за помощь и информацию!!!!!
    19 ноября 2009 г. 8:47