Abner Kou原创
转载请注明出处 http://abner.cublog.cn http://abner.blog.51cto.com
SCVMM 2008的角色管理方案
一:问题描述:
在Hyper-v上安装SCVMM2008 R2,后续添加VMware的VICenterr,使得管理虚拟机变得非常方便,但是,由于Windows 2008只支持单用户的远程桌面,这样,同时只有一个用户可以连接并操作SCVMM,多人不能同时管理虚拟机,造成了一定不变。而且默认的管理权限是管理员,不能进行有效的授权控制,造成一定安全隐患。
二:需求描述:
1:实现多人同时通过SCVMM管理虚拟机
2:对不同操作人员进行不同级别的操作授权,即可保证分支机构对虚拟机操作的需求,又力求安全
三:方案描述:
(一)安装SCVMM Admin Console
1:在其他符合SCVMM安装条件的服务器上安装SCVMM管理端,实现多人同时管理虚拟架构中的虚拟机
2:配置SCVMM的管理授权,添加不同的管理员角色,实现委派控制和自主服务管理。用户角色的配置文件决定了用户可以执行的操作。用户角色的范围决定了用户可以管理的对象。有以下三种用户角色
管理员
可以在 VMM 管理员控制台中执行所有操作。该用户角色的成员可以新建委派的管理员和自助服务用户角色。只有管理员用户角色的成员能够添加其他成员。
注:管理员用户角色是在安装 VMM 时创建的。默认情况下,会将执行 VMM 安装的用户添加到管理员用户角色。
委派管理员
可以在 VMM 管理员控制台中执行大部分操作,但仅能在该角色所定义的范围中执行操作。该用户角色的成员可以新建委派的管理员和自助服务用户角色。
自主服务
以使用自助服务控制台在该用户角色中定义的虚拟机上执行任务。该用户角色的成员不能创建新的用户角色。
方案实施:
1:双击SCVMM 2008 R2的安装文件Setup.exe。选择VMM Administrator Console
SCVMM 2008的角色管理方案_第1张图片
2:同意许可协议
3:默认选择检查SCVMM的更新
4:通过安装前的必要条件检查(需要PowerShell1.0和.net2.0支持)
SCVMM 2008的角色管理方案_第2张图片
5:选择安装路径
SCVMM 2008的角色管理方案_第3张图片
6:选定默认的与VMM Server连接的端口
SCVMM 2008的角色管理方案_第4张图片
7:点击Install开始安装
SCVMM 2008的角色管理方案_第5张图片
8:安装完成,点击Close
SCVMM 2008的角色管理方案_第6张图片
9:双击桌面SCVMM Admin Console快捷图标,将localhost改成SCVMM Server的地址:192.168.40.70或者填入机器名
SCVMM 2008的角色管理方案_第7张图片
由于我是在同一个域中登陆的服务器,而其使用同一个管理员账户,所以未经验证即可连接到VMM Server
SCVMM 2008的角色管理方案_第8张图片
二:配置VMM的管理员角色
1:在AD中创建两个账户vmadmin(用于VMM的自主服务账户)、Hyadmin(用于VMM的委派管理员账户)
2:打开VMM,在左下方的选择Administration标签
SCVMM 2008的角色管理方案_第9张图片
3:选中User Roles,单击右侧Actions标签中的New user role
填入角色名称-描述-类型。此处类型选定为Self-Service User
SCVMM 2008的角色管理方案_第10张图片
注:按同样的方法添加委派管理员账户hyadmin
SCVMM 2008的角色管理方案_第11张图片
4:点击添加按钮,在AD中添加事先建立好的vmadmin用户
SCVMM 2008的角色管理方案_第12张图片
5:选定Vmadmin账户所管理的范围,比如只添加Hyper-v集群给vmadmin账户
SCVMM 2008的角色管理方案_第13张图片
6:选定vmadmin账户可以执行的操作。比如为保证安全,去除删除VM和管理还原点的权限
SCVMM 2008的角色管理方案_第14张图片
7:设定vmadmin是否可以创建虚拟机、也已从那个模板创建、一次创建VM的数量
SCVMM 2008的角色管理方案_第15张图片
8:设定是否允许vmadmin存放虚拟机到资源库。此处并不分配保存虚拟机到资源库的权限,这个任务可以由总部的管理员操作
SCVMM 2008的角色管理方案_第16张图片
9:最后点击Creat,完成创建vmadmin账户
SCVMM 2008的角色管理方案_第17张图片
三:使用委派管理员账户hyadmin登陆,通过VMM的管理控制台对SCVMM中的虚拟机进行的管理
1:使用hyadmin账户登录系统,打开SCVMM admin Console管理端
2:输入SCVMM Server地址,点击连接
SCVMM 2008的角色管理方案_第18张图片
3:进入VMM管理窗口,进行虚拟机的管理
SCVMM 2008的角色管理方案_第19张图片
注:这种委派管理员对于虚拟机的权限和域管理员登陆没有太大差别,但是它一个最大好处是,委派管理员hyadmin只是一个普通域成员(Domain User),并不是域管理管理员,将此账号分配给分支机构,可以一定程度保证安全
四:使用自助服务账户vmadmin,在自助服务门户上登录,进行虚拟机管理
关于自助服务门户可以参看我的另一篇文章SCVMM 的自助服务门户
1:使用任意账户登录域内任意系统
2:打开IE浏览器,输入自助服务门户的地址 http://192.168.40.71:8080/
SCVMM 2008的角色管理方案_第20张图片
3:输入自助服务账户elab\vmadmin和密码,点击登陆
SCVMM 2008的角色管理方案_第21张图片
注:对于自助服务账户,只能在WEB上登录,并不能像委派管理员那样在VMM Console上登录。它的好处就是,可以开放虚拟资源,让用户使用资源库内的资源自由创建(创建虚拟机的数量受到管理员限制)虚拟机。达到一个开放资源,开放实验效果。
预告一下:下一篇文章我将写一下关于Hyper-V资源库的东西,敬请关注本博客