Delegando acesso para usuários no Hyper-V

É possível delegar funções para usuários administrarem o ambiente de virtualização com o Hyper-V. A maneira mais fácil é usando o System Center Virtual Machine Manager junto com o System Center App Controller. Caso não exista um gerenciamento do ambiente com a família System Center é possível fazer isso individualmente para os servidores.

Vamos supor o caso de um integrante do time de TI que terá a função de acessar o servidor que contém a role do Hyper-V, remotamente, e fazer um gerenciamento de algumas funções das VMs. Essas funções seriam iniciar, desligar, pausar e reiniciar as VMs e ver as configurações atuais da VM. Além disso o usuário poderia acessar a VM, caso tenha permissão para isso.

Inicialmente se um usuário sem permissões de administrador acessar remotamente um servidor com Hyper-V e abrir a console ele terá a imagem a seguir:0601

Essa mensagem quer dizer que o usuário não tem permissão para se conectar no serviço.
Para resolver essa situação é muito simples e será utilizado o Authorization Manager (AzMan) – em português Gerenciador de Autorização.
Para abrir o AzMan basta digitar, no prompt de comando, azman.msc:0602AzMan é um framework de controle de acesso baseado em regras – role-based access control o famoso RBAC. Ele serve para delegar acesso a diversos recursos em diversos níveis além do Hyper-V.

Uma vez aberto teremos a seguinte tela:0603

Para abrir a parte do Hyper-V deve-se ir em Action e Open Authorization Store…:0604

Vai ser questionado o tipo e caminho do Autorization Store. Selecionar XML file e em Store name colocar: %programdata%\Microsoft\Windows\Hyper-V\Initialstore.xml e clicar em OK:0605

Após isso será aberta a seguinte tela:0606

Nesse momento, dentro de Definitions temos a Role Definitions. É possível observar que existe apenas uma regra criada, que é justamente a que libera acesso completo ao Hyper-V, ou seja, uma role de Administrador. Para criar a role para o caso acima é preciso clicar com o botão direito em Role Definitions e selecionar New Role Definition…

Então será questionado o nome da Role. Nesse caso será chamada de Role 01. Na descrição é interessante colocar as informações sobre a regra. Para essa regra está dito que ela vai permitir que o usuário (que posteriormente será associado a ela) terá permissões de desligar e ligar a VM. Não está explícito na descrição, mas faremos com que o usuário possa pausar e reiniciar a VM. Depois de colocada a descrição deve-se ir em Add… para adicionar as definições da regra:0607

Após clicar em Add… é preciso ir em Operations e especificar as operações habilitadas:06080609

Para este caso teremos as seguintes operações:0610

Detalhando um pouco melhor o que cada uma das sete Definições habilita ao usuário:

  • Allow Input to Virtual Machine – Esse comando vai permitir que o usuário possa fazer as ações sobre a VM, como por exemplo enviar o comando de Ctrl+Alt+Del;
  • Allow Output from Virtual Machine – Esse comando é o que vai habilitar o usuário a ver a tela da VM;
  • Pause and Restart Virtual Machine – Comando que habilita o usuário a dar os comandos de pause e reinicio para a VM;
  • Read Service Configuration – É a definição que habilita o usuário a se conectar ao serviço do Hyper-V;
  • Start Virtual Machine – Comando que habilita o usuário a iniciar uma VM;
  • Stop Virtual Machine – Comando que habilita o usuário a desligar uma VM;
  • View Virtual Machine Configuration – Permite ao usuário ver as configurações da VM.

Algumas considerações:
Na opção para ver as configurações da VM o usuário não conseguirá ver alguns detalhes como o Switch Virtual Associado, isso deve ser habilitado como outra definição.
Muitas definições dependem de outras. Exemplo: O start VM não funciona se o Allow Input to Virtual Machine e ainda é preciso do Allow Output from VM para se poder ver o resultado na tela.
No link abaixo existe um detalhamento sobre os operadores a serem liberados em cada necessidade:
http://technet.microsoft.com/en-us/library/dd282980(v=ws.10).aspx

Finalmente será preciso associar o usuário a esta regra criada. Para isso é preciso ir em Role Assignments clicar com o botão direito e selecionar New Role Assignment…0611

Feito isso deve ser selecionado o nome da regra criada:0612

Após basta clicar com o botão direito no nome da regra em Role Assignments, escolher Assign Users and Groups e escolher From Windows and Active Directory. Feito isso basta escolher o usuário ou grupo.0613

Neste momento o usuário possui acesso ao Hyper-V para as tarefas deste caso. Se o usuário estiver logado no servidor não precisa efetuar um logoff, basta dar um refresh no Hyper-V Manager.

Até a próxima!!

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google

Você está comentando utilizando sua conta Google. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s