SCVMM 2008的角色管理方案
2009-06-30 04:43:00 来源:WEB开发网一:问题描述:
在Hyper-v上安装SCVMM2008 R2,后续添加VMware的VICenterr,使得管理虚拟机变得非常方便,但是,由于Windows 2008只支持单用户的远程桌面,这样,同时只有一个用户可以连接并操作SCVMM,多人不能同时管理虚拟机,造成了一定不变。而且默认的管理权限是管理员,不能进行有效的授权控制,造成一定安全隐患。
二:需求描述:
1:实现多人同时通过SCVMM管理虚拟机
2:对不同操作人员进行不同级别的操作授权,即可保证分支机构对虚拟机操作的需求,又力求安全
三:方案描述:
(一)安装SCVMM Admin Console
1:在其他符合SCVMM安装条件的服务器上安装SCVMM管理端,实现多人同时管理虚拟架构中的虚拟机
2:配置SCVMM的管理授权,添加不同的管理员角色,实现委派控制和自主服务管理。用户角色的配置文件决定了用户可以执行的操作。用户角色的范围决定了用户可以管理的对象。有以下三种用户角色
管理员 | 可以在 VMM 管理员控制台中执行所有操作。该用户角色的成员可以新建委派的管理员和自助服务用户角色。只有管理员用户角色的成员能够添加其他成员。 |
注:管理员用户角色是在安装 VMM 时创建的。默认情况下,会将执行 VMM 安装的用户添加到管理员用户角色。 | |
委派管理员 | 可以在 VMM 管理员控制台中执行大部分操作,但仅能在该角色所定义的范围中执行操作。该用户角色的成员可以新建委派的管理员和自助服务用户角色。 |
自主服务 | 以使用自助服务控制台在该用户角色中定义的虚拟机上执行任务。该用户角色的成员不能创建新的用户角色。 |
方案实施:
一
1:双击SCVMM 2008 R2的安装文件Setup.exe。选择VMM Administrator Console
图片看不清楚?请点击这里查看原图(大图)。
2:同意许可协议
3:默认选择检查SCVMM的更新
4:通过安装前的必要条件检查(需要PowerShell1.0和.net2.0支持)
图片看不清楚?请点击这里查看原图(大图)。
5:选择安装路径
图片看不清楚?请点击这里查看原图(大图)。
6:选定默认的与VMM Server连接的端口
图片看不清楚?请点击这里查看原图(大图)。
7:点击Install开始安装
图片看不清楚?请点击这里查看原图(大图)。
8:安装完成,点击Close
图片看不清楚?请点击这里查看原图(大图)。
9:双击桌面SCVMM Admin Console快捷图标,将localhost改成SCVMM Server的地址:192.168.40.70或者填入机器名
由于我是在同一个域中登陆的服务器,而其使用同一个管理员账户,所以未经验证即可连接到VMM Server
图片看不清楚?请点击这里查看原图(大图)。
二:配置VMM的管理员角色
1:在AD中创建两个账户vmadmin(用于VMM的自主服务账户)、Hyadmin(用于VMM的委派管理员账户)
2:打开VMM,在左下方的选择Administration标签
图片看不清楚?请点击这里查看原图(大图)。
3:选中User Roles,单击右侧Actions标签中的New user role
填入角色名称-描述-类型。此处类型选定为Self-Service User
图片看不清楚?请点击这里查看原图(大图)。
注:按同样的方法添加委派管理员账户hyadmin
图片看不清楚?请点击这里查看原图(大图)。
4:点击添加按钮,在AD中添加事先建立好的vmadmin用户
图片看不清楚?请点击这里查看原图(大图)。
5:选定Vmadmin账户所管理的范围,比如只添加Hyper-v集群给vmadmin账户
图片看不清楚?请点击这里查看原图(大图)。
6:选定vmadmin账户可以执行的操作。比如为保证安全,去除删除VM和管理还原点的权限
图片看不清楚?请点击这里查看原图(大图)。
7:设定vmadmin是否可以创建虚拟机、也已从那个模板创建、一次创建VM的数量
图片看不清楚?请点击这里查看原图(大图)。
8:设定是否允许vmadmin存放虚拟机到资源库。此处并不分配保存虚拟机到资源库的权限,这个任务可以由总部的管理员操作
图片看不清楚?请点击这里查看原图(大图)。
9:最后点击Creat,完成创建vmadmin账户
图片看不清楚?请点击这里查看原图(大图)。
三:使用委派管理员账户hyadmin登陆,通过VMM的管理控制台对SCVMM中的虚拟机进行的管理
1:使用hyadmin账户登录系统,打开SCVMM admin Console管理端
2:输入SCVMM Server地址,点击连接
3:进入VMM管理窗口,进行虚拟机的管理
图片看不清楚?请点击这里查看原图(大图)。
注:这种委派管理员对于虚拟机的权限和域管理员登陆没有太大差别,但是它一个最大好处是,委派管理员hyadmin只是一个普通域成员(Domain User),并不是域管理管理员,将此账号分配给分支机构,可以一定程度保证安全
四:使用自助服务账户vmadmin,在自助服务门户上登录,进行虚拟机管理
关于自助服务门户可以参看我的另一篇文章《SCVMM的自助服务门户》
1:使用任意账户登录域内任意系统
2:打开IE浏览器,输入自助服务门户的地址http://192.168.40.71:8080/
图片看不清楚?请点击这里查看原图(大图)。
3:输入自助服务账户elabvmadmin和密码,点击登陆
图片看不清楚?请点击这里查看原图(大图)。
注:对于自助服务账户,只能在WEB上登录,并不能像委派管理员那样在VMM Console上登录。它的好处就是,可以开放虚拟资源,让用户使用资源库内的资源自由创建(创建虚拟机的数量受到管理员限制)虚拟机。达到一个开放资源,开放实验效果。
预告一下:下一篇文章我将写一下关于Hyper-V资源库的东西,敬请关注本博客
出处:http://abner.blog.51cto.com/667698/159662
- ››SCVMM2008实战之虚拟机安装
- ››管理私有云,第 2 部分: 使用 WebSphere CloudBur...
- ››管理 Eclipse 环境:Eclipse 维护的神秘艺术
- ››管理私有云:WebSphere CloudBurst Appliance 命令...
- ››管理启动项 - Windows 7中的BCDEDIT命令
- ››SCVMM –虚拟化管理,一切尽在掌握
- ››SCVMM中使用模板创建虚拟机
- ››SCVMM 2008 的P2V测试
- ››SCVMM的自助服务门户
- ››SCVMM 2008的角色管理方案
- ››管理Exchange 2003注意事项
- ››管理好超级管理员帐户堵住系统漏洞
更多精彩
赞助商链接