SCVMM 2008的角色管理方案

Abner Kou原創

轉載請註明出處 http://abner.cublog.cn http://abner.blog.51cto.com

SCVMM 2008的角色管理方案

一：問題描述：

在Hyper-v上安裝SCVMM2008 R2，後續添加VMware的VICenterr，使得管理虛擬機變得很是方便，可是，因爲Windows 2008只支持單用戶的遠程桌面，這樣，同時只有一個用戶能夠鏈接並操做SCVMM，多人不能同時管理虛擬機，形成了必定不變。並且默認的管理權限是管理員，不能進行有效的受權控制，形成必定安全隱患。

二：需求描述：

1：實現多人同時經過SCVMM管理虛擬機

2：對不一樣操做人員進行不一樣級別的操做受權，便可保證分支機構對虛擬機操做的需求，又力求安全

三：方案描述：

（一）安裝SCVMM Admin Console

1：在其餘符合SCVMM安裝條件的服務器上安裝SCVMM管理端，實現多人同時管理虛擬架構中的虛擬機

2：配置SCVMM的管理受權，添加不一樣的管理員角色，實現委派控制和自主服務管理。用戶角色的配置文件決定了用戶能夠執行的操做。用戶角色的範圍決定了用戶能夠管理的對象。有如下三種用戶角色

管理員	能夠在 VMM 管理員控制檯中執行全部操做。該用戶角色的成員能夠新建委派的管理員和自助服務用戶角色。只有管理員用戶角色的成員可以添加其餘成員。
注：管理員用戶角色是在安裝 VMM 時建立的。默認狀況下，會將執行 VMM 安裝的用戶添加到管理員用戶角色。
委派管理員	能夠在 VMM 管理員控制檯中執行大部分操做，但僅能在該角色所定義的範圍中執行操做。該用戶角色的成員能夠新建委派的管理員和自助服務用戶角色。
自主服務	以使用自助服務控制檯在該用戶角色中定義的虛擬機上執行任務。該用戶角色的成員不能建立新的用戶角色。

方案實施：

一

1：雙擊SCVMM 2008 R2的安裝文件Setup.exe。選擇VMM Administrator Console

2：贊成許可協議

3：默認選擇檢查SCVMM的更新

4：經過安裝前的必要條件檢查（須要PowerShell1.0和.net2.0支持）

5：選擇安裝路徑

6：選定默認的與VMM Server鏈接的端口

7：點擊Install開始安裝

8：安裝完成，點擊Close

9：雙擊桌面SCVMM Admin Console快捷圖標，將localhost改爲SCVMM Server的地址：192.168.40.70或者填入機器名

因爲我是在同一個域中登錄的服務器，而其使用同一個管理員帳戶，因此未經驗證便可鏈接到VMM Server

二：配置VMM的管理員角色

1：在AD中建立兩個帳戶vmadmin（用於VMM的自主服務帳戶）、Hyadmin（用於VMM的委派管理員帳戶）

2：打開VMM，在左下方的選擇Administration標籤

3：選中User Roles，單擊右側Actions標籤中的New user role

填入角色名稱-描述-類型。此處類型選定爲Self-Service User

注：按一樣的方法添加委派管理員帳戶hyadmin

4：點擊添加按鈕，在AD中添加事先創建好的vmadmin用戶

5：選定Vmadmin帳戶所管理的範圍，好比只添加Hyper-v集羣給vmadmin帳戶

6：選定vmadmin帳戶能夠執行的操做。好比爲保證安全，去除刪除VM和管理還原點的權限

7：設定vmadmin是否能夠建立虛擬機、也已從那個模板建立、一次建立VM的數量

8：設定是否容許vmadmin存放虛擬機到資源庫。此處並不分配保存虛擬機到資源庫的權限，這個任務能夠由總部的管理員操做

9：最後點擊Creat，完成建立vmadmin帳戶

三：使用委派管理員帳戶hyadmin登錄，經過VMM的管理控制檯對SCVMM中的虛擬機進行的管理

1：使用hyadmin帳戶登陸系統，打開SCVMM admin Console管理端

2：輸入SCVMM Server地址，點擊鏈接

3：進入VMM管理窗口，進行虛擬機的管理

注：這種委派管理員對於虛擬機的權限和域管理員登錄沒有太大差異，可是它一個最大好處是，委派管理員hyadmin只是一個普通域成員（Domain User），並非域管理管理員，將此帳號分配給分支機構，能夠必定程度保證安全

四：使用自助服務帳戶vmadmin，在自助服務門戶上登陸，進行虛擬機管理

關於自助服務門戶能夠參看個人另外一篇文章 《SCVMM的自助服務門戶》

1：使用任意帳戶登陸域內任意系統

2：打開IE瀏覽器，輸入自助服務門戶的地址 http://192.168.40.71:8080/

3：輸入自助服務帳戶elab\vmadmin和密碼，點擊登錄

注：對於自助服務帳戶，只能在WEB上登陸，並不能像委派管理員那樣在VMM Console上登陸。它的好處就是，能夠開放虛擬資源，讓用戶使用資源庫內的資源自由建立（建立虛擬機的數量受到管理員限制）虛擬機。達到一個開放資源，開放實驗效果。

預告一下：下一篇文章我將寫一下關於Hyper-V資源庫的東西，敬請關注本博客