實戰(zhàn)：Hyper-V server 2008 R2權(quán)限控制

原創(chuàng)
作者：楊歡 2011-03-01 16:44:02

云計算

虛擬化 對于文件服務(wù)器、主域服務(wù)器、郵箱服務(wù)器、代理服務(wù)器，我們都有嚴(yán)格的權(quán)限管控。即便是某項權(quán)限設(shè)置的不當(dāng)，影響的也只是單一服務(wù)，虛擬化服務(wù)器則不然，由于它承載的虛擬服務(wù)太多，一旦虛擬系統(tǒng)的權(quán)限失控，輕則丟失文件，某一服務(wù)失效；重則會導(dǎo)致其構(gòu)建的所有虛擬系統(tǒng)中斷運行。因此，我們對虛擬系統(tǒng)的權(quán)限控制要謹(jǐn)慎操作。

對于文件服務(wù)器、主域服務(wù)器、郵箱服務(wù)器、代理服務(wù)器，我們都有嚴(yán)格的權(quán)限管控，某個用戶、每一級別的管理人員都賦予相應(yīng)的操作權(quán)限。即便是某項權(quán)限設(shè)置的不當(dāng)，影響的也只是單一服務(wù)，虛擬化服務(wù)器則不然，由于它承載的虛擬服務(wù)太多，一旦虛擬系統(tǒng)的權(quán)限失控，輕則丟失文件，某一服務(wù)失效；重則會導(dǎo)致其構(gòu)建的所有虛擬系統(tǒng)中斷運行。因此，我們對虛擬系統(tǒng)的權(quán)限控制要謹(jǐn)慎操作。

案例回顧：

處理器E5506、16GB內(nèi)存、2TB硬盤的一臺物理服務(wù)器，上面運行著10個虛擬化系統(tǒng)，其中物理服務(wù)器的C盤為系統(tǒng)盤，D盤和E盤分別裝載著5個虛擬系統(tǒng)，F(xiàn)盤則作為保留，時刻準(zhǔn)備應(yīng)用于虛擬硬盤。這樣的設(shè)置起初沒有任何問題，但是隨著時間的推移，虛擬機最近的表現(xiàn)有些異常。

E盤裝在的虛擬系統(tǒng)是代理服務(wù)器、文件服務(wù)器、郵件服務(wù)器、OA服務(wù)器和測試服務(wù)器，除了代理服務(wù)器，其余三個服務(wù)器每天都會產(chǎn)生大量的數(shù)據(jù)，這導(dǎo)致了硬盤空間告急，出現(xiàn)了空間不足的提示，看來需要清理一下磁盤空間了。

由于所有的服務(wù)都已經(jīng)穩(wěn)定的投入運行，測試服務(wù)器已經(jīng)不再需要，決定將這個虛擬化服務(wù)器予以刪除，暫時緩解一下空間危機，但是再刪除過程中出現(xiàn)了意外，登陸的帳戶沒有權(quán)限刪除文件。

案例分析：

由于管理員帳戶處于絕對的保密狀態(tài)，很多時候我們使用一個低權(quán)限的帳戶來查看虛擬化服務(wù)器的各項工作指標(biāo)，但是這個賬戶受到部分限制，一些工作不能流暢的進行，因此我們需要開放權(quán)限。

將這些帳戶加入Administrators組嗎？顯然不是！

管理員組的權(quán)限過于開放，有時候無意識的操作會使虛擬服務(wù)停止，甚至?xí)刮锢矸?wù)器崩潰，寬松的權(quán)限意味著風(fēng)險，因此對權(quán)限要把握的很準(zhǔn)確。

但是，Hyper v的權(quán)限指派要比NTFS等安全權(quán)限復(fù)雜得多，我們需要選擇一款好的工具來精確的、簡單的設(shè)置Hyper v的應(yīng)用權(quán)限，那就是“AzMan”。

#p#

解決方案：

AzMan（Authorization Manager，授權(quán)管理器），是微軟公司提供的授權(quán)管理軟件，它不依托于COM+，是開放的組件標(biāo)準(zhǔn)，因此它可以在底層支持XML、AD、ADAM、SQL Server等眾多授權(quán)方式。

它的應(yīng)用也較為簡單，基于MMC（Microsoft Management Console，微軟管理控制臺）來管理相關(guān)的認(rèn)證中心和授權(quán)訪問級別。下面我們介紹一下如何通過AzMan來設(shè)置用戶訪問和管理Hyper的相關(guān)權(quán)限。

一、授權(quán)管理器的添加

1、依次選擇“開始”→“運行”，在“運行”對話框中輸入“MMC”，啟動“控制臺”；

2、再選擇“文件”→“添加/刪除管理單元”，找到“授權(quán)管理器”，單擊“添加”按鈕，再單擊“確定”按鈕；

3、這時系統(tǒng)會提示“沒有選擇授權(quán)存儲”（見圖一）,我們必須打開一個存儲的資源。選擇“操作”→“打開授權(quán)存儲(O)...”，在“選擇授權(quán)存儲類型中選擇“XML文件”，然后選擇“瀏覽”按鈕，瀏覽到“
%ProgramData%\Microsoft\windows\Hyper-V”中的InitialStore.xml文件。

注意：如果安裝的是Hyper-V Server 2008 R2，由于自身沒有Shell界面，MMC控制臺不可用，我們可以直接在存儲名稱中輸入：

\\IP地址\c$\ProgramData\Microsoft\Windows\Hyper-V\InitialStore.xml (IP地址為Hyper-V Server 2008 R2物理服務(wù)器地址，C為Hyper-V Server 2008 R2系統(tǒng)安裝盤)，選擇完畢后，單擊“確定”按鈕；
 

圖一

4、這樣授權(quán)管理器就已經(jīng)添加完畢（見圖二），我們可以看到里面已經(jīng)內(nèi)嵌了administrator管理員帳戶，但是這個賬戶權(quán)限太大，我們需要重新定義角色和添加授權(quán)帳戶。
 

圖二

二、帳戶的添加及管理

針對不同管理員我們需要設(shè)定差異的控制權(quán)限，也許我們希望某個管理員只能建立和刪除虛擬系統(tǒng)；也許只希望某IT工程師可以開始或停止虛擬服務(wù)；再或者只允許低級別管理用戶查看部分虛擬系統(tǒng)的狀態(tài)，這樣就需要仔細授權(quán)。

1、依次選擇“授權(quán)管理器”→“InitialStore.xml” →“Hyper –v services” →“定義”→“角色定義”，右鍵選擇“新建角色定義（N）...”；

2、輸入名稱和說明，以便日后可以快速的定位相關(guān)角色，這里新建的角色名稱“Hyper”，然后選擇“添加”按鈕，再選擇“操作”，這里羅列出了所有可操作選項（見圖三），雖然都是英文，但是比較簡單，不再贅述。
 

圖三

3、勾選合適的操作權(quán)限，如：“Create Virtual Machine”，然后選擇“確定”按鈕，這樣角色就已經(jīng)建立完成；

4、右鍵選擇“角色分配”，再選擇“分配新角色（R）…”,選擇剛剛建立的“hyper”，確定；

5、右鍵選擇“hyper”角色，選擇“分配用戶和組（A）” ，再選擇“從Windows 和 Active Directory（W）…”，接下來就可以選擇Hyper服務(wù)器中相應(yīng)用戶名了（見圖四），如果該服務(wù)器已經(jīng)加入了域，則可以選擇域帳戶。所有配置進行完畢后，我們將此控制臺予以保存，以方便日后維護。
 

圖四

6、至此，授權(quán)工作就全部結(jié)束了，Hyper V Server 2008 R2中的用戶yanghuan將擁有hyper中設(shè)置的Create Virtual Machine（創(chuàng)建虛擬系統(tǒng)）權(quán)限，這樣的管理將會非常明朗。

#p#

知識延伸：

本文是針對Hyper v權(quán)限管理做的實戰(zhàn)演示，對于AzMan我們再從結(jié)構(gòu)和組成上做一下簡單的介紹。

AzMan是由四個基本對象組成，它們分別是：角色、用戶、操作和任務(wù)。

角色（Role）

我們之前已經(jīng)在AzMan建立了一個角色，它是一組任務(wù)和操作的集合，在這個集合中我們可以授權(quán)給用戶多個操作權(quán)限，也可以為用戶自定義多個任務(wù)，如果角色眾多我們還可以應(yīng)用“角色組”的方式將角色統(tǒng)一管理。

用戶（Member）

可以是Hyper V中的帳戶、Active Directory的帳戶、還可以是第三方帳戶。一個帳戶可以存在于多個角色之中，運行多的操作。

操作（Operation）

它是AzMan邏輯模型中的最基本的、最小的單元，它不可拆分，也不能在疊加其他的“操作”之上，每一個操作都有唯一的ID標(biāo)識。

任務(wù)（Task）

角色是任務(wù)和操作的集合，任務(wù)則是操作的集合，單一任務(wù)包含多個的操作，可以包含多個任務(wù)，對于復(fù)雜的管理模型，我們就可以通過任務(wù)來完成。

結(jié)語：

不管是物理服務(wù)器還是虛擬服務(wù)器，權(quán)限的管控都是重中之重，失去權(quán)限的控制遲早會造成不可挽回的錯誤。在Hyper v 投入運行伊始，我們就需要根據(jù)職責(zé)不同，針對每個IT工程師授予權(quán)限，保障權(quán)限不會濫用，將虛擬化服務(wù)的風(fēng)險降至最低，提升數(shù)據(jù)中心整體可用性。
 

【編輯推薦】

1. 下載：微軟Hyper-V Server 2008 R2正式版
2. Windows Server 2008 R2有效降低成本
3. Windows Server 2008 R2：幫助您推動業(yè)績增長
4. 實戰(zhàn)：Hyper-V Server 2008 R2安裝、配置
5. 七問Hyper-V Server 2008 R2
6. 實戰(zhàn)：Hyper-V Server 2008 R2故障排除
    

新聞名稱：實戰(zhàn)：Hyper-VServer2008R2權(quán)限控制
URL鏈接：http://fisionsoft.com.cn/article/dpocdoh.html