Delegando o controle e o gerenciamento de acesso no Hyper-V

Aplica-se

Windows Server 2008 Standard
Windows Server 2008 Enterprise
Windows Server 2008 Datacenter
Windows Server 2008 R2 Standard
Windows Server 2008 R2 Enterprise
Windows Server 2008 R2 Datacenter

Visão Geral

Conceito e procedimento

Quando implementamos um ambiente virtualizado utilizando o Hyper-V é necessário controlarmos o acesso dos grupos de usuário às máquinas virtuais (VMs) como administradores, Help Desk, Desenvolvedores, enfim, cada um com seu acesso específico. Por exemplo, um deve ter controle total, outro grupo não pode desligar ou criar novas VMs e outro sem o acesso de tirar o snapshot. Pra quem trabalha em ambientes grandes com vários níveis administrativo é super importante a delegação da administração para que não aconteça nenhum imprevisto ou até mesmo um acesso indevido.

Authorization Manager (azman)

Antes de começarmos o procedimento é importante sabermos que o serviço do Hyper-V é controlado com o Authorization Manager, onde é possível conceder permissionamento através de Access Control Lists (ACL). Da mesma forma que você controla o acesso à uma pasta ou um arquivo com permissões, o Azman controla o acesso à aplicações ou serviços. Neste caso o Hyper-V.

Para abrir o azman, faça logon como administrador no servidor do Hyper-V e execute no menu iniciar o comando azman.msc. Depois disso, clique com o botão direito do mouse em Authorization Manager e logo após em Open Authorization Store. Digite o caminho C:\ProgramData\Microsoft\Windows\Hyper-V\InitialStore.xml, conforme a figura 1.

$Descrição: C:\Users\Leandro\Desktop\Azman\azman1.JPG$
Figura 1 – Abrindo o Authorization Manager para gerenciar as permissões no Hyper-V

Expanda Hyper-V services e clique em Definitions.

Role Definitions são usadas para criar grupos de controle de acesso ao Hyper-V;

Task Definitions são usadas para centralizar as definições de permissões das VMs como desligar, vizualizar, controlar, etc.

Neste cenário de exemplo teremos três grupos que serão definidos em Role Definitions: Administradores (já existente por padrão), Desenvolvedores e Help Desk. Para criá-los clique com o botão direito em Role Definitions e depois em New Role Definition. Os grupos serão listados à direita da tela, conforme figura 2:

$Descrição: C:\Users\Leandro\Desktop\Azman\azman2.JPG$
Figura 2 – Roles Definitions criadas

A seguir criaremos 3 Task Definitions para facilitar a administração do acesso aos grupos com os nomes Full Control, Advanced Access Control e Read-Only Access Control. Para criá-los, clique com o botão direito em Task Definitions e depois em New Task Definitions. Você verá mais a frente que não é necessário a criação dessas definições de tarefas, mas ajudará muito na facilitação na hora de alterar o controle de acesso a qualquer grupo.

$Descrição: C:\Users\Leandro\Desktop\Azman\azman3.JPG$
Figura 3 – Lista das Task Definitions

No próximo passo daremos o acesso de cada Task Definitions clicando com o botão direito e depois em Properties na tarefa que você deseja controlar, depois selecione a guia Definitions, clique em Add e depois em Operations. Será exibida uma janela com todos os direitos de acesso do serviço do Hyper-V. Na figura 4 foi concedida todas as permissões à Task Definitions Full Control.

$Descrição: C:\Users\Leandro\Desktop\Azman\azman4.JPG$
Figura 4 – Definições de acesso do Hyper-V.

Já a Task Advanced Access Control foram concedidas algumas definições para acesso com certas restrições como não criar máquinas virtuais, não alterar o escopo de autorização, etc. Ao grupo Read-Only Access Control foi dado somente as definições de visualização e de conexão às VMs, sem acesso de tirar Snapshots, criações, deleções, etc.

$Descrição: C:\Users\Leandro\Desktop\Azman\azman5.JPG$
Figura 5 – Definições de Advanced Access Control

Agora, voltando em Role Definitions, clique com o botão direito no grupo específico e clique em Properties. Clique na guia Definition de depois em Add. Na guia Task, escolha a Task Definitions adequada ao grupo selecionado e depois clique em OK. Perceba pela figura 6, onde é dada a permissão de Advanced Access Control ao grupo Delevopers, que é possível adicionarmos as definições de acesso direto ao grupo sem uma Task Definitions porém, ao usar uma Task para vários grupos ficará mais fácil na hora de alterar todos ao mesmo tempo. Depois disso o grupo terá o acesso de acordo com sua Task Definition.

$Descrição: C:\Users\Leandro\Desktop\Azman\azman6.JPG$
Figura 6 – Controle de acesso Advanced Access Control ao grupo Delevopers

Para finalizar o processo de permissão é preciso adicionar o grupo local ou do Active Directory às Roles Definitions que foram criadas. Para isso clique com o botão direito em Role Assignments e depois em New Roles Assignments. Selecione as Roles Definitions e clique em Ok. Elas serão exibidas, como mostra a figura 7.

$Descrição: C:\Users\Leandro\Desktop\Azman\azman7.JPG$
Figura 7 – Role Assignments adicionadas

Logo após clique no grupo e depois em Assign Users and Groups e clique em From Windows and Active Directory. Selecione o grupo e clique em OK. Ele será exibido na tela à direita do Authorization Manager, como exibido na figura 8.

$Descrição: C:\Users\Leandro\Desktop\Azman\azman8.JPG$
Figura 8 – Grupo adicionado na Role Definition

Pronto, agora é só adicionar os usuários aos grupos e já estará funcionando.

Lembrando que este procedimento também pode ser usado no Windows Server 2008, mas sem a definição de Snapshots.

Leandro Carvalho.

Conclusão

Este artigo mostrou como é feita a delegação de permissões de acesso à grupos no Hyper-V.

Infra - Virtualização

Conclusão

Leia também