Распределение полномочий по управлению сервером Hyper-V
Однажды, работая на аутсорсинге в большой-пребольшой конторе, встал вопрос о резервном копировании виртуальных машин (их там около 20). Архитектура гипервизора представляла собой кластер из 3-х участников и управлялась SCVMM, естественно, всё включено в домен. Касательно скрипта по экспорту ВМ - следующая статья.
Для решения вопроса о резервном копировании, нужно решить вопрос о назначении прав для пользовательской учётной записи, от имени которой будет выполняться скрипт по экспорту. Для решения данного вопроса, я воспользовался данной статьей. В ней всё подробно расписывается, как установить права на выполнение операций и на каждую ВМ. В моей ситуации, раздавать права на ВМ не потребовалось, нужны были определённые полномочия в Hyper-V.
Итак, приступим!
1. на сервере-гипервизоре запустить консоль MMC:
где нажать CTRL+M и выбрать Authorization Manager, нажать кнопку "Добавить" и "ОК".
2. После открытия оснастки, не пугаемся пустого экрана со значком ошибки, просто не выбран план менеджера ()
из контекстного меню выбираем "Open Authorization Store"
В появившемся окне, выбираем тип (XML):
и в проводнике находим наш XML по адресу: c:\ProgramData\Microsoft\Windows\Hyper-V\InitialStore.xml (при использовании SCVMM, путь немного изменится, вместе каталога Hyper-V будет присутствовать Virtual Machine Manager)
3. После загрузки базы данных авторизации, переходим в оснастке по адресу InitialStore.xml\Hyper-V Services\Definitions для создания группы отдельных полномочий.
4. Создаём полномочия (контекстное меню New Role Definition):
где пишем полезную информацию о данной группе прав (чтобы через 3 года, когда полезем смотреть не думать "А шо это за ..?") и нажимаем кнопку "Add" для просмотра списка доступных ролей:
Выбираем нужные нам:
5. Создаём роль назначения (связываем группу полномочий с пользователем или группой пользователей). В меню Role Assignments в контекстном меню выбираем New Role Assignment
где выбираем созданную группу полномочий и жмакаем "ОК".
6. Назначение пользователя. В контекстном меню новоиспечённой роли выбираем пункт "Assign Users or Groups"
ищем нашего пользователя
и добавляем.
Если задача стоит экспортировать ВМ по сети, то тут Вас ждут некоторые сложности. Дело в том, что экспорт запускается от имени служебной учётной записи "SYSTEM", а не от доменного\локального пользователя (хотя задание запускается). Соответственно, удалённый сервер, который должен принять файлы экспорта не распознает учётных данных (credentials) и не пустит сохранить файлы. Поэтому, нужно дать полный доступ серверу-гипервизору на каталог, куда будут сохраняться копии. Подробнее, это описано в статье "Экспорт в сетевой каталог".
Скажу откровенно, я раньше смеялся в глаза тем параноикам, которые рассказывали мне про безопасность, но с каждым днём новости и рассказы, а иногда и мои "подвиги" меня переубедили. Теперь я сам стараюсь максимально распределить роли, права или доступ, чего и Вам желаю. Пользователь, которого я добавил, входит в группу "Backup Administrators" и имеет права на logon на сервере. От имени данного пользователя будут запускаться все задания по резервному копированию серверов и сервисов.
В следующей статье я опубликую скрипт для экспорта ВМ и подробно его опишу.
- Войдите на сайт для отправки комментариев
- Версия для печати