當企業或組織的規模越來越大時,維護某一項單獨的應用可能會由特定的運維人員進行管理。考慮到安全風險的問題,一般特定的運維人員不會擁有域管理員權限。自 Windows Server 2012 開始,操作系統中內置了"Hyper-V Administrators"用戶組,通過該用戶組,管理員可以快速為特定人員賦予權限,此組的成員擁有對 Hyper-V 所有功能的完全且不受限制的訪問權限。通過為將特定運維人員的用戶名添加到該用戶組,即可實現其遠程對 Hyper-V 的管理。
除了"Hyper-V Administrators"用戶組外,還可以將用戶添加至"Administrators"用戶組中,為用戶賦予 Hyper-V 管理權限。和第一種方法相比,后者的權限更大,本地的 "Administrators"組權限和域管理員在目標主機上的權限是一致的,都擁有完全不受限的權限。
7.1 通過用戶組為普通用戶添加 Hyper-V 管理權限
通過Hyper-V主機的本地用戶組,將普通用戶添加至相應的用戶組,即可為其添加Hyper-V 管理權限。以用戶組的方式來添加和修改權限,操作非常簡單。
第 1 步,以域管理員身份登錄 Hyper-V 主機,在操作系統左下角右鍵點擊,於彈出菜單中選擇"本地用戶和組",依次點擊"計算機管理(本地)"→"本地用戶和組"→"組",如圖 7-1 所示。
圖 7-1
打開"本地用戶和組"界面或者可以直接在運行中輸入"lusrmgr.msc",以打開"本地用戶和組",如圖 7-2 所示。
圖 7-2 通過命令直接打開"本地用戶和組"界面
第 2 步,雙擊"Hyper-V Administrators"用戶組,在彈出的屬性窗口中,點擊"添加" 按鈕,如圖 7-3 所示。此處如將用戶添加至"Administrators"用戶組,則用戶不僅獲得 HyperV 的管理權限,同時還將獲得整個服務器的管理權限,一般不建議為特殊用戶配置如此高的權限。
圖 7-3 找到"Hyper-V Administrators"用戶組
第 3 步,在彈出的"選擇用戶、計算機、服務賬戶和組",輸入提前創建的一個普通域用戶"Hyper-V 管理員 1"進行添加並點擊確認,如圖 7-4 所示。
圖 7-4 添加需要管理的用戶
第 4 步,在"Hyper-V 管理員 1"所使用的計算機上(Windows Server 2012 R2/Windows 8.1)安裝"Hyper-V 管理器",可通過服務器管理器的添加角色和功能向導,依次"展開遠程服務器管理器"→"角色管理工具"→"Hyper-V 管理器"進行添加,如圖 7-5 所示。如果認為圖形界面操作容易出錯和復雜,可以以管理員方式打開 PowerShell,輸入以下命令,安裝"Hyper-V 管理器"。
Install-WindowsFeature -Restart RSAT-Hyper-V-Tools
圖 7-5 通過功能向導安裝"Hyper-V 管理器"
第 5 步,以"Hyper-V 管理員 1"登錄計算機,打開"Hyper-V 管理器",在左側的列表中右鍵點擊"Hyper-V 管理器",選擇"連接至服務器",並在"選擇計算機"對話框中輸入服務器信息。此處可以輸入 Hyper-V 主機的 Netbios 名、FQDN 或者 IP 地址,以上三種方式的任意一種即可。
圖 7-6 連接"Hyper-V 管理器"
第 6 步,此時可以發現,用戶能夠對該 Hyper-V 主機進行完整無限制的操作,如圖 7-7 所示。
圖 7-7 檢查"Hyper-V 管理器"下的可用權限
第 7 步,如使用該賬號遠程連接至該 Hyper-V 主機,則會發現無權限進行此操作,完整的管理權限僅限於 Hyper-V 這個單一角色,不會影響到 Hyper-V 主機上的其他應用,如圖 7-8 所示。
圖 7-8"Hyper-V Administrators"用戶組權限僅對 Hyper-V 生效
第 8 步,如使用未經授權的域賬號連接"Hyper-V 管理器"並連接 Hyper-V 主機,會出現錯誤提示,告知無操作權限,如圖 7-9 所示。
圖 7-9Hyper-V 管理權限則無法連接目標 Hyper-V 主機
7.2Hyper-V 基於角色的安全配置
授權管理是自 Windows Server 2008 的 Hyper-V 以來附帶的功能,其旨在解決域管理員與 Hyper-V 管理員不是同一人,但又需要使用 Hyper-V 進行運維的問題。在 Windows Server 2012/2012 R2 中,由簡化了的授權方式:"Hyper-V Administrators"用戶組所替代。"Hyper-V Administrators"用戶組可使特定用戶僅對特定 Hyper-V 主機的 Hyper-V 角色擁有管理權限,但這種權限配置在某些情況下依然顯得有些松散。真實的要求可能是:只希望為某些人提供查看虛擬機運行狀態的權限,而不希望其修改基礎架構,如虛擬交換機、默認虛擬機的保存路徑等信息;或者僅希望其可以完成虛擬機的重啟操作,而不希望其創建虛擬機。這些細粒度的需求無法通過"Hyper-V Administrators"用戶組來實現。通過"授權管理器"就可以實現如上的細致需求。
7.2.1 授權存儲的使用
通過授權管理器,可以為特定用戶提供細粒度的 Hyper-V 權限的細分。例如可以允許某用戶只能讀取 Hyper-V 主機的配置,以及查看配置信息,但是不允許其創建、修改、刪除虛擬機。也可以設定只允許用戶能夠開啟關閉虛擬機,以及創建和刪除虛擬機,但無法修改
Hyper-V 主機的配置。
實現授權管理器對 Hyper-V 的管理主要包含三個環節:
- 操作:操作是授權管理器中權限的最低級別,如"創建虛擬機"、"刪除虛擬機"這種具體的動作都屬於"操作"。
- 任務:任務是操作的一個集合,可以包含很多個操作。
- 角色:角色可以包含多個任務,如"Hyper-V 開停機管理員"可以包含"Hyper-V 開停機所需的許可操作"這個任務集合,而任務集合中則包含 "Start Virtual Machine"和"Stop Virtual Machine"兩項具體的操作。
第 1 步,授權管理器默認在操作系統中沒有直接訪問的快捷方式,可以通過在運行中輸入"azman.msc"打開授權管理器,如圖 7-10。
授權管理器是一個功能強大的工具,其不僅僅可以對 Hyper-V 角色的權限進行分配,也可以處理其他任務、以及相關的操作、用戶角色的權限設定,在擁有相應的授權存儲的前提下,可以實現很多功能。
圖 7-10 打開授權管理器
第 2 步,在授權管理器左側列表中右鍵點擊"授權管理器",選擇"打開授權存儲",如圖 7-11 所示。
圖 7-11 打開授權存儲
第 3 步 , 使 用 默 認 的 xml 存 儲 類 型 , 在 存 儲 名 稱 中 直 接 輸 入 " \ProgramData\Microsoft\Windows\Hyper-V\InitialStore.xml",然后點擊確認,打開 Hyper-V 的默認授權策略,如圖 7-12 所示。此處不輸入盤符表示直接訪問 Windows 系統所在的磁盤下的相應目錄。
圖 7-12 打開授權存儲
7.2.2 授權存儲角色定義
為了完成最終的 Hyper-V 基於角色的安全配置,需要對三個選項進行配置,分別是角色定義、任務定義、角色分配,首先要做的是定義角色。
依次點擊"Hyper-V services"→"定義"→"角色定義",在角色定義上右鍵點擊,選擇 "新角色定義",在彈出的"新角色定義"窗口中,在名稱處輸入"Hyper-V 開停機管理員",描述輸入"此角色僅能完成虛擬機的開停機操作",點擊確定完成配置,如圖 7-13 所示。
圖 7-13 授權存儲角色定義
7.2.3 授權存儲任務定義
配置完角色定義后,需要配置任務定義,任務定義包含該角色可以執行的任務(操作),任務定義是一個集合,一個角色可以包含多個任務。
第 1 步,依次點擊"Hyper-V services"→"定義"→"任務定義",在"任務定義"上右鍵點擊,選擇"新任務定義",在彈出的"新任務定義"窗口中,於名稱處輸入"Hyper-V 開停機所需的許可操作",如圖 7-14 所示。
圖 7-14 授權存儲任務定義 1
第 2 步,在"新建任務定義"窗口,點擊"添加"按鈕,於彈出的"添加定義"對話框中選中"操作"選項卡,勾選"Start Virtual Machine"和"Stop Virtual Machine",點擊確定后完成配置,如圖7-15所示。
圖 7-15 授權存儲任務定義 2
7.2.4 角色分配
單獨創建完角色定義和任務定義后,可以將角色定義和任務定義關聯起來,配置完角色定義后,需要配置任務定義,任務定義包含該角色可以執行的任務(操作),任務定義是一個集合,一個角色可以包含多個任務。
第 1 步,依次點擊"Hyper-V services"→"角色分配","在角色分配"上右鍵點擊,選擇"添加角色",在彈出窗口中勾選"Hyper-V 開停機管理員",點擊確定完成角色添加。如圖 7-16 所示。
圖 7-16 角色分配 1
第 2 步,依次點擊"Hyper-V services"→"角色定義",在右側"Hyper-V 開停機管理員" 上右鍵點擊,選擇"屬性",如圖 7-17 所示。
圖 7-17 角色分配 2
第 3 步,在"定義屬性"對話框,選中"定義"選項卡,單擊添加"按鈕"。在彈出的添加定義對話框,選中"任務"選項卡,勾選在 7.2.3 小節創建的"Hyper-V 開停機所需的許可操作"這個任務,點擊確定完成設定,如圖 7-18 所示。
圖 7-18 角色分配 3
第 4 步,依次點擊"Hyper-V services"→"角色分配",在右側"Hyper-V 開停機管理員" 上右鍵點擊,依次選擇"分配用戶和組"→"從 Windows 和 Active Directory"……,如圖 7-19 所示。
圖 7-19 角色分配 4
第 5 步,在彈出的選擇用戶、計算機和組對話框中,添加需要賦予權限的域用戶賬戶,點擊確定完成添加,如圖 7-20 所示。
圖 7-20 角色分配 5
第 6 步,完成添加后,可以對比"Hyper-V services"→"角色分配"下的配置選項。其中 Administrator 下包含了"Administrators"和"Hyper-V Administrators"兩個用戶組,而新增加的"Hyper-V 開停機管理員"角色也已更新,包含了剛才添加的用戶,如圖 7-21 所示。至此角色分配的任務結束。
圖 7-21 角色分配 6
7.3 小節
本章對 Windows Server 2012 起新增的"Hyper-V Administrators"用戶組的功能和配置進行了介紹,同時也對自 Windows Server 2008 起出現的授權管理器進行了對比。可以發現,通過授權管理器可以獲得比"Hyper-V Administrators"用戶組更細致的權限划分,但不可否認,授權管理器的運維操作還是稍顯復雜,這不適合在有較多服務器需要運維的場景下使用。
同時 Windows Server 2012 使用"Hyper-V Administrators"用戶組其實是簡化了運維操作,這種簡化授權的方式是一種符合現在運維趨勢的改進,能夠降低運維難度。
另一個問題是:授權管理器可以對 Hyper-V 主機進行精細控制,但無法對設置針對某一台虛擬機進行精細控制。同時由於設置的復雜性,其實用性並不高,所以在生產環境中,也不再建議用戶使用這個工具。
微軟在 Windows Server 2012 開始做出的簡化授權並不是放棄對精細管控的追求,而是在微軟私有雲中,有相應的工具可以實現這種功能,並且比授權管理器做的更好。通過私有雲的架構,不僅可以實現對單台虛擬機的精細權限控制,還可以實現跨物理機的統一權限控制。關於這部分內容,可以關注本書的后續章節。