Настройка на отдалечен достъп до Hyper-V, За системен администратор -Блогът на Николай Алексеев

Настройка на отдалечен достъп до Hyper-V За системен администратор

Намерих полезни статии за работа с HV. Автор: Алексей Кибкало

Делегиране на права на Hyper-V

По подразбиране Hyper-V позволява само на администраторите да създават и управляват виртуални машини. Днес ще говорим за това как да делегирате тези права на потребители, които нямат права на администратор на сървъра.

Операция

Задача

Задачата е група от операции, необходими за извършване на някакво действие. Ние не създаваме никакви задания по подразбиране, но ако можехме да създадем задача за control_VM, ще трябва да добавим операции за стартиране (op_Start_VM), спиране (op_Stop_VM), пауза (op_Pause_VM) и рестартиране (op_Restart_VM) към тази група, за да изпълним необходимите действия в задачата.

Роля

Ролята определя позицията, обхвата на задачите или областта на отговорност за потребителя. Например може да се нуждаете от ролята на Virtual_Network_Admin. Тази роля ще има права върху всички операции и задачи, свързани с виртуални мрежи. Тази роля може да бъде присвоена на потребители според нуждите.

Обхват

Обхватът ви позволява да посочите кои обекти се управляват от кои роли. Ако имате система и искате да дадете на потребител административен достъп до набор от виртуални машини в нея, ще трябва да създадете област, съдържаща тези конкретни виртуални машини, и след това да приложите вашите настройки към тази област.

Обхват по подразбиране

Областта по подразбиране се присвоява на виртуални машини, които не са изрично зададени на друга област.

Това завършва вашата задача. Потребителят можепоемете пълен контрол над Hyper-V, без да сте администратор на този сървър. Делегирането на гранулирани права на конкретни виртуални машини се извършва по абсолютно същия начин.

Конфигуриране на отдалечен достъп до Hyper-V

Току-що разгледахме как да делегираме права за управление на Hyper-V на потребител. Но потребителят ще може да използва тези права само като работи на сървъра локално.

За да управлява хипервайзора от друг компютър, потребител, който не е администратор, ще трябва да извърши редица настройки - както от страна на сървъра, така и от страна на клиента.

Стъпките в тази статия се отнасят за RC0 версията на хипервайзора Hyper-V и RC0 версията на помощната програма за управление на клиента Hyper-V Manager за Vista SP1 (x86 и x64).

И така, на сървъра изпълнете следните стъпки:

  • Активирайте правилото "Windows Management Instrumentation (WMI)" в защитната стена на Windows със следната команда:

netsh advfirewall firewall set rule group="windows management instrumentation (wmi)" new enable=yes

Внимание: в различните локализирани операционни системи правилата на вградената защитна стена могат да бъдат именувани по различен начин. Трябва да посочите името на правилото точно както се показва в инструментите за управление на защитната стена на Windows. Например на българската версия на Windows Server 2008 горният ред ще изглежда така:

netsh advfirewall firewall set rule group="Windows Management Instrumentation (WMI - Inbound)" new enable=yes

  • Дайте на потребителя права за отдалечено стартиране (отдалечено стартиране и активиране ) в DCOM. Това може да бъде направено за конкретен потребител или група или за всички АВТЕНТИЦИРАНИ ПОТРЕБИТЕЛИ.
  1. НатиснетеСтарт,изберетеИзпълни, стартирайтеdcomcnfg.exe.
  2. ВComponent Services разгънетеComputers, щракнете с десния бутон върхуMy Computer и изберетеProperties от менюто.
  3. ВСвойства на моя компютър разгънетеCOM сигурност.
  4. ВРазрешения за стартиране и активиране изберетеРедактиране на ограничения.
  5. Ако потребителят не е посочен в списъкаГрупи потребителски имена в прозорецаРазрешение за стартиране,, добавете го с бутонаДобавяне.
  6. ВРазрешение за стартиране изберете потребител или група и в колонатаРазрешаване вРазрешения за потребител посочетеОтдалечено стартиране иОтдалечено активиране. НатиснетеOK.
  • Предоставете на потребителя права за дистанционно управление (отдалечено активиране ) в пространството от имена (именно пространство) rootCIMv2 и rootvirtualization. Това може да се направи или за конкретен потребител или група, или за АВТЕНТИЦИРАНИ ПОТРЕБИТЕЛИ.
  1. ВКонтролен панел отидете наАдминистративни инструменти и стартирайтеУправление на компютъра.
  2. ВУправление на компютъра разгънетеУслуги и приложения, щракнете с десния бутон върхуWMI Control и щракнете върхуСвойства.
  3. В разделаЗащита изберетеРазширени.
  4. Ако потребителят не е посочен в списъкаРазрешение в прозорецаРазширени настройки за защита,, добавете го с бутонаДобавяне.
  5. ВAdvanced Security Settings изберете потребителско име и щракнете върхуEdit.
  6. В падащото менюПриложи към на прозорецаВъвеждане на разрешение изберетеТова пространство от имена и подпространства от имена и посочетеОтдалечено активиране в колонатаРазрешаване. НатиснетеOK.
  • Предоставете потребителските права на Hyper-V.
  • Рестартирайте сървъра. (Ако искате да избегнете рестартирането на сървъра, просто рестартирайте следните услуги: winmgmt, vmms, vhdsvc & nvspwmi). Когато winmgmt бъде спрян, останалите роли ще спрат на зависимости.

тези. достатъчно от тези команди в командния ред (с администраторски права):

net start winmgmtnet start vmmsnet start vhdsvcnet start nvspwmi

Внимание: ако сървърът с инсталирана Hyper-V роля, който искате да управлявате отдалечено с локален акаунт с администраторски права, не е включен в домейна и на сървъра е активиран контрол на потребителските акаунти (UAC), тогава имайте предвид следното. По подразбиране UAC филтрирането се прилага към локални акаунти за неинтерактивен (включително мрежов) достъп. Тоест, дори ако сте администратор на сървър, когато се опитате да се свържете дистанционно, UAC ще ви даде правата на стандартен потребител. Следователно в този случай ще трябва директно да предоставите потребителските права на Hyper-V по начина, описан в предишната статия.

Настройки на клиентския компютър

И така, настроихме сървъра. Сега ще трябва да се направят редица настройки на клиентския компютър с Vista SP1.

  • Активирайте правилото "Windows Management Instrumentation (WMI)" на защитната стена на Windows с командата

netsh advfirewall firewall set rule group="windows management instrumentation (wmi)" new enable=yes

В българската версия на Windows Vista същата команда изглежда така:

netsh advfirewall firewall set rule group="Windows Management Instrumentation (WMI - Inbound)" new enable=yes

На системи с операционни системи преди Windows Vista (Windows XP / 2003), това се прави с помощта на командата

комплект netsh защитна стенаактивиране на услугата RemoteAdmin

  • На системи преди Vista (Windows XP / 2003) трябва също да добавите изключение за изпълнимия файл Unsecapp.exe:

netsh firewall add allowedprogram program=%windir%system32wbemunsecapp.exe име=UNSECAPP

  • Добавете изключение към защитната стена на Windows за изпълнимия файл mmc.exe:

netsh firewall add allowedprogram program=%windir%system32mmc.exe name="Microsoft Management Console"

  • Ако клиентът или сървърът е в работна група или са в различни домейни, между които няма доверителна връзка, тогава връзката от сървъра към клиента, установена за доставяне на получената информация, е анонимна. Анонимната връзка е неуспешна с код на грешка0x80070005 или0x8007000e, докато на анонимната връзка не бъде дадено право за отдалечен достъп на DCOM клиента. Можете да предоставите това право, като изпълните следните стъпки:
  1. НатиснетеСтарт, изберетеИзпълни, стартирайтеdcomcnfg.exe.
  2. ВComponent Services разгънетеComputers, щракнете с десния бутон върхуMy Computer и изберетеProperties.
  3. ВСвойства на моя компютър разгънетеCOM сигурност.
  4. ВРазрешения за стартиране и активиране изберетеРедактиране на ограничения.
  5. В прозорецаРазрешения за достъп изберетеАНОНИМНО ВХОД от списъкаИмена на групи или потребители. В колонатаРазрешаване в Разрешения за потребител, въведетеОтдалечен достъп и щракнете върхуОК.

След като изпълните всички описани стъпки, най-накрая ще можете да се свържете дистанционно със сървъра и да управлявате ролята на Hyper-V.