Rollenbasierte Sicherheit in VMM

  • Artikel

Letzte Aktualisierung: September 2009

Betrifft: Virtual Machine Manager 2008, Virtual Machine Manager 2008 R2, Virtual Machine Manager 2008 R2 SP1

Die ab System Center Virtual Machine Manager (VMM) 2008 verfügbare rollenbasierte Sicherheit erlaubt eine bessere Steuerung der erlaubten Vorgänge in der virtualisierten Umgebung. Dieses Sicherheitsmodell unterstützt die delegierte Administration, die in VMM 2007 nicht verfügbar war. Self-Service-Benutzerrollen ersetzen die Self-Service-Richtlinien, die zur Verwaltung des Self-Service für virtuelle Maschinen in VMM 2007 verwendet wurden.

Durch eine Benutzerrolle sind die Vorgänge (zusammengefasst in einem Profil) definiert, die für eine ausgewählte Gruppe von Objekten (definiert durch den Bereich der Benutzerrolle) zulässig sind. So kann ein Unternehmen verschiedene Rollen der Kategorie Delegierter Administrator erstellen, etwa für einen allgemeinen Administrator, welcher sämtliche Vorgänge am Standort Frankfurt verwaltet, einen spezialisierten Administrator zur Verwaltung der Bibliothekserver sowie einen fortgeschrittenen Benutzer, der komplexe virtuelle Umgebungen in einem Testlabor einrichten soll. Außerdem können Self-Service-Benutzerrollen von Benutzern dazu verwendet werden, eine festgelegte Reihe von Vorgängen für die eigenen virtuellen Maschinen auszuführen.

Eine Benutzerrolle umfasst die folgenden Elemente:

  • Ein Profil, in dem die Vorgänge festgelegt sind, zu deren Ausführung ein Rollenmitglied berechtigt ist.

  • Einen Bereich, der die Gruppe von Objekten definiert, für welche diese Vorgänge ausgeführt werden können.

  • In der Mitgliedsliste sind die der Rolle zugewiesenen Active Directory-Benutzerkonten und Sicherheitsgruppen angegeben.

Wichtig

Wenn Sie VMM 2008 R2 einen Hyper-V-Host hinzufügen, werden Änderungen an Rollendefinitionen und Rollenmitgliedschaften im Stammbereich des Hyper-V-Autorisierungsspeichers gespeichert. Änderungen anderer Bereiche werden vom VMM-Agent überschrieben. Infolgedessen wird der Zugriff für einen mit VMM 2008 R2 verwalteten Hyper-V-Host durch die Gesamtheit aller Rollen im Stammbereich sowie die dem Bereich jeder virtuellen Maschine zugewiesene VMM-Rolle bestimmt.

Hierbei besteht ein Unterschied zur Behandlung von Hyper-V-Rollendefinitionen und Bereichen durch VMM 2008. Wenn VMM 2008 ein Hyper-V-Host hinzugefügt wird, wird ein eigener Autorisierungsspeicher erstellt. Es findet kein Import der Rollen- und Mitgliedschaftseinstellungen aus initialstore.xml auf dem Hyper-V-Computer statt. Anschließend wird die Registrierung so geändert, dass Hyper-V auf den VMM-Autorisierungsspeicher verweist.

Weitere Informationen finden Sie in den Ausführungen zur Sicherheit für Hyper-V-Hosts unter Härten der über VMM verwalteten Hosts virtueller Maschinen.

Verfügbare Ziele

Bei der rollenbasierten Sicherheit legen dynamische Sammlungen von Objektinstanzen (z. B. Hosts oder virtuelle Maschinen), die als "Gruppen" bezeichnet werden, die verfügbaren Ziele für einen bestimmten von einem Benutzer ausgeführten Vorgang fest. Versucht ein Benutzer etwa, eine virtuelle Maschine zu starten, wird von VMM zuerst geprüft, ob der Benutzer zur Ausführung der Aktion Starten für virtuelle Maschinen überhaupt berechtigt ist. Anschließend wird geprüft, ob der Benutzer über ausreichende Berechtigungen zum Starten dieser virtuellen Maschine verfügt.

Diese Gruppen sind hierarchisch gegliedert: Die Gewährung des Zugriffs auf eine bestimmte Instanz schließt die darin enthaltenen Unterinstanzen ein. Wurde z. B. Zugriff auf eine Hostgruppe gewährt, sind alle Hosts darin ebenso wie die virtuellen Netzwerke auf den Hosts gleichermaßen verfügbar.

Die folgende Abbildung zeigt die Hierarchie der Instanzen in den Gruppen, die für VMM-Benutzerrollen verfügbar sind. Wird mit einer Benutzerrolle der Zugriff auf eine Instanz im äußeren Ring gewährt, sind automatisch alle Instanzen des inneren Rings ebenfalls verfügbar. Virtuelle Maschinen sind separat dargestellt, weil der Zugriffsprozess bei ihnen etwas anders ist. Für Administratorrollen gilt: Die Hostgruppenrechte werden auf alle virtuellen Maschinen übertragen, die auf den Hosts bereitgestellt wurden. Anders verhält es sich bei Mitgliedern von Self-Service-Benutzerrollen. Die Rechte von Self-Service-Benutzern sind auf die virtuellen Maschinen beschränkt, deren Besitzer sie sind.

Gruppenhierarchien für rollenbasierte Sicherheit in VMM

Gruppenhierarchien für die rollenbasierte Sicherheit

Rollentypen in VMM

Die folgenden Benutzerrollentypen sind für VMM aufgrund gleichnamiger Profile definiert:

  • Administrator: Mitglieder der Administratorrolle können alle VMM-Aktionen für sämtliche Objekte, die durch den VMM-Server verwaltet werden, ausführen. Diesem Profil kann nur eine Rolle zugeordnet werden. Mindestens ein Administrator sollte dieser Rolle angehören.

  • Delegierter Administrator: Mitglieder einer Rolle, die auf dem Profil Delegierter Administrator basiert, haben mit einigen Ausnahmen volle VMM-Administratorrechte für alle Objekte in dem Bereich, der durch die der Rolle zugewiesenen Hostgruppen und Bibliothekserver definiert ist. Ein delegierter Administrator kann die VMM-Einstellungen nicht ändern oder der Rolle Administrator Mitglieder hinzufügen bzw. daraus entfernen.

  • Self-Service-Benutzer: Mitglieder einer Rolle, die auf dem Profil Self-Service-Benutzer basiert, können ihre eigenen virtuellen Maschinen innerhalb einer eingeschränkten Umgebung verwalten. Self-Service-Benutzer nutzen zur Verwaltung ihrer virtuellen Maschinen das VMM-Self-Service-Portal. Dieses Portal bietet eine vereinfachte Ansicht ausschließlich der virtuellen Maschinen, deren Besitzer der Benutzer ist, sowie der Vorgänge, die er dafür ausführen kann. Eine Self-Service-Benutzerrolle gibt neben den Vorgängen, zu deren Ausführung die Mitglieder für ihre eigenen virtuellen Maschinen berechtigt sind (hierzu kann das Erstellen virtueller Maschinen gehören), die Vorlagen und ISO-Abbilddateien an, die den Benutzern für die Erstellung virtueller Maschinen zur Verfügung stehen. Die Benutzerrolle kann zudem eine Quote für die virtuellen Maschinen enthalten, die ein Benutzer gleichzeitig bereitstellen darf. Die virtuellen Maschinen von Self-Service-Benutzern werden transparent auf dem am besten geeigneten Host der Hostgruppe, die der jeweiligen Benutzerrolle zugewiesen ist, bereitgestellt.

Die Erstellung von benutzerdefinierten Benutzerprofilen wird in VMM nicht unterstützt.

Benutzer können mehr als einer Benutzerrolle angehören. In diesem Fall erhalten sie alle Berechtigungen, die diesen Rollen zugeordnet sind.

Die folgende Abbildung zeigt ein einfaches Schema der delegierten Administration in einer virtualisierten Umgebung mit Unterstützung des Self-Service für virtuelle Maschinen.

Beispielplan für eine delegierte Verwaltung für VMM

Beispieltopologie für die delegierte Administration

Rolle "Administrator"

Mitglieder der Administratorrolle können alle VMM-Aktionen für sämtliche Hosts, Bibliothekserver und virtuellen Maschinen, die durch den VMM-Server verwaltet werden, ausführen. Aktionen und Bereich können nicht geändert werden.

Erweitern Sie den Knoten Benutzerrollen in der Verwaltungsansicht der VMM-Administratorkonsole, klicken Sie in der Liste mit der rechten Maustaste auf Administrator, und klicken Sie dann auf Eigenschaften, um der Administratorrolle Mitglieder hinzuzufügen.

In der folgenden Tabelle sind die Merkmale der Rolle Administrator zusammengefasst.

Einstellungen Beschreibung

Profil

Alle VMM-Vorgänge

Bereich

Alle vom VMM-Server verwalteten Objekte

Clientzugriff

VMM-Administratorkonsole: Ja

Windows PowerShell – VMM-Befehlsshell: Ja

VMM-Self-Service-Portal: Nein

Rolle "Delegierter Administrator"

Mit der Rolle Delegierter Administrator werden umfangreiche Administratorrechte in einem Bereich zugewiesen, der durch die der Rolle zugewiesenen Hostgruppen und Bibliothekserver definiert ist. Die delegierte Administration in VMM ist umso effizienter, je sorgfältiger die Hostgruppen und Bibliothekserver in der virtualisierten Umgebung geplant wurden. Informationen zum Erstellen von Benutzerrollen für einen delegierten Administrator finden Sie unter Vorgehensweise beim Erstellen einer Benutzerrolle für einen delegierten Administrator (https://go.microsoft.com/fwlink/?LinkId=162941).

In der folgenden Tabelle sind die Merkmale der Rolle Delegierter Administrator beschrieben.

Einstellungen Beschreibung

Profil

Das Profil Delegierter Administrator ermöglicht die folgenden Vorgänge für Objekte im Bereich der Benutzerrolle. Diese Vorgänge können nicht geändert werden.

  • Anzeigen, Erstellen und Verwalten von Hostgruppen, Hosts sowie virtuellen Netzwerken im Bereich der jeweiligen Benutzerrolle

  • Erstellen, Anzeigen, Ändern und Migrieren virtueller Maschinen im Bereich der jeweiligen Benutzerrolle

  • Hinzufügen von Bibliothekservern zu VMM

  • Verwalten der Ressourcen virtueller Maschinen auf allen angegebenen Bibliotheksfreigaben auf Bibliothekservern im Bereich der Benutzerrolle

  • Erstellen von Benutzerrollen im Bereich der jeweiligen Benutzerrolle

  • Anzeigen, Ändern oder Entfernen von erstellten Benutzerrollen

  • Ausführen sämtlicher Verwaltungsvorgänge im Bereich der jeweiligen Benutzerrolle mit Ausnahme der folgenden:

    • Anzeigen, Ändern oder Entfernen von Benutzerrollen, die von Mitgliedern der Benutzerrolle Administrator oder anderen Mitgliedern der Benutzerrolle Delegierter Administrator erstellt wurden

    • Ändern globaler VMM-Einstellungen bzw. der System Center-Einstellungen in VMM

Bereich

n Hostgruppen: Administratorrechte für alle Objekte in Hostgruppen, auf Hosts und in virtuellen Netzwerken, die in den zugewiesenen Hostgruppen enthalten sind; dazu gehören u. a. virtuelle Festplatten, virtuelle Netzwerkadapter sowie SCSI-Adapter, die auf virtuellen Maschinen auf den Hosts konfiguriert wurden.

n Bibliothekserver: virtuelle Festplatten, virtuelle Disketten, ISO-Abbilddateien, Windows PowerShell-Skripts, SysPrep-Antwortdateien und VMware-Vorlagen, die auf Bibliotheksfreigaben der Bibliothekserver gespeichert sind

Clientzugriff

VMM-Administratorkonsole: Ja

Windows PowerShell – VMM-Befehlsshell: Ja

VMM-Self-Service-Portal: Nein

Hinweis

Für den Zugriff auf das VMM-Self-Service-Portal muss ein Administrator einer Self-Service-Benutzerrolle hinzugefügt werden.

Self-Service-Benutzerrollen

Self-Service-Benutzerrollen erlauben Benutzern die Verwaltung ihrer eigenen virtuellen Maschinen (d. h., deren angegebener Besitzer sie sind), innerhalb einer eingeschränkten Umgebung. Self-Service-Benutzer nutzen zur Anzeige, Ausführung und Verwaltung ihrer virtuellen Maschinen das VMM-Self-Service-Portal. Dieses Portal bietet eine vereinfachte Ansicht ausschließlich der virtuellen Maschinen, deren Besitzer der Self-Service-Benutzer ist, sowie der Vorgänge, die für die jeweilige virtuelle Maschine zulässig sind. In VMM 2008 können Self-Service-Benutzer die gleichen Vorgänge für die Objekte im Bereich ihrer Benutzerrolle auch über die Windows PowerShell - Virtual Machine Manager-Befehlsshell ausführen.

Eine Self-Service-Benutzerrolle gibt neben den Vorgängen, zu deren Ausführung die Benutzer für ihre eigenen virtuellen Maschinen berechtigt sind, die zur Erstellung virtueller Maschinen verfügbaren Vorlagen, die Hostgruppen, in denen virtuelle Maschinen bereitgestellt werden können, sowie den Bibliothekspfad, in dem die verwendeten ISO-Abbilder gespeichert sind, an.

Wenn Sie den Self-Service für virtuelle Maschinen in VMM 2007 verwendet haben, können Sie Ihre vorhandenen Self-Service-Richtlinien automatisch in Benutzerrollen umwandeln. Die Hostgruppenstruktur, unter der die Richtlinien verwaltet wurden, bleibt beim Upgrade auf VMM 2008 erhalten. Zahlreiche Self-Service-Funktionen sind in Benutzerrollen geringfügig anders implementiert als in Self-Service-Richtlinien. Einen ausführlichen Vergleich finden Sie unter Vergleich der Self-Service-Benutzerrollen und Self-Service-Richtlinien.

Wichtig

Bei der Verwaltung von Hyper-V-Hosts nutzt VMM die Berechtigungen in den Self-Service-Benutzerprofilen und nicht die rollenbasierte Zugriffssteuerung, die in Hyper-V zur Autorisierung von Vorgängen für virtuelle Maschinen konfiguriert wurde. Weitere Informationen finden Sie unter Härten der über VMM verwalteten Hosts virtueller Maschinen.

In der folgenden Tabelle sind die Merkmale von Self-Service-Benutzerrollen beschrieben. Informationen zum Erstellen von Self-Service-Benutzerrollen finden Sie unter Vorgehensweise beim Erstellen einer Self-Service-Benutzerrolle (https://go.microsoft.com/fwlink/?LinkId=162946).

Einstellungen Beschreibung

Profil

Durch eine Self-Service-Benutzerrolle kann Mitgliedern die Berechtigung zur Ausführung aller oder einer Auswahl der folgenden Vorgänge für die virtuellen Maschinen, deren Besitzer sie sind, erteilt werden:

  • Erstellen

  • Starten

  • Beenden

  • Anhalten und Fortsetzen

  • Prüfpunkt – Erstellen und Entfernen von Prüfpunkten; Wiederherstellen einer virtuellen Maschine am vorherigen Prüfpunkt

  • Entfernen

  • Lokaler Administrator: Legen Sie beim Erstellen einer virtuellen Maschine das Kennwort des lokalen Administrators fest, wenn der Benutzer über Administratorrechte für die virtuelle Maschine verfügen soll. Wenn Sie diesen Vorgang nicht erlauben, erfolgt beim Erstellen der virtuellen Maschine keine Aufforderung zur Eingabe der Anmeldeinformationen, und VMM bezieht die Anmeldeinformationen aus der SysPrep-Antwortdatei.

  • Remoteverbindung

  • Speichern in der Bibliothek: Damit hat der Benutzer die Möglichkeit, nicht verwendete virtuelle Maschinen in der VMM-Bibliothek zu speichern. Für in der Bibliothek gespeicherte virtuelle Maschinen gilt die Quote für virtuelle Maschinen nicht.

Bereich

n Hostgruppen: Die virtuellen Maschinen von Self-Service-Benutzern werden automatisch auf dem innerhalb den zugewiesenen Hostgruppen am besten geeigneten Host bereitgestellt. Die Bereitstellung erfolgt auf Basis der Anforderungen an die virtuelle Maschine und der Platzierungspräferenzen des Unternehmens. Dieser Vorgang ist für den Benutzer, der nicht weiß, wo die virtuelle Maschine bereitgestellt wurde, transparent.

1 Bibliothekspfad: Der einer Self-Service-Benutzerrolle zugewiesene Bibliothekspfad erfüllt folgende Zwecke:

  • Verfügbarmachung von ISO-Abbildern für Rollenmitglieder bei der Erstellung virtueller Maschinen

  • Speicherung virtueller Maschinen, die Rollenmitglieder mit der erforderlichen Berechtigung ausgewählt haben, in der Bibliothek

Self-Service-Benutzer haben Lesezugriff auf die virtuellen Festplatten und ISO-Abbilddateien, die zur Erstellung virtueller Maschinen verwendet werden, kennen den Speicherort der Dateien jedoch nicht.

Clientzugriff

VMM-Administratorkonsole: Nein

Windows PowerShell – VMM-Befehlsshell: Ja (innerhalb des Bereichs der Self-Service-Benutzerrolle)

VMM-Self-Service-Portal: Ja

Hinweis

Für den Zugriff auf das VMM-Self-Service-Portal muss ein Administrator einer Self-Service-Benutzerrolle hinzugefügt werden.

Zugriff auf Ressourcen virtueller Maschinen

Für das Erstellen virtueller Maschinen verwenden Self-Service-Benutzer Vorlagen, die der Rolle vom VMM-Administrator zugewiesen wurden. Damit ISO-Abbilder Self-Service-Benutzern beim Erstellen virtueller Maschinen zur Verfügung stehen, müssen die Abbilddateien in dem Bibliothekspfad gespeichert werden, der in der Self-Service-Benutzerrolle angegeben ist.

Self-Service-Benutzer können diese Ressourcen nur über das Self-Service-Portal nutzen. Sie haben ansonsten keinen Zugriff auf die Dateien, es sei denn, der Administrator hat die entsprechenden Berechtigungen durch das Dateisystem erteilt.

Zur Erhöhung der Sicherheit wissen Self-Service-Benutzer weder, auf welchen Hosts ihre virtuellen Maschinen bereitgestellt wurden, noch kennen sie den Speicherort der VMC-Konfigurationsdateien, den Bibliothekspfad, in dem die verwendeten ISO-Abbilder gespeichert sind, oder den Standort ihrer gespeicherten virtuellen Maschinen.

Anwenden einer Quote für die virtuellen Maschinen der Benutzer

Sie können die Menge der virtuellen Maschinen, die die Mitglieder einer Self-Service-Benutzerrolle gleichzeitig bereitstellen können, begrenzen, indem Sie für die Rolle eine Quote konfigurieren.

Eine Quote für virtuelle Maschinen ist ein Wert, der einer Self-Service-Benutzerrolle zugewiesen wird, um die Anzahl der virtuellen Maschinen, die Rollenmitglieder gleichzeitig bereitstellen können, einzuschränken. Die Quote kann für die von allen oder von einzelnen Rollenmitgliedern bereitgestellten virtuellen Maschinen festgelegt werden.

Da zwischen virtuellen Maschinen bezüglich der Ressourcen, die sie auf dem Host verbrauchen, große Unterschiede bestehen können, erlaubt VMM dem Administrator anstelle der Zuweisung einer Quoteneinheit pro virtueller Maschine die anforderungsgemäße Zuweisung einer bestimmten Menge von Quoteneinheiten zu jeder Vorlage für virtuelle Maschinen. Jedes Mal, wenn eine virtuelle Maschine, die auf der zugehörigen Vorlage basiert, bereitgestellt wird, erfolgt eine Anrechnung von Einheiten auf die Quote. Dies gilt unabhängig davon, ob die virtuelle Maschine gerade ausgeführt wird oder nicht (in der Bibliothek gespeicherte virtuelle Maschinen werden hingegen nicht mitgezählt).

Besitz virtueller Maschinen

Im Self-Service für virtuelle Maschinen gibt es für jede virtuelle Maschine einen Besitzer (standardmäßig der Benutzer, der die virtuelle Maschine erstellt hat) sowie eine Self-Service-Benutzerrolle (standardmäßig die Self-Service-Benutzerrolle, unter der die virtuelle Maschine erstellt wurde).

Nur der Besitzer einer virtuellen Maschine kann diese im VMM-Self-Service-Portal sehen und dort Vorgänge dafür ausführen.

Er kann den Besitz der virtuellen Maschine an jedes Mitglied derselben Self-Service-Benutzerrolle übertragen.

Gehört der Besitzer mehreren Self-Service-Benutzerrollen an, kann er den Besitz der virtuellen Maschine an ein beliebiges Mitglied einer dieser Rollen übertragen, solange die folgenden Bedingungen erfüllt sind:

  • Der aktuelle Besitzer gehört der zugewiesenen Self-Service-Benutzerrolle an.

  • Die virtuelle Maschine befindet sich im Bereich (Host oder Bibliothekspfad) dieser Benutzerrolle.

Freigeben virtueller Maschinen

Sie können virtuelle Maschinen für die Benutzer freigeben. Verwenden Sie dazu eine Sicherheitsgruppe, um die Benutzer einer Self-Service-Benutzerrolle hinzuzufügen, und geben Sie anschließend die Gruppe als Besitzer der virtuellen Maschinen an, die von den Gruppenmitgliedern gemeinsam genutzt werden sollen. Wenn ein Gruppenmitglied eine virtuelle Maschine erstellt, entspricht das Benutzerkonto dieser Person dem Standardbesitzer. Der Benutzer hat jedoch die Möglichkeit, den Besitz erneut der Gruppe zuzuweisen. Wurde die Quote für virtuelle Maschinen für einzelne Benutzer festgelegt, werden die Quoteneinheiten, die einer virtuellen Maschine in Gruppenbesitz zugewiesen wurden, auf die individuellen Quoten aller Gruppenmitglieder angerechnet.

Verwalten des Self-Service für virtuelle Maschinen

Für den Zugriff auf das VMM-Self-Service-Portal muss ein Administrator Mitglied einer Self-Service-Benutzerrolle sein. Selbstverständlich können VMM-Administratoren sämtliche Vorgänge für die virtuellen Maschinen im Bereich der Benutzerrolle über die Windows PowerShell - Virtual Machine Manager-Befehlsshell ausführen.

Siehe auch

Konzepte

Härten des VMM-Servers
Härten der über VMM verwalteten Hosts virtueller Maschinen
Härten von VMM-Self-Service-Webservern

Andere Ressourcen

Vorgehensweise beim Erstellen einer Benutzerrolle für einen delegierten Administrator
Vorgehensweise beim Erstellen einer Self-Service-Benutzerrolle