Administrar roles y permisos en VMMManage roles and permissions in VMM

Se aplica a: System Center 2016 - Virtual Machine ManagerApplies To: System Center 2016 - Virtual Machine Manager

System Center 2016: Virtual Machine Manager (VMM) permite administrar roles y permisos.System Center 2016 - Virtual Machine Manager (VMM) allows you to manage roles and permissions. VMM proporciona lo siguiente:VMM provides:

  • Seguridad basada en roles: los roles especifican lo que los usuarios pueden hacer en el entorno de VMM.Role-based security: Roles specify what users can do in the VMM environment. Los roles constan de un perfil que define un conjunto de operaciones disponibles para el rol, un ámbito que define el conjunto de objetos en el que puede funcionar el rol y una lista de miembros que define las cuentas de usuario de Active Directory y los grupos de seguridad asignados al rol.Roles consist of a profile that defines a set of available operations for the role, scope which define the set of objects on which the role can operate, and a membership list that defines the Active Directory user accounts and security groups that are assigned to the role.
  • Cuentas de ejecución: las cuentas de ejecución actúan como contenedores para las credenciales almacenadas que se usan para ejecutar tareas y procesos de VMM.Run As accounts: Run As accounts act as containers for stored credentials that you use to run VMM tasks and processes.

Seguridad basada en rolesRole based security

En la tabla siguiente se resumen los roles de usuario de VMM.The following table summarizes VMM user roles.

Rol de usuario de VMMVMM user role PermisosPermissions DetallesDetails
Rol de administradorAdministrator role Los miembros de este rol pueden realizar todas las acciones administrativas en todos los objetos que administra VMM.Members of this role can perform all administrative actions on all objects that VMM manages. Los administradores son los únicos que pueden agregar un servidor WSUS a VMM para habilitar las actualizaciones del tejido de VMM a través de VMM.Only administrators can add a WSUS server to VMM to enable updates of the VMM fabric through VMM.
Administrador del tejido (administrador delegado)Fabric Administrator (Delegated Administrator) Los miembros de este rol pueden realizar todas las tareas administrativas dentro de sus grupos host, nubes y servidores de biblioteca asignados.Members of this role can perform all administrative tasks within their assigned host groups, clouds, and library servers. Los administradores delegados no pueden modificar la configuración de VMM, ni agregar o quitar miembros del rol de usuario Administradores, ni agregar servidores WSUS.Delegated Administrators cannot modify VMM settings, add or remove members of the Administrators user role, or add WSUS servers.
Administrador de solo lecturaRead-Only Administrator Los miembros de este rol pueden ver las propiedades, el estado y el estado del trabajo de los objetos de sus grupos host, nubes y servidores de biblioteca asignados, pero no pueden modificar los objetos.Members of this role can view properties, status, and job status of objects within their assigned host groups, clouds, and library servers, but they cannot modify the objects. El administrador de solo lectura también puede ver las cuentas de ejecución que los administradores o los administradores delegados hayan especificado para el rol de usuario Administrador de solo lectura.The read-only administrator can also view Run As accounts that administrators or delegated administrators have specified for that read-only administrator user role.
Administrador de inquilinosTenant Administrator Los miembros de este rol pueden administrar usuarios de autoservicio y redes de VM.Members of this role can manage self-service users and VM networks. Los administradores de inquilinos pueden crear, implementar y administrar sus propios servicios y máquinas virtuales a través de la consola VMM o un portal web.Tenant administrators can create, deploy, and manage their own virtual machines and services by using the VMM console or a web portal.

También pueden especificar qué tareas pueden realizar los usuarios de autoservicio en sus máquinas virtuales y servicios.Tenant administrators can also specify which tasks the self-service users can perform on their virtual machines and services.

Los administradores de inquilinos pueden asignar cuotas a recursos computacionales y máquinas virtuales.Tenant administrators can place quotas on computing resources and virtual machines.
Administrador de aplicaciones (usuario de autoservicio)Application Administrator (Self-Service User) Los miembros de este rol pueden crear, implementar y administrar sus propias máquinas virtuales y servicios.Members of this role can create, deploy, and manage their own virtual machines and services. Pueden administrar VMM mediante la consola VMM.They can manage VMM using the VMM console.

Cuentas de ejecuciónRun As accounts

Hay distintos tipos de cuentas de ejecución:There are different types of Run As accounts:

  • Las cuentas de equipo host se usan para interactuar con los servidores de virtualización.Host computer accounts are used to interact with virtualization servers.
  • Las cuentas de BMC se usan para comunicarse con BMC en hosts para la administración fuera de banda o la optimización de energía.BMC accounts are used to communicate with the BMC on hosts for out-of-band management or power optimization.
  • Las cuentas externas se usan para la comunicación con aplicaciones externas, como Operations Manager.External account are used to communication with external apps such as Operations Manager.
  • Las cuentas de dispositivo de red se usan para conectarse con equilibradores de carga de red.Network device accounts are used to connect with network load balancers.
  • Las cuentas de perfil se usan en perfiles de ejecución al realizar la implementación en un servicio VMM o al crear perfiles.Profile accounts are used in Run As profiles when you're deploying a VMM service, or creating profiles.

Tenga en cuenta que:Note that:

  • VMM usa la API de protección de datos de Windows (DPAPI) para proporcionar servicios de protección de datos a nivel de sistema operativo durante el almacenamiento y la recuperación de las credenciales de la cuenta de ejecución.VMM uses the Windows Data Protection API (DPAPI) to provide operating system level data protection services during storage and retrieval of the Run As account credentials. DPAPI es un servicio de protección de datos mediante contraseña que utiliza rutinas criptográficas (el algoritmo seguro Triple DES, con claves seguras) para contrarrestar el riesgo que supone la protección de datos mediante contraseña.DPAPI is a password-based data protection service that uses cryptographic routines (the strong Triple-DES algorithm, with strong keys) to offset the risk posed by password-based data protection. Obtenga más información.Learn more.
  • Al instalar VMM, puede configurar VMM para usar la administración de claves distribuida para almacenar claves de cifrado en Active Directory.When you install VMM, you can configure VMM to use Distributed Key Management to store encryption keys in Active Directory.
  • Puede configurar cuentas de ejecución antes de empezar la administración de VMM o bien si las necesita para acciones específicas.You can set up Run As accounts before you start managing VMM, or you can set up Run As accounts if you need them for specific actions.

Pasos siguientesNext steps