Administrar roles y permisos en VMM
Importante
Esta versión de Virtual Machine Manager (VMM) ha llegado al final del soporte técnico. Se recomienda actualizar a VMM 2022.
System Center - Virtual Machine Manager (VMM) permite administrar roles y permisos. VMM proporciona lo siguiente:
- Seguridad basada en roles: los roles especifican lo que los usuarios pueden hacer en el entorno de VMM. Los roles constan de un perfil que define un conjunto de operaciones disponibles para el rol, un ámbito que define el conjunto de objetos en el que puede funcionar el rol y una lista de miembros que define las cuentas de usuario de Active Directory y los grupos de seguridad asignados al rol.
- Cuentas de ejecución: las cuentas de ejecución actúan como contenedores para las credenciales almacenadas que se usan para ejecutar tareas y procesos de VMM.
Seguridad basada en roles
En la tabla siguiente se resumen los roles de usuario de VMM.
| Rol de usuario de VMM | Permisos | Detalles |
|---|---|---|
| Rol de administrador | Los miembros de este rol pueden realizar todas las acciones administrativas en todos los objetos que administra VMM. | Los administradores son los únicos que pueden agregar un servidor WSUS a VMM para habilitar las actualizaciones del tejido de VMM a través de VMM. |
| Administrador de máquina virtual | Los administradores pueden crear el rol (aplicable a VMM 2019 y versiones posteriores). | El administrador delegado puede crear un rol de administrador de máquina virtual que incluya todo el ámbito o un subconjunto de su ámbito, servidores de biblioteca y cuentas de Run-As. |
| Administrador de Tejido (administrador delegado) | Los miembros de este rol pueden realizar todas las tareas administrativas dentro de sus grupos host, nubes y servidores de biblioteca asignados. | Los administradores delegados no pueden modificar la configuración de VMM, agregar o quitar miembros del rol de usuario administradores ni agregar servidores WSUS. |
| administrador de Read-Only | Los miembros de este rol pueden ver las propiedades, el estado y el estado del trabajo de los objetos dentro de sus grupos host, nubes y servidores de biblioteca asignados, pero no pueden modificar los objetos. | El administrador de solo lectura también puede ver las cuentas de ejecución que los administradores o los administradores delegados hayan especificado para el rol de usuario Administrador de solo lectura. |
| Administrador de inquilinos | Los miembros de este rol pueden administrar usuarios de autoservicio y redes de VM. | Los administradores de inquilinos pueden crear, implementar y administrar sus propios servicios y máquinas virtuales a través de la consola VMM o un portal web. También pueden especificar qué tareas pueden realizar los usuarios de autoservicio en sus máquinas virtuales y servicios. Los administradores de inquilinos pueden asignar cuotas a recursos computacionales y máquinas virtuales. |
| Administrador de aplicaciones (usuario de autoservicio) | Los miembros de este rol pueden crear, implementar y administrar sus propias máquinas virtuales y servicios. | Pueden administrar VMM mediante la consola VMM. |
Cuentas de ejecución
Hay distintos tipos de cuentas de ejecución:
- Las cuentas de equipo host se usan para interactuar con los servidores de virtualización.
- Las cuentas de BMC se usan para comunicarse con BMC en hosts para la administración fuera de banda o la optimización de energía.
- La cuenta externa se usa para comunicarse con aplicaciones externas, como Operations Manager.
- Las cuentas de dispositivo de red se usan para conectarse con equilibradores de carga de red.
- Las cuentas de perfil se usan en perfiles de ejecución al implementar un servicio VMM o crear perfiles.
Nota
- VMM usa la API de protección de datos de Windows (DPAPI) para proporcionar servicios de protección de datos a nivel de sistema operativo durante el almacenamiento y la recuperación de las credenciales de la cuenta de ejecución. DPAPI es un servicio de protección de datos mediante contraseña que utiliza rutinas criptográficas (el algoritmo seguro Triple DES, con claves seguras) para contrarrestar el riesgo que supone la protección de datos mediante contraseña. Más información.
- Al instalar VMM, puede configurar VMM para usar la administración de claves distribuida para almacenar claves de cifrado en Active Directory.
- Puede configurar cuentas de ejecución antes de empezar a administrar VMM o puede configurar cuentas de ejecución si las necesita para acciones específicas.
Pasos siguientes
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de