Gerenciar funções e permissões no VMM
O System Center Virtual Machine Manager (VMM) permite que você gerencie funções e permissões. O VMM fornece:
- Segurança baseada em função: as funções especificam o que os usuários podem fazer no ambiente do VMM. As funções consistem em um perfil que define um conjunto de operações disponíveis para a função, escopo que define o conjunto de objetos nos quais a função pode operar e uma lista de associação que define as contas de usuário e os grupos de segurança do Active Directory atribuídos à função.
- Contas Executar como: as contas Executar como atuam como contêineres para credenciais armazenadas que você usa para executar tarefas e processos do VMM.
Segurança baseada em função
A tabela a seguir resume as funções de usuário do VMM.
| Função de usuário do VMM | Permissões | Detalhes |
|---|---|---|
| Função de Administrador | Os membros dessa função podem executar todas as ações administrativas em todos os objetos gerenciados pelo VMM. | Somente os administradores podem adicionar um servidor WSUS ao VMM para habilitar atualizações da malha do VMM por meio do VMM. |
| Administrador da máquina virtual | Os administradores podem criar a função (aplicável ao VMM 2019 e posterior). | O administrador delegado pode criar uma função de administrador de VM que inclua todo o escopo ou um subconjunto de seu escopo, servidores de biblioteca e contas Executar como. |
| Administrador de malha (administrador delegado) | Os membros dessa função podem executar todas as tarefas administrativas em seus grupos de hosts, nuvens e servidores de biblioteca atribuídos. | Os administradores delegados não podem modificar as configurações do VMM, adicionar ou remover membros da função de usuário administradores ou adicionar servidores WSUS. |
| Administrador somente leitura | Os membros dessa função podem exibir propriedades, status e status de trabalho de objetos em seus grupos de hosts, nuvens e servidores de biblioteca atribuídos, mas não podem modificar os objetos. | O administrador somente leitura também pode exibir contas Executar como que os administradores ou administradores delegados especificaram para essa função de usuário administrador somente leitura. |
| Administrador de locatários | Os membros dessa função podem gerenciar usuários de autoatendimento e redes VM. | Os Administrador de Inquilinos podem criar, implantar e gerenciar suas próprias máquinas virtuais e serviços usando o console do VMM ou um portal da Web. Os Administradores de Inquilinos também podem especificar quais tarefas os usuários de autoatendimento podem executar em suas máquinas virtuais e serviços. Os Administrador de Inquilinos podem informar cotas em máquinas virtuais e recursos de computação. |
| Administrador de locatários | Os membros dessa função podem gerenciar usuários de autoatendimento e redes VM. | Os administradores de locatários podem criar, implantar e gerenciar suas próprias máquinas virtuais e serviços usando o console do VMM ou um portal da Web. Os Administradores de Inquilinos também podem especificar quais tarefas os usuários de autoatendimento podem executar em suas máquinas virtuais e serviços. Os Administrador de Inquilinos podem informar cotas em máquinas virtuais e recursos de computação. |
| Administrador de aplicativos (usuário de autoatendimento) | Os membros dessa função podem criar, implantar e gerenciar suas próprias máquinas virtuais e serviços. | Eles podem gerenciar o VMM usando o console do VMM. |
| Função de usuário do VMM | Permissões | Detalhes |
|---|---|---|
| Função de Administrador | Os membros dessa função podem executar todas as ações administrativas em todos os objetos gerenciados pelo VMM. | Somente os administradores podem adicionar um servidor WSUS ao VMM para habilitar atualizações da malha do VMM por meio do VMM. |
| Administrador da máquina virtual | Os administradores podem criar a função. | O administrador delegado pode criar uma função de administrador de VM que inclua todo o escopo ou um subconjunto de seu escopo, servidores de biblioteca e contas Executar como. |
| Administrador de malha (administrador delegado) | Os membros dessa função podem executar todas as tarefas administrativas em seus grupos de hosts, nuvens e servidores de biblioteca atribuídos. | Os administradores delegados não podem modificar as configurações do VMM, adicionar ou remover membros da função de usuário administradores ou adicionar servidores WSUS. |
| Administrador somente leitura | Os membros dessa função podem exibir propriedades, status e status de trabalho de objetos em seus grupos de hosts, nuvens e servidores de biblioteca atribuídos, mas não podem modificar os objetos. | O administrador somente leitura também pode exibir contas Executar como que os administradores ou administradores delegados especificaram para essa função de usuário administrador somente leitura. |
| Administrador de locatários | Os membros dessa função podem gerenciar usuários de autoatendimento e redes VM. | Os administradores de locatários podem criar, implantar e gerenciar suas próprias máquinas virtuais e serviços usando o console do VMM ou um portal da Web. Os Administradores de Inquilinos também podem especificar quais tarefas os usuários de autoatendimento podem executar em suas máquinas virtuais e serviços. Os Administrador de Inquilinos podem informar cotas em máquinas virtuais e recursos de computação. |
| Administrador de aplicativos (usuário de autoatendimento) | Os membros dessa função podem criar, implantar e gerenciar suas próprias máquinas virtuais e serviços. | Eles podem gerenciar o VMM usando o console do VMM. |
Contas Executar como
Existem diferentes tipos de contas Executar como:
- As contas de computador host são usadas para interagir com servidores de virtualização.
- As contas BMC são usadas para se comunicar com o BMC em hosts para gerenciamento fora de banda ou otimização de energia.
- As contas externas são usadas para se comunicar com aplicativos externos, como o Operations Manager.
- As contas de dispositivo de rede são usadas para se conectar com balanceadores de carga de rede.
- As contas de perfil são usadas em perfis Executar como quando você está implantando um serviço do VMM ou criando perfis.
Observação
- O VMM usa a DPAPI (API de Proteção de Dados do Windows) para fornecer serviços de proteção de dados no nível do sistema operacional durante o armazenamento e a recuperação das credenciais da conta Executar como. A DPAPI é um serviço de proteção de dados baseado em senha que usa rotinas criptográficas (o algoritmo forte Triple-DES, com chaves fortes) para compensar o risco representado pela proteção de dados baseada em senha. Saiba mais.
- Ao instalar o VMM, você pode configurar o VMM para usar o Gerenciamento Distribuído de Chaves para armazenar chaves de criptografia no Active Directory.
- Você pode configurar contas Executar como antes de começar a gerenciar o VMM ou pode configurar contas Executar como se precisar delas para ações específicas.
Próximas etapas
- Configure funções de usuário.
- Configure contas executar como.