По умолчанию Hyper-V разрешает создание и управление виртуальными машинами только администраторам. Сегодня я расскажу о том, как делегировать эти права пользователям, не обладающими правами администратора сервера.

Hyper-V используют новую модель авторизации пользователей — Authorization Management Framework, которая позволяет гибко настроить права пользователей на виртуальные машины. Модель очень хорошо продумана и имеет ряд интересных моментов.

Основные термины:

Операция (Operation)

Основной кирпичик модели авторизации — представляет собой действие, которое пользователь может произвести. Примерами операций модели являются op_Create_VM, позволяющая создать виртуальную машину и op_Start_VM, соответственно, запускающая виртуальную машину.

Задача (Task)

Задача — это группа операций, требуемых для выполнения некоторых действий. По умолчанию мы не создаем никаких заданий, но если бы мы могли создать задачу control_VM, то нам бы потребовалось добавить в эту группу операции по запуску (op_Start_VM), остановке (op_Stop_VM), приостановке (op_Pause_VM) и перезапуску (op_Restart_VM) для выполнения необходимых в задаче действий.

Роль (Role)

Роль определяет должность, круг задач или зону ответственности для пользователя. Например, может потребоваться роль Virtual_Network_Admin. Эта роль будет иметь права на все операции и задачи, связанные с виртуальными сетями. При необходимости эту роль можно будет назначать пользователям.

Область (Scope)

Область позволяет вам указать, какие объекты управляются конкретными ролями. Если у вас есть система, и вы хотели бы быть дать пользователю административный доступ к некому набору виртуальных машин в ней, вам потребуется создать область, содержащую эти конкретные виртуальные машины, а затем применить ваши настройки к данной области.

Область по умолчанию (Default Scope)

Область по умолчанию присваивается виртуальным машинам, для которых явно не задана другая область.

Hyper-V может хранить настройки модели авторизации в Active Directory или в локальном файле в формате XML. По умолчанию после установки роли Hyper-V настройки хранятся в файле, который находится по адресу: %programdata%\Microsoft\Windows\Hyper-V\InitialStore.xml. Для того, чтобы изменить настройки, вам потребуется:

Запустить приложение MMC. (Для этого  нажмите комбинацию клавиш ‘Win + R’, затем выполните mmc.exe).

В меню Файл выбрать Добавить или удалить оснастку…

Добавить Диспетчер авторизации.

В дереве консоли (левой панели ) выбрать Диспетчер авторизации, затем в меню Действие выбрать пункт Открыть хранилище данных авторизации…

Выбрать XML file в предлагаемом диалоге Открытие хранилища данных авторизации: и открыть файл по указанному выше пути. (Папка programdata является скрытой, так что проще будет скопировать путь целиком).

Выберите InitialStore.xml, затем Hyper-V services, далее Назначение ролей и в конце концов Administrator.
В меню Действие выберите Назначить пользователей и группы, затем из Windows and Active Directory, далее выберите пользователя, которому хотите делегировать права на управления Hyper-V.

Нажмите OK и закройте окно MMC. (При этом можно сохранить или отменить настройки MMC. Это не повлияет на изменения, внесенные вами в модель авторизации).

На этом ваша задача выполнена. Пользователь может полностью контролировать Hyper-V, не являясь администратором на этом сервере. Делегирование гранулярных прав на конкретные виртуальные машины осуществляется абсолютно таким же образом.