我们上一篇文章介绍了如何实现SCVMM2012R2的群集配置,今天呢,就主要介绍一下SCVMM的权限分配,,主要提高服务的安全性,对于一个企业来说,企业应用及服务的权限相当重要,关系到整个企业的信息服务安全,所以很多大的企业权限是分配的很详细的,那权限怎么分配呢,具体见下:
首先是环境介绍:
Hostname:internalsoft-dc
Ip:10.10.1.254
Role:DC、dns
Hostname:scvmm2012r2-01
Ip:10.10.1.40
Role:SCVMM Service01
Hostname:scvmm2012r2-02
Ip:10.10.1.41
Role:SCVMM Service02
Hostname:ISCSI-Server
Ip:10.10.1.6
Role:ISCSI Server
Hostname:TMG
Ip:10.10.1.1
Role:Gateway server
Hostname:Client
Ip:10.10.1.38
Role:scvmm client
首先是安装一个scvmm client
在此我使用的是windows2012操作系统做client,所以需要安装net framework 3.5.1
挂在系统os,然后在安装net framwoork3.5的时候需要指定备用路径
我们放入SCVMM的安装光盘,然后运行,单机安装
我们选择VMM控制台
选择安装路径
Client端口配置,默认端口即可
确认信息后,单击开始安装
Scvmm client安装完成
接下来我们单机安装的client,进行登陆。我们还是通过scvmm cluster的服务地址登陆
验证登陆中
登陆完成
我为了更好的管理SCVMM的权限,我们在AD用户组创建以下组织信息。
Group Name:SCVMMADMIN
Member:gavin
Group Name :SCVMMREADONLY
Member:bob
根据自己的需求定义创建组织信息
组织信息创建完成
组内的人员信息
确认组内的人员信息
开始管理分配SCVMM服务角色:单击--SCVMM服务器端---创建用户角色
定义SCVMM权限名称
我们选择委派管理员
我们选择AD内定义的SCVMM_ADMINS组
根据自己的需求选择,因为我们没有定义多个作用域---主机组,所以只有全部,所以我们再次选择全部,可根据自己的需求选择定义
权限角色定义完成
角色权限定义完成
定义完成后
我们再次添加一个用户角色----READONLY
我们定义一个只读管理员
我们选择AD内定义的组织名称----SCVMM_READONLY
设置完成
指定的角色权限配置完成。默认只有一个管理员类型的全组
我们最后查看管理员的用户属性;里面默认有domain admins、scvmm服务账户、计算机账户及域的administrator的权限。
我们最后就是测试一下委派管理员和readonly用户组的权限
我们先测试gaviin,gavin为管理员
登录后,我们发现该用户是可以创建vm及修改相关配置的权限的
我们在通过bob登录,该用户属于SCVMM_READONL用户组
我们发现该用户登录后,vm的状态之有查看的,没有创建vm的选项
