martes, 11 de octubre de 2011

Entendiendo AZMAN.MSC en Hyper-V para dar permisos…

Ahora un poco de virtualización y Hyper-V…..un problema que tuve es como dar acceso a 25 estudiantes a un servidor Hyper-V donde se encuentran sus virtuales, si bien la solución más sencilla es darles la cuenta de administración y después es tierra de nadie el Server y el Hyper-V J, vi que tenemos otras opciones por ejemplo:
1) Crear una cuenta para cada alumno, darles acceso por remote desktop y darles privilegios de administrador a cada uno; con esto tenemos casi el mismo caso anterior, ya que cada uno podrá hacer lo que quiere en el servidor pero lo interesante (en comparación con el anterior caso) es que podrán tener acceso al servidor cada uno. Pero como es un remote desktop entonces tenemos que habilitar el Terminal Services License (ahora en 2008R2 es Remote Desktop Licenses), y ahí ya se complica más la cosa, pues es una licencia aparte, y además ingresar por Remote Desktop es realmente requerido??
2) Utilizar la consola de Hyper-V para administrar, dar privilegios de admin a cada estudiante; para este caso es necesario instalar el Remote Server Administration Tool (RSAT) que es una consola que nos permitirá administrar los diferentes roles del servidor Windows Server 2008 R2, incluido el Hyper-V, después es solo crear los diferentes usuarios en el Hyper-V y todos podrían utilizar el Hyper-V console para correr las virtuales y hacer todo lo necesario sin necesidad del Remote Desktop, lo cual es muy bueno!, pero al ser todos administradores del servidor todavía necesitamos separar esta parte para que no causen problemas al equipo en sí.

3) Utilizar la consola de Hyper-V para administrar, dar privilegios de usuario a cada estudiante y a cada estudiante dar privilegios de Admin sólo en el Hyper-V; bien esta es una solución más interesante, ya que se instalara la consola de Hyper-V como se mencionó anteriormente, y ahora se dará privilegios de usuario a cada estudiante, lo que es mucho mejor para evitar problemas de desconfiguración en el equipo (como la adicion de otros roles, etc.), el problema radica en que al ser usuario tú no puedes utilizar el Hyper-V console, levantar equipos, ni nada, para este punto es necesario permitir a los NO administradores controlar el Hyper-V y utilizaremos el Authorization Manager para este fin (AZMAN.MSC), lo que debes hacer es ejecutar el comando AZMAN.MSC, después en Authorization Manager seleccionar Open Authorization Store (tarda unos segundos en abrir), y después eliges la opción de XML file (hay opciones de SQL y ADAM, pero no es el caso acá); el archivo XML que abrirás se llama InitialStore.xml y se encuentra en C:\ProgramData\Microsoft\Windows\Hyper-V; selecciónalo y podrás ver el siguiente menú:


En Role Assigments elige Administrator y haciendo right click en Administrator elige Assign Users and Groups à From Windows and Active Directory


Ahora es sólo seleccionar los diferentes usuarios que tenemos, así ellos tendrán privilegios de Administrador en el Hyper-V server para poder usar y controlar las máquinas virtuales que existen.

Sin embargo el problema (todavía) es que ellos podrán utilizar cualquier máquina virtual que se encuentre ahí, así que si tenemos 25 máquinas virtuales para cada estudiante, cada uno podrá utilizar la máquina virtual que quiera o apagar la de su compañero, o etc. Lo cual trae otro problema adicional, ya mínimo, pero todavía un problema, sin embargo en algunas situaciones este punto me dio la solución (cuando asigno a cada estudiante un Hyper-V).

4) Utilizar la consola de Hyper-V para administrar, dar privilegios de usuario a cada estudiante a cada estudiante dar privilegios de Admin en el Hyper-V utilizar un SCOPE para cada administrador; OK ahora una solución más completa, podemos utilizar el Scope que trae el Authorization Manager, para definir qué objetos son ‘pertencientes’ por cual Rol, en este caso específico queremos que los estudiantes solo puedan tener acceso a un subset de máquinas virtuales. Este proceso es un poco más complejo de lo que pensé inicialmente, así que en un futuro blog post estaré definiendo en detalle cómo se realiza!,

Bueno pero ahora tienes una visión más completa de los permisos con Hyper-V y el uso de la herramienta AZMAN.MSC !

1 comentario:

Anónimo dijo...

Muy útil para mi !!Gracias!!

Publicar un comentario