Hyper-V: Extra Rechte auf Hyper-V für Nicht-Adminuser einrichten

user-adminGrundsätzlich darf auf einen Hyper-V Server nur ein Administrator zugreifen (Mitglied der lokalen Administratorengruppe). Setzt man den System Center Virtual Machine Manager (SCVMM) ein, so ermöglicht dieser einem u.a. ein rollenbasiertes Management. Dabei erfindet er das Rad nicht neu, sondern setzt ein Feature des Hyper-Vs ein, dass in meinen Augen zwar gut dokumentiert aber relativ unbekannt ist.

Dazu verwendet Hyper-V das rollenbasierte Accessmanagement (RBAC) und die dafür verfügbare GUI AzMan. Die Konfigurationsinformationen werden in einer XML Datei unter ProgramData\Microsoft\Windows\Hyper-V\InitialStorage.xml abgelegt. Achtung: Verwendet man den VMM Agent, so wird der Ort der XML Datei auf ProgramData\microsoft\Virtual Machine Manager\HyperVAuthStore.xml geändert!

Ich beschreibe hier die Vorgehensweise, wie man einer zusätzlichen benutzergruppe das Recht einräumen kann auf die Konsole der Virtuellen Maschinen zugreifen zu können:

Zuerst startet man die AzMan Konsole:

image

Über Stamm der Konsole wählt man den Autorisierungsspeicher (XML-Format) aus:

image

Wie oben beschrieben liegt die XML Datei auf dem Hyper-V Host unter c:\ProgramData\…

image

image

Jetzt kann man eine neue Rollendefinition unter Definitionen\Rollendefinitionen ablegen. In diesem Bespiel nenne ich die Rolle “Connect with VMV”:

image

In der neuen Definition werden unter Vorgänge die zu vergebenden Rechte festgelegt:

image

“Allow Input to Virtual Machine” und “Allow Output from Virtual Machine” ermöglicht den Zugriff auf die Console (Output) und die Steuerung von Tastatur und Maus (Input). Eine View-Only Rolle hätte somit nur ein Output Recht. Die Rolle sieht jetzt so aus:

image

Der Rolle muss jetzt unter Rollenzuweisungen eine Berechtigungsgruppe zugeordnet werden:

image

Hier kann man lokale Gruppen, Active Directory Gruppen oder auch einzelne Benutzer hinzufügen.

This entry was posted in Deutsch, Hyper-V, Virtual Machine Manager and tagged . Bookmark the permalink.