Роли пользователя

120612_0954_QuestionHow2

Microsoft System Center 2012 SP1 Virtual Machine Manager.
Правильно заданные разрешения важны как никогда.
Управление средой частного «облака» обычно включает в себя не только простое предоставление шаблонов, которые администраторы используют для развертывания новых виртуальных машин. Зачастую администраторам необходима возможность управлять частными «облаками», виртуальными машинами и даже хостами виртуализации. Таким образом, важно иметь четко определенные полномочия управления в среде частного «облака».
На этот случай Microsoft System Center 2012 SP1 Virtual Machine Manager (VMM 2012 SP1) предоставляет возможность создавать роли пользователя. С ролями пользователей вы можете определять области и объекты, которыми может управлять администратор. Кроме того, вы можете описывать процесс управления, который выполняется администратором. Сначала я опишу типы ролей пользователя, доступные в VMM 2012 SP1, а затем покажу, как назначать администраторам существующие роли пользователя и как создавать новые роли.
Разбираемся с ролями
В VMM 2012 SP1 каждая пользовательская роль, которую вы создаете, содержит набор привилегий. Кроме того, каждая роль связана с определенной областью. В окружении частного «облака» полномочия редко распространяются на всю виртуальную инфраструктуру. Вместо этого они делегируются на низшие уровни, будь то частное «облако», группы хостов или ресурсы библиотеки. VMM 2012 SP1 позволяет вам установить различные типы ролей пользователей. Итак, что включают в себя роли пользователя, с которыми вы можете работать?
Администратор (Administrator). Роль пользователя «Администратор» уже предопределена при установке VMM 2012 SP1. Данная роль по умолчанию имеет самую широкую область управления. Члены роли «Администратор» могут выполнять все административные задачи на всех объектах (как виртуальных, так и физических), которыми управляет VMM. Некоторые задачи специфичны исключительно для данной роли и не могут быть переданы другой. Например, только члены роли Administrator могут добавлять автономный сервер Citrix Systems XenScrver к серверу управления VMM или сервер Windows Server Update Services (WSUS) — для управления фабрикой VMM. Фабрика Fabric — это термин, описывающий инфраструктуру, необходимую для управления и развертывания хостов, а также для создания и развертывания виртуальных машин и служб в частном «облаке». Область для роли Administrator невозможно определить повторно (например, ограничить), поэтому количество членов должно быть сведено к минимуму. Обычно члены роли — администраторы компании-провайдера «облака». Пользовательская роль Administrator может создавать другие пользовательские роли и управлять членством другой роли пользователя. Вы никогда не сможете назначать пользователей этой роли. Fabric Administrator («Администратор фабрики»). Члены роли Fabric Administrator могут выполнять все административные задачи, но в рамках определенной области. Областью могут быть группа хостов, частное «облако» или один и более серверов библиотек. Однако изменять общие настройки VMM или членство роли пользователя Administrator нельзя. Если вы хотите дать администратору разрешение полностью управлять частным «облаком» с помощью VMM, это та роль, которую вы должны использовать. Для прикладной предоставляемой среды это очень полезная роль пользователя. Например, если вы являетесь провайдером «облака» и управляете виртуальным окружением с помощью VMM, вы, вероятно, захотите, чтобы ваши клиенты, будучи членами роли Fabric Administrator, могли полностью управлять объектами и инфраструктурой внутри своего частного «облака». В данном сценарии вы определите различные пользовательские роли с профилем Fabric Administrator — одну для каждого создаваемого частного «облака». Другой сценарий для использования данного типа роли заключается в том, чтобы делегировать другим администраторам возможность частично управлять вашей виртуальной инфраструктурой. Например, вы можете дать администратору право управлять отдельными группами хостов или серверами библиотек. Обратите внимание, что эта роль пользователя имеет название Delegated Administrator в версии release to manufacturing (RTM) VMM 2012.