Gérer les rôles et les autorisations dans VMM
System Center Virtual Machine Manager (VMM) vous permet de gérer des rôles et des autorisations. VMM fournit :
- Sécurité basée sur les rôles : les rôles spécifient ce que les utilisateurs peuvent faire dans l’environnement VMM. Les rôles se composent d’un profil qui définit un ensemble d’opérations disponibles pour le rôle, l’étendue qui définit l’ensemble d’objets sur lesquels le rôle peut fonctionner et une liste d’appartenances qui définit les comptes d’utilisateur Active Directory et les groupes de sécurité affectés au rôle.
- Comptes d’identification : les comptes d’identification agissent en tant que conteneurs pour les informations d’identification stockées que vous utilisez pour exécuter des tâches et des processus VMM.
Sécurité basée sur les rôles
Le tableau suivant récapitule les rôles d’utilisateur VMM.
| Rôle d’utilisateur VMM | autorisations | Détails |
|---|---|---|
| Rôle Administrateur | Les membres de ce rôle peuvent effectuer toutes les actions administratives sur tous les objets que VMM gère. | Seuls les administrateurs peuvent ajouter un serveur WSUS à VMM pour activer les mises à jour de l’infrastructure VMM via VMM. |
| Administrateur de machines virtuelles | Les administrateurs peuvent créer le rôle (s’applique à VMM 2019 et ultérieur). | L’administrateur délégué peut créer un rôle d’administrateur de machine virtuelle qui inclut toute l’étendue ou un sous-ensemble de leur étendue, serveurs de bibliothèque et comptes d’identification. |
| Administrateur d’infrastructure (administrateur délégué) | Les membres de ce rôle peuvent effectuer toutes les tâches administratives au sein de leurs groupes hôtes, clouds et serveurs de bibliothèque affectés. | Les administrateurs délégués ne peuvent pas modifier les paramètres VMM, ajouter ou supprimer des membres du rôle d’utilisateur administrateurs ou ajouter des serveurs WSUS. |
| Administrateur en lecture seule | Les membres de ce rôle peuvent afficher les propriétés, l’état et l’état des travaux des objets au sein de leurs groupes hôtes, clouds et serveurs de bibliothèque affectés, mais ils ne peuvent pas modifier les objets. | L’administrateur en lecture seule peut également afficher les comptes d’identification que les administrateurs ou les administrateurs délégués ont spécifiés pour ce rôle d’utilisateur administrateur en lecture seule. |
| Administrateur client | Les membres de ce rôle peuvent gérer les utilisateurs en libre-service et les réseaux de machines virtuelles. | Les administrateurs client peuvent créer, déployer et gérer leurs propres ordinateurs virtuels et services à l'aide de la console VMM ou d'un portail Web. Les administrateurs client peuvent également spécifier les tâches que les utilisateurs libre-service peuvent effectuer sur leurs ordinateurs virtuels et services. Les administrateurs client peuvent placer des quotas sur les ressources informatiques et les ordinateurs virtuels. |
| Administrateur client | Les membres de ce rôle peuvent gérer les utilisateurs en libre-service et les réseaux de machines virtuelles. | Les administrateurs clients peuvent créer, déployer et gérer leurs propres machines virtuelles et services à l’aide de la console VMM ou d’un portail web. Les administrateurs client peuvent également spécifier les tâches que les utilisateurs libre-service peuvent effectuer sur leurs ordinateurs virtuels et services. Les administrateurs client peuvent placer des quotas sur les ressources informatiques et les ordinateurs virtuels. |
| Administrateur d’application (utilisateur libre-service) | Les membres de ce rôle peuvent créer, déployer et gérer leurs propres machines virtuelles et services. | Ils peuvent gérer VMM à l’aide de la console VMM. |
| Rôle d’utilisateur VMM | autorisations | Détails |
|---|---|---|
| Rôle Administrateur | Les membres de ce rôle peuvent effectuer toutes les actions administratives sur tous les objets que VMM gère. | Seuls les administrateurs peuvent ajouter un serveur WSUS à VMM pour activer les mises à jour de l’infrastructure VMM via VMM. |
| Administrateur de machines virtuelles | Les administrateurs peuvent créer le rôle. | L’administrateur délégué peut créer un rôle d’administrateur de machine virtuelle qui inclut toute l’étendue ou un sous-ensemble de leur étendue, serveurs de bibliothèque et comptes d’identification. |
| Administrateur d’infrastructure (administrateur délégué) | Les membres de ce rôle peuvent effectuer toutes les tâches administratives au sein de leurs groupes hôtes, clouds et serveurs de bibliothèque affectés. | Les administrateurs délégués ne peuvent pas modifier les paramètres VMM, ajouter ou supprimer des membres du rôle d’utilisateur administrateurs ou ajouter des serveurs WSUS. |
| Administrateur en lecture seule | Les membres de ce rôle peuvent afficher les propriétés, l’état et l’état des travaux des objets au sein de leurs groupes hôtes, clouds et serveurs de bibliothèque affectés, mais ils ne peuvent pas modifier les objets. | L’administrateur en lecture seule peut également afficher les comptes d’identification que les administrateurs ou les administrateurs délégués ont spécifiés pour ce rôle d’utilisateur administrateur en lecture seule. |
| Administrateur client | Les membres de ce rôle peuvent gérer les utilisateurs en libre-service et les réseaux de machines virtuelles. | Les administrateurs clients peuvent créer, déployer et gérer leurs propres machines virtuelles et services à l’aide de la console VMM ou d’un portail web. Les administrateurs client peuvent également spécifier les tâches que les utilisateurs libre-service peuvent effectuer sur leurs ordinateurs virtuels et services. Les administrateurs client peuvent placer des quotas sur les ressources informatiques et les ordinateurs virtuels. |
| Administrateur d’application (utilisateur libre-service) | Les membres de ce rôle peuvent créer, déployer et gérer leurs propres machines virtuelles et services. | Ils peuvent gérer VMM à l’aide de la console VMM. |
Compte d’identification
Il existe différents types de comptes d’identification :
- Les comptes d’ordinateur hôte sont utilisés pour interagir avec les serveurs de virtualisation.
- Les comptes BMC sont utilisés pour communiquer avec la console BMC sur les hôtes pour la gestion hors bande ou l’optimisation de l’alimentation.
- Les comptes externes sont utilisés pour communiquer avec des applications externes telles qu’Operations Manager.
- Les comptes d’appareil réseau sont utilisés pour se connecter à des équilibreurs de charge réseau.
- Les comptes de profil sont utilisés dans les profils d’identification lorsque vous déployez un service VMM ou créez des profils.
Remarque
- VMM utilise l’API de protection des données Windows (DPAPI) pour fournir des services de protection des données au niveau du système d’exploitation pendant le stockage et la récupération des informations d’identification du compte d’identification. DPAPI est un service de protection des données basé sur un mot de passe, qui utilise des routines de chiffrement (l'algorithme fort triple DES, avec des clés fortes) pour décaler le risque posé par la protection des données basée sur un mot de passe. Plus d’informations
- Lorsque vous installez VMM, vous pouvez configurer VMM pour utiliser distributed Key Management pour stocker les clés de chiffrement dans Active Directory.
- Vous pouvez configurer des comptes d’identification avant de commencer à gérer VMM, ou vous pouvez configurer des comptes d’identification si vous en avez besoin pour des actions spécifiques.
Étapes suivantes
- Configurer des rôles d’utilisateur.
- Configurez les comptes d’identification.