幾乎沒有人會(huì)為負(fù)責(zé)管理安全權(quán)限的工作感到興奮，但這些工作是系統(tǒng)管理員要完成的一個(gè)必要的職責(zé)。在本文中我將介紹如何對Hyper-V主機(jī)服務(wù)器配置和進(jìn)行配置和權(quán)限管理。

我們都是使用各種各樣不同的安全方法來確保只有授權(quán)用戶才可以訪問數(shù)據(jù)中心資源。所有的安全問題所涉及具體內(nèi)容的范圍從物理訪問限制到網(wǎng)絡(luò)授權(quán)和權(quán)限管理。虛擬化技術(shù)的部署又帶來了一些新的需求，即要求有對用戶在宿主系統(tǒng)上的操作類型進(jìn)行具體化的能力。

管理員不直接訪問客體操作系統(tǒng)就可以管理虛擬機(jī)，這當(dāng)然是有可能的。粒度化定義授權(quán)規(guī)則的能力對生產(chǎn)服務(wù)器來講非常有必要。幸運(yùn)的是，Hyper-V提供定義和維護(hù)這些權(quán)限的方法。但是，等下讀者就會(huì)發(fā)現(xiàn)，這并不是一個(gè)完全直觀的方法。

Hyper-V中的默認(rèn)權(quán)限

Hyper-V在默認(rèn)配置下，允許本地服務(wù)器管理員群組的所有成員擁有對Hyper-V主站的全部權(quán)限。在域工作環(huán)境中，默認(rèn)配置是域管理組成員擁有在宿主服務(wù)器上創(chuàng)建和管理虛擬機(jī)的完全權(quán)限。

雖然這些缺省配置在較小的工作環(huán)境或者測試實(shí)驗(yàn)室中可能運(yùn)轉(zhuǎn)良好，但是通常情況下有必要給那些沒有完全管理權(quán)限的用戶分配額外的權(quán)限，如開啟和停止虛擬機(jī)的能力。下面我將介紹這些工作如何完成：

授權(quán)管理器簡介

如果在Hyper-V服務(wù)器上進(jìn)行指定權(quán)限工作之前沒有注意到本文提到的相關(guān)信息，則指定方式可能不會(huì)很明顯。例如，就不能夠像在文件系統(tǒng)文件夾下那樣，在服務(wù)器或者虛擬機(jī)對象上通過右鍵點(diǎn)擊并且在屬性頁上設(shè)置權(quán)限。授權(quán)管理器，即所謂的AzMan（注意不要和Seinfeld 中Cosmo Kramer臭名昭著的車牌混淆），是Hyper-V定義和管理權(quán)限最基本的方法。

授權(quán)設(shè)置可以保存在XML文件（新Hyper-V中心的缺省配置）中，也可以保存在Active Directory Domain數(shù)據(jù)庫中。“%ProgramData%\Microsoft\Windows\Hyper-V\InitialStore.xml”是權(quán)限設(shè)置文件的默認(rèn)保存位置，如果需要修改這個(gè)設(shè)置，最好先備份這個(gè)文件（復(fù)制原始配置文件，保存在其它位置）。

使用授權(quán)管理器

Windows Server 2008中沒有訪問授權(quán)管理器的管理工具快捷方式，因此需要手工添加。如果訪問Windows Server 2008主站上的AzMan嵌入式管理單元，可以參考以下步驟：

“運(yùn)行”，之后輸入“MMC”，然后點(diǎn)擊“回車”，啟動(dòng)一個(gè)新àClick開始默認(rèn)的Microsoft管理控制臺（MMC：Microsoft Management Console）shell程序；
添加授權(quán)管理器：在“File”菜單中選擇“添加/移除嵌入式管理單元（Add/Remove Snap-In）”，選擇“授權(quán)管理器（Authorization Manager）”，點(diǎn)擊“添加（Add）”。注意該步驟也包括了其它嵌入式管理單元，如Hyper-V管理器、服務(wù)型小程序以及其它可能經(jīng)常用到的工具或者程序；

默認(rèn)情況下，AzMan沒有連接到任何特定安全存儲上。通過如下方式訪問缺省的Hyper-V設(shè)置：右鍵點(diǎn)擊“授權(quán)管理器對象（Authorization Manager Object）”，選擇“打開授權(quán)存儲（Open Authorization Store）”，選擇“XML文件”選項(xiàng)，瀏覽“%ProgramData%\Microsoft\Windows\Hyper-V\InitialStore.xml”。需要注意的是同時(shí)也可以訪問安全設(shè)置，這些信息保存在Active Directory中或者SQL服務(wù)器數(shù)據(jù)庫中。

在“文件”菜單中選擇“保存該選項(xiàng)（Save As Option）”保存新的MMC視圖，然后就可以通過管理工具程序組（Administrative Tools Program Group）快速訪問授權(quán)管理器。

完成上述步驟以后，就可以開始管理設(shè)置。

管理角色指定

授權(quán)管理器使用基于角色的權(quán)限模型，該模型對于管理Windows安全的用戶來講應(yīng)該比較熟悉。在授權(quán)管理器的指導(dǎo)步驟中第一步就是單一的默認(rèn)角色分配，即管理員（如圖1所示）。

 
 
圖1：使用AzMan訪問角色指定

無論名字如何，重要的是不要混淆這個(gè)角色指定和內(nèi)置的Windows或者Active Directory 用戶或組。給Hyper-V上非管理員用戶完全權(quán)限，右鍵點(diǎn)擊管理員對象，選擇“指定用戶和組（Assign Users And Groups）”。另外還可以添加Windows安全管理者或者AzMan角色（本文后面會(huì)提到）。

創(chuàng)建角色定義

通常情況下，希望允許特定用戶在Hyper-V上執(zhí)行特定類型的操作。為了達(dá)到這個(gè)目的，首先需要?jiǎng)?chuàng)建新的角色定義對象。每一角色定義包括一套應(yīng)用于該角色成員的權(quán)限集合。圖2所示是Hyper-V中默認(rèn)的操作選項(xiàng)。

 
 
圖2：可以為新角色分配的操作

從名字就可以很容易地看出這些操作的所代表的含義，并且這些操作可以滿足絕大多數(shù)安全管理員的需求。 有一些選項(xiàng)是創(chuàng)建角色所必須的，這些創(chuàng)建的角色可以創(chuàng)建、開啟和停止虛擬機(jī)，但是沒有權(quán)限管理虛擬網(wǎng)絡(luò)和其它服務(wù)器設(shè)置。

AzMan的其它特性

盡管從表面上看到的是基本的用戶接口，但是授權(quán)管理器允許用戶執(zhí)行其它很多安全相關(guān)的特性。在本文中并不對其做深入探討，下面只簡單地列舉一些選項(xiàng)：

創(chuàng)建任務(wù)：默認(rèn)情況下，Hyper-V并不包括任何任務(wù)，但是用戶能夠創(chuàng)建自己的操作集合來定義可以執(zhí)行的操作類型。也有內(nèi)置的操作列表，這些列表上的操作可以滿足絕大多數(shù)基本的安全需求。然而，任務(wù)方式提供了一個(gè)快速并且系統(tǒng)化的方法，該方法基于組織需求來定義設(shè)置的組；

管理范圍：默認(rèn)情況下，權(quán)限管理適用于整個(gè)Hyper-V服務(wù)器。但是如果希望特定的用戶可以控制特定虛擬機(jī)，則該如何解決？“范圍”可以定義權(quán)限適用的特定對象以達(dá)到該需求，例如，可以允許某個(gè)用戶僅僅能夠開啟和停止用來作為測試或者開發(fā)的虛擬機(jī)；

應(yīng)用程序組：如果經(jīng)常給特定對象的組指定相同的權(quán)限，可以考慮使用AzMan定義應(yīng)用程序組。使用這些組就沒有必要在高效的管理權(quán)限分配時(shí)創(chuàng)建Windows組或者Active Directory組；

審計(jì)：激活對基于AzMan安全設(shè)置的修改審計(jì)，用來保持對權(quán)限修改的跟蹤。當(dāng)然也可以管理能夠使用AzMan對安全設(shè)置進(jìn)行權(quán)限修改的用戶；

腳本支持和自動(dòng)化：可以使用VBScript、Jscript或者Windows PowerShell自動(dòng)創(chuàng)建和管理安全權(quán)限。如果需要對大量宿主服務(wù)器做出修改的話，該屬性非常有幫助。
　　
小結(jié)

管理Hyper-V權(quán)限的過程并不僅僅是偶然出現(xiàn)的一個(gè)問題，而是在一開始就需要謹(jǐn)慎注意的。使用AzMan需要很多步驟，至少在第一次使用的時(shí)候是這樣的。雖然缺少直觀上的吸引力，但是授權(quán)管理器在安全相關(guān)的靈活性上做出了彌補(bǔ)。使用這個(gè)工具可以定義用戶對操作和行為的權(quán)限，這是管理生產(chǎn)虛擬化宿主服務(wù)器的一個(gè)重要方面。要注意的是我從來沒有說過安全問題是令人興奮的，但這并不能夠意味著安全問題不重要。

【編輯推薦】

1. 企業(yè)如何應(yīng)對虛擬化管理的挑戰(zhàn)
2. 實(shí)施服務(wù)器虛擬化前需要評估4個(gè)問題
3. 2009年度思杰的虛擬化之路