pcampos blogs

Posteando mis ideas para no olvidarlas

Seguridad en Hyper-V : Administrador de autorización para su correcta delegación “Parte 3” Y FINAL !!!!!!!!

Hola a todos

En esta parte 3 y final veremos como delegar el control granular de ciertas maquinas a nuestro usuario tipo “CAPACITA\pablocampos” 

1.. LA PROBLEMATICA

El problema es que si le delegamos el control a “CAPACITA\pablocampos” de nuestro host de Hyper-v, el podrá ver todas las VMS de ese host, cosa que yo como admin no quiero, entonces que podemos hacer.

Para delegar el control de forma mas granular crearemos un nuevo ámbito llamado “Ambito de Prueba” en el cual asignaremos a “CAPACITA\pablocampos” como administrador en este ámbito

 Captura5

Después de esto debemos asignar las maquinas virtuales a este ámbito, para esto usaremos unos scripts que están disponibles en este sitio al final abajo BackupVMsAndScopeScripts.zip 

En una consola con permisos de administrador ejecutamos el script SetScope.vbs, en el cual como primer parámetro debemos pasar el nombre de la maquina virtual y como segundo parámetro debemos pasar el nombre del ámbito

cscript SetScope.vbs “Core” “Ambito de Prueba”
cscript SetScope.vbs “2008 AD” “Ambito de Prueba”

Captura6

El resultado de este comando debería ser un XML donde al final abajo debería salir un “cero” 0 , el cual indica que el proceso fue exitoso

De igual manera pueden utilizar el Script GetScope.vbs para ver a que ambito pertenece cada maquina

Captura9

En mi caso asigne al “Ambito de Prueba” mis maquinas llamadas “Core” y “2008 AD”

Tratamos de conectarnos al servicio de hyper-v yyyyyy no vemos nada :(

Captura2

El problema es que el usuario debe tener los permisos de lectura del Servicio de Hyper-v a nivel de Raíz, para lo cual crearemos en la raíz una nueva definición de rol llamada “Servicios” a la cual le asignaremos las siguientes operaciones

100 - Read Service Configuration
105 - Reconfigure Service

Captura3

Y asignaremos a nuestro usuario “CAPACITA\pablocampos” a este rol

Captura4

OJO RECUEREN QUE ESTO LO DEBEN HACER FUERA DEL AMBITO EN LA RAIZ

Despues de eso asignamos como administrador del ambito “Ambito de Prueba” al usuario “CAPACITA\pablocampos” y tratamos nuevamente de conectarnos a la consola del hyper-v yyyyy????

Captura7

Ahora “CAPACITA\pablocampos” solo puede ver las maquinas “Core” y “2008 AD”

Nos conectamos como administradores y vemos la consola FULL

Captura1

Les dejo un pantallazo de la consola del administrador y la de  “CAPACITA\pablocampos” juntas

Captura8 

Saludos

Posted: 26/1/2010 13:59 por Pablo | con 3 comment(s)
Archivado en:

Comentarios

Rodrigo Linfati ha opinado:

WoW genial explicacion...

y ademas una caracteristica que desconocia...

# January 26, 2010 7:43 PM

Pablo ha opinado:

Gracias Rodrigo :)

# January 27, 2010 1:18 AM

pcampos blogs ha opinado:

Hola a todos Después de postear la Parte 1 , 2 y 3 sobre la correcta delegación de permisos

# March 9, 2010 11:24 PM
Deja tu comentario

(requerido) 

(requerido) 

(opcional)

(requerido)