Seguridad en Hyper-V : Administrador de autorización para su correcta delegación “Parte 3” Y FINAL !!!!!!!!

Hola a todos

En esta parte 3 y final veremos como delegar el control granular de ciertas maquinas a nuestro usuario tipo “CAPACITApablocampos” 

1.. LA PROBLEMATICA

El problema es que si le delegamos el control a “CAPACITApablocampos” de nuestro host de Hyper-v, el podrá ver todas las VMS de ese host, cosa que yo como admin no quiero, entonces que podemos hacer.

Para delegar el control de forma mas granular crearemos un nuevo ámbito llamado “Ambito de Prueba” en el cual asignaremos a “CAPACITApablocampos” como administrador en este ámbito

 Captura5

Después de esto debemos asignar las maquinas virtuales a este ámbito, para esto usaremos unos scripts que están disponibles en este sitio al final abajo BackupVMsAndScopeScripts.zip 

En una consola con permisos de administrador ejecutamos el script SetScope.vbs, en el cual como primer parámetro debemos pasar el nombre de la maquina virtual y como segundo parámetro debemos pasar el nombre del ámbito

cscript SetScope.vbs “Core” “Ambito de Prueba”
cscript SetScope.vbs “2008 AD” “Ambito de Prueba”

Captura6

El resultado de este comando debería ser un XML donde al final abajo debería salir un “cero” 0 , el cual indica que el proceso fue exitoso

De igual manera pueden utilizar el Script GetScope.vbs para ver a que ambito pertenece cada maquina

Captura9

En mi caso asigne al “Ambito de Prueba” mis maquinas llamadas “Core” y “2008 AD”

Tratamos de conectarnos al servicio de hyper-v yyyyyy no vemos nada 🙁

Captura2

El problema es que el usuario debe tener los permisos de lectura del Servicio de Hyper-v a nivel de Raíz, para lo cual crearemos en la raíz una nueva definición de rol llamada “Servicios” a la cual le asignaremos las siguientes operaciones

100 – Read Service Configuration
105 – Reconfigure Service

Captura3

Y asignaremos a nuestro usuario “CAPACITApablocampos” a este rol

Captura4

OJO RECUEREN QUE ESTO LO DEBEN HACER FUERA DEL AMBITO EN LA RAIZ

Despues de eso asignamos como administrador del ambito “Ambito de Prueba” al usuario “CAPACITApablocampos” y tratamos nuevamente de conectarnos a la consola del hyper-v yyyyy????

Captura7

Ahora “CAPACITApablocampos” solo puede ver las maquinas “Core” y “2008 AD”

Nos conectamos como administradores y vemos la consola FULL

Captura1

Les dejo un pantallazo de la consola del administrador y la de  “CAPACITApablocampos” juntas

Captura8 

Saludos

8 comentarios en “Seguridad en Hyper-V : Administrador de autorización para su correcta delegación “Parte 3” Y FINAL !!!!!!!!”

  1. Tengo un Data Center Core 2008 R2 y he encontrado que para que se apliquen los permisos debo reiniciar el Servidor. Alguna Idea del porque? o Como puedo hacer para que aplique los permisos sin necesidad de reinciar?

  2. @Julio

    que raro … no es necesario reiniciar, en el pero caso bajar y subir el servicio de Virtual machine

    Viste si los logs te dicen algo extraño

    salu2

  3. Trate de reinciar todos los servicios de Hyper-V, y tampoco aplican los cambios de permisos. Revise los logs, y no veo nada fuera de lo común. Que debería buscar?

  4. Ya encontre el problema, era la asignación de los permisos en la Raiz. No se porque al reiniciar si me funciono.
    Ahora, me interesa manejar grupos en el dominio con permisos en el Hyper-V, para personal de Desarrollo, Base de Datos, etc. Ya hice los grupos en el dominio, agrego a uno de ellos mi usuario para probar y no me muestra la maquina. Lo asigno de forma directa en los permisos y funciona bien. Será que no funcionan los permisos con los grupos, aunque estos si se pueden asignar en la herramienta del AzMan?

  5. Encontré, o al menos, veo que el problema de la asignación de permisos es “tiempo”. Si son grupos nuevos, se debe esperar para que se apliquen las reglas. En mi caso tardo alrededor de 30 minutos. Ahora todo sirve!!! Es importante mencionar que el dominio donde trabajo es relativamente pequeño, menos de 400 usuarios y 350 maquinas.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *