Hola a todos
En esta parte 3 y final veremos como delegar el control granular de ciertas maquinas a nuestro usuario tipo “CAPACITApablocampos”
1.. LA PROBLEMATICA
El problema es que si le delegamos el control a “CAPACITApablocampos” de nuestro host de Hyper-v, el podrá ver todas las VMS de ese host, cosa que yo como admin no quiero, entonces que podemos hacer.
Para delegar el control de forma mas granular crearemos un nuevo ámbito llamado “Ambito de Prueba” en el cual asignaremos a “CAPACITApablocampos” como administrador en este ámbito
Después de esto debemos asignar las maquinas virtuales a este ámbito, para esto usaremos unos scripts que están disponibles en este sitio al final abajo BackupVMsAndScopeScripts.zip
En una consola con permisos de administrador ejecutamos el script SetScope.vbs, en el cual como primer parámetro debemos pasar el nombre de la maquina virtual y como segundo parámetro debemos pasar el nombre del ámbito
cscript SetScope.vbs “Core” “Ambito de Prueba”
cscript SetScope.vbs “2008 AD” “Ambito de Prueba”
El resultado de este comando debería ser un XML donde al final abajo debería salir un “cero” 0 , el cual indica que el proceso fue exitoso
De igual manera pueden utilizar el Script GetScope.vbs para ver a que ambito pertenece cada maquina
En mi caso asigne al “Ambito de Prueba” mis maquinas llamadas “Core” y “2008 AD”
Tratamos de conectarnos al servicio de hyper-v yyyyyy no vemos nada 🙁
El problema es que el usuario debe tener los permisos de lectura del Servicio de Hyper-v a nivel de Raíz, para lo cual crearemos en la raíz una nueva definición de rol llamada “Servicios” a la cual le asignaremos las siguientes operaciones
100 – Read Service Configuration
105 – Reconfigure Service
Y asignaremos a nuestro usuario “CAPACITApablocampos” a este rol
OJO RECUEREN QUE ESTO LO DEBEN HACER FUERA DEL AMBITO EN LA RAIZ
Despues de eso asignamos como administrador del ambito “Ambito de Prueba” al usuario “CAPACITApablocampos” y tratamos nuevamente de conectarnos a la consola del hyper-v yyyyy????
Ahora “CAPACITApablocampos” solo puede ver las maquinas “Core” y “2008 AD”
Nos conectamos como administradores y vemos la consola FULL
Les dejo un pantallazo de la consola del administrador y la de “CAPACITApablocampos” juntas
Saludos
WoW genial explicacion…
y ademas una caracteristica que desconocia…
Gracias Rodrigo 🙂
Hola a todos Después de postear la Parte 1 , 2 y 3 sobre la correcta delegación de permisos
Tengo un Data Center Core 2008 R2 y he encontrado que para que se apliquen los permisos debo reiniciar el Servidor. Alguna Idea del porque? o Como puedo hacer para que aplique los permisos sin necesidad de reinciar?
@Julio
que raro … no es necesario reiniciar, en el pero caso bajar y subir el servicio de Virtual machine
Viste si los logs te dicen algo extraño
salu2
Trate de reinciar todos los servicios de Hyper-V, y tampoco aplican los cambios de permisos. Revise los logs, y no veo nada fuera de lo común. Que debería buscar?
Ya encontre el problema, era la asignación de los permisos en la Raiz. No se porque al reiniciar si me funciono.
Ahora, me interesa manejar grupos en el dominio con permisos en el Hyper-V, para personal de Desarrollo, Base de Datos, etc. Ya hice los grupos en el dominio, agrego a uno de ellos mi usuario para probar y no me muestra la maquina. Lo asigno de forma directa en los permisos y funciona bien. Será que no funcionan los permisos con los grupos, aunque estos si se pueden asignar en la herramienta del AzMan?
Encontré, o al menos, veo que el problema de la asignación de permisos es «tiempo». Si son grupos nuevos, se debe esperar para que se apliquen las reglas. En mi caso tardo alrededor de 30 minutos. Ahora todo sirve!!! Es importante mencionar que el dominio donde trabajo es relativamente pequeño, menos de 400 usuarios y 350 maquinas.