Windows 8: Administradores de Hyper-V
En Windows 8 ahora tenemos Hyper-V (con sus limitaciones) y nos permite crear nuevas virtuales para hacer nuestras pruebas, laboratorios, etc… además ahora tenemos un nuevo grupo local: Administradores de Hyper-V. Este grupo permite a usuarios limitados tener acceso a la configuración de Hyper-V, en caso contrario cuando abrimos la consola de Hyper-V nos encontramos el siguiente error:
Si añadimos al usuario o grupo de usuarios como miembros del grupo Administradores de Hyper-V local, tendrán acceso a Hyper-V como administradores

-
Desde una línea de comandos: net localgruoup “Administradores de Hyper-V” nombre_usuarios-grupo /add
- Administrador de Equipos: Usuarios y grupos locales – Grupos – Administradores de Hyper-V en la ficha miembros y agregamos al grupo o usuario en cuestión
- GPO: Añadiendo el grupo o usuarios como miembros del grupo local de Administradores de Hyper-V (Añadir usuarios o grupos como miembros de grupos locales de los equipos del dominio)
El problema que tendríamos ahora es que los usuarios tendrían acceso completo a las configuraciones de Hyper-V, si queremos evitar este comportamiento debemos configurar la segregación de permisos con desde AZMAN.MSC. Este complemento nos permite administrar la autorización de los permisos basados en roles, para ello abrimos el Administrador de Autorización, pulsamos con el botón secundario del ratón encima de Administrador de Autorización y pulsamos en Abrir almacén de autorización …








Aqui definimos el ROL y las tareas que puede realizar, y en la opción de Asignaciones de roles seleccionamos los usuarios a los cuales le asignamos el rol, por defecto el grupo Administradores Local y el grupo Administradores de Hyper-V. Está claro que añadir a los usuarios al grupo Administradores de Hyper-V es la mejor opción “por defecto” para que tengan acceso a Hyper-V, porque si los añadimos al grupo Administradores… no hay mucho que decir sobre esto verdad

Ahora viene lo bueno, podemos crear nuestros propios roles y asignarlos a nuestros usuarios del dominio, para ello tenemos que hacer lo siguiente.
Primero creamos el rol, vamos a Definiciones de rol y pulsamos con el botón secundario encima de Definiciones de rol y pulsamos en Nueva definición de rol …

ahora vamos a la pestaña Operaciones y añadimos las tareas que le vamos a permitir ejecutar a los usuarios que tengan este rol

Hyper-V HelpDesk Level 1: Tiene acceso de lectura a la consola de las MV
Hyper-V HelpDesk Level 2: Tiene acceso de lectura sobre las MV creadas, puede iniciar y parar MV y cambiar las tarjetas de red asignadas

Ahora una vez que tenemos creados lo tres roles debemos asignarlos a los usuarios o grupos locales o de dominio que queramos, para ello vamos a Asignación de roles – Nueva asignación de roles …



ACL Hyper-V HelpDesk Level 1
ACL Hyper-V HelpDesk Level 2
ACL Hyper-V HelpDesk Level 3

Rol | Grupo AD |
---|---|
Hyper-V HelpDesk Level 1 | ACL Hyper-V HelpDesk Level 1 |
Hyper-V HelpDesk Level 2 | ACL Hyper-V HelpDesk Level 2 |
Hyper-V HelpDesk Level 3 | ACL Hyper-V HelpDesk Level 3 |


Hyper-V HelpDesk Level 3

Sos un genio / Autor / 28 junio, 2013
Muchisimas gracias, este articulo me salvo! Tenia todas las VM ya hechas pero no sabia como hacer para que mis operadores no puedan modificar las VM, y solo sabia agregarlos en el grupo nativo que trae Windows pero eso los hacia administradores de toda la consola de HyperV. Desde ya muchas gracias por el articulo!