Cerrar
MENU
mobile-logo
InicioMicrosoftWindows 8: Administradores de Hyper-V
Microsoft Windows 8 Windows Server

Windows 8: Administradores de Hyper-V

1 Comentario
0

En Windows 8 ahora tenemos Hyper-V (con sus limitaciones) y nos permite crear nuevas virtuales para hacer nuestras pruebas, laboratorios, etc… además ahora tenemos un nuevo grupo local: Administradores de Hyper-V. Este grupo permite a usuarios limitados tener acceso a la configuración de Hyper-V, en caso contrario cuando abrimos la consola de Hyper-V nos encontramos el siguiente error:

 Permisos_Hyper-v_1.jpg

Si añadimos al usuario o grupo de usuarios como miembros del grupo Administradores de Hyper-V local, tendrán acceso a Hyper-V como administradores

Permisos_Hyper-v_2.jpg
Podemos añadir los usuarios o grupos a miembros del grupo Administradores de Hyper-V de  varias formas:
  1. Desde una línea de comandos: net localgruoup “Administradores de Hyper-Vnombre_usuarios-grupo /add
  2. Administrador de Equipos: Usuarios y grupos locales – Grupos – Administradores de Hyper-V en la ficha miembros y agregamos al grupo o usuario en cuestión
  3. GPO: Añadiendo el grupo o usuarios como miembros del grupo local de Administradores de Hyper-V (Añadir usuarios o grupos como miembros de grupos locales de los equipos del dominio)

El problema que tendríamos ahora es que los usuarios tendrían acceso completo a las configuraciones de Hyper-V, si queremos evitar este comportamiento debemos configurar la segregación de permisos con desde AZMAN.MSC. Este complemento nos permite administrar la autorización de los permisos basados en roles, para ello abrimos el Administrador  de Autorización, pulsamos con el botón secundario del ratón encima de Administrador de Autorización y pulsamos en Abrir almacén de autorización …

Permisos_Hyper-v_3.jpg
ahora demos seleccionar el fichero XML en donde se almacena la configuración, pulsamos en examinar y abrimos el fichero InitialStore.xml
Permisos_Hyper-v_4.jpg
el fichero InitialStore.xml en %systemdrive%\ProgramData\Microsoft\Windows\Hyper-V, para poder editarlo se debe tener el permiso de MODIFICAR sobre el mismo. Por defecto tiene permiso sobre el fichero el grupo Administradores, Virtual Machines y System
Permisos_Hyper-v_5.jpg
Ahora podremos empezar con la configuración de la segregación de roles para administrar la configuración de Hyper-V
Permisos_Hyper-v_6.jpg
Ahora vamos a Definiciones – Definiciones de Rol y por defecto tenemos uno que se llama Administrator el cual tiene todos los derechos sobre este Hyper-V, si vamos a las propidades del Rol y a la pestaña Definición vemos las tareas que se le permiten
Permisos_Hyper-v_8.jpgPermisos_Hyper-v_9.jpg
Permisos_Hyper-v_10.jpgPermisos_Hyper-v_11.jpg

Aqui definimos el ROL y las tareas que puede realizar, y en la opción de Asignaciones de  roles seleccionamos los usuarios a los cuales le asignamos el rol, por defecto el grupo Administradores Local y el grupo Administradores de Hyper-V. Está claro que añadir a los usuarios al grupo Administradores de Hyper-V es la mejor opción “por defecto” para que tengan acceso a Hyper-V, porque si los añadimos al grupo Administradores… no hay mucho que decir sobre esto verdad

Permisos_Hyper-v_12.jpg

Ahora viene lo bueno, podemos crear nuestros propios roles y asignarlos a nuestros usuarios del dominio, para ello tenemos que hacer lo siguiente.

Primero creamos el rol, vamos a Definiciones de rol y pulsamos con el botón secundario encima de Definiciones de rol y pulsamos en Nueva definición de rol …

Permisos_Hyper-v_13.jpg
escribimos un nombre identificativo del rol y pulsamos en Agregar

Permisos_Hyper-v_14.jpg

ahora vamos a la pestaña Operaciones y añadimos las tareas que le vamos a permitir ejecutar a los usuarios que tengan este rol

Permisos_Hyper-v_18.jpg
Nosotros vamos a definir tres roles:

Hyper-V HelpDesk Level 1: Tiene acceso de lectura a la consola de las MV

Permisos_Hyper-v_14.jpg

Hyper-V HelpDesk Level 2: Tiene acceso de lectura sobre las MV creadas, puede iniciar y parar MV y cambiar las tarjetas de red asignadas

Permisos_Hyper-v_15.jpg

Hyper-V HelpDesk Level 3: Tiene control total sobre las MV e Hyper-V
Permisos_Hyper-v_16.jpg

Permisos_Hyper-v_17.jpg

Ahora una vez que tenemos creados lo tres roles debemos asignarlos a los usuarios o grupos locales o de dominio que queramos, para ello vamos a Asignación de roles – Nueva asignación de roles …

Permisos_Hyper-v_19.jpg
seleccionamos los tres roles para posteriormente asignar los usuarios o grupos que tendrán acceso a estos roles
Permisos_Hyper-v_20.jpg
ahora pulsamos con el botón secundario del ratón encima de uno de los roles y pulsamos en Agregar usuarios y grupos – De Windows y Active Directory …
Permisos_Hyper-v_21.jpg
ahora buscamos el grupo de usuarios o usuario en el Active Directory  o Windows y los agregamos, en mi caso he creado tres grupos dominio local de seguridad, para asignarlos a cada rol de Hyper-V que hemos creado:

ACL Hyper-V HelpDesk Level 1

ACL Hyper-V HelpDesk Level 2

ACL Hyper-V HelpDesk Level 3

Ahora añado como miembros de estos grupos de dominio a los usuarios o grupos globales de dominio a los que pertencen los usuarios, de esta forma me beneficiaré de las membresias del AD.
Permisos_Hyper-v_22.jpg
Lo que haré es que mapear los roles de Hyper-V con los Grupo del AD de la siguiente forma, por lo menos para tener coherencia entre ellos
Rol Grupo AD
Hyper-V HelpDesk Level 1 ACL Hyper-V HelpDesk Level 1
Hyper-V HelpDesk Level 2 ACL Hyper-V HelpDesk Level 2
Hyper-V HelpDesk Level 3 ACL Hyper-V HelpDesk Level 3
Hyper-V HelpDesk Level 1
Permisos_Hyper-v_23.jpg
Hyper-V HelpDesk Level 2
Permisos_Hyper-v_24.jpg

Hyper-V HelpDesk Level 3

Permisos_Hyper-v_25.jpg
Ya hemos finalizado la configuración, ahora en función del grupo al que pertenezca el usuario tendrá unos permisos u otro sobre Hyper-V y las máquinas virtuales que tengamos en el.
“También comentaros que esto es configurable de la misma forma en la versión de servidores: Windows Server 2008 y 2012”
Espero que os sea de utilidad!!
ETIQUETAS:
COMPARTE EN:
Lync: Notificación
Backup de tus GPO co

sbuytrago@asirsl.com

ARTÍCULOS RELACIONADOS
  1. Iniciar sesión sin contraseña utilizando Microsoft Authenticator en servicios de O365 y Azure
  2. Microsoft Teams, conceptos y tecnología (Parte XVIII)
  3. Requisitos de HW y SW para una Infraestructura IT de Comunicaciones Unificadas para PYMES (Parte IV de IV)
  4. Requisitos de HW y SW para una Infraestructura IT de Comunicaciones Unificadas para PYMES (Parte III de IV)
  5. Requisitos de HW y SW para una Infraestructura IT de Comunicaciones Unificadas para PYMES (Parte II de IV)
  6. Requisitos de HW y SW para una Infraestructura IT de Comunicaciones Unificadas para PYMES (Parte I de IV)
  7. Microsoft updates Trusted Root Certificate Program to reinforce trust in the Internet
  8. Blogs muy recomendables
  9. Skype anuncia una caída de su servicio
  10. Cómo crear una Directiva de Restricción de Software para bloquear CrytpoLocker
1 COMENTARIO
  • Sos un genio / Autor / 28 junio, 2013

    Muchisimas gracias, este articulo me salvo! Tenia todas las VM ya hechas pero no sabia como hacer para que mis operadores no puedan modificar las VM, y solo sabia agregarlos en el grupo nativo que trae Windows pero eso los hacia administradores de toda la consola de HyperV. Desde ya muchas gracias por el articulo!

    Deja un comentario

DEJA UN COMENTARIO

Este sitio web utiliza cookies. Si continúas navegando, consideramos que aceptas su uso. Puedes obtener más información en nuestra política de cookies. ACEPTAR

Aviso de cookies
Share This