Russian Windows Virtualization Discussion

Hyper-V Constrained Delegation of Authority — или как подключить образы компакт-диска с другого сервера или разместить виртуальные диски на сетевом ресурсе

Я думаю, что многие из вас уже пробовали подключить к виртуальному компакт-диску ВМ образ в формате ISO, который лежит на неком файловом сервере. Или может вы пробовали подключить к виртуальный диск в формате VHD, находящийся на удаленном сервере, а не локальном диске? Ведь благодаря SMB 2.0 производительность сети в Windows Server 2008 значительно увеличилась — и особенно это заметно при доступе к крупным файлам. Так или иначе, вне зависимости от того, используете вы Hyper-V, Virtual Server 2005 или даже какое-то стороннее решение виртуализации (при условии, что оно запускается не как приложение пользователя, а как служба ОС), задачу подключения дисков к ВМ по сети вы сразу выполнить не сможете. Причина конечно же известна — службы работают в контексте учетной записи «Local System», которая не всегда имеет права доступа к сетевым ресурсам. В Базе знаний Microsoft есть несколько статьей, посвященных этой проблеме. Сегодня мы детально разберемся в нем, чтобы более вопросов не возникало. Я буду описывать подход для Windows Server 2008 и Hyper-V — но имейте в виду, что для Windows XP/2003/Vista и Virtual Server 2005 все делается аналогично. Причем оговорюсь сразу — я описываю только поддерживаемый Microsoft способ с использованием Constrained Delegation, а не манипуляции с выдачей прав на различные объекты учетным записям компьютеров.

Что такое SID виртуальной машины?

Что такое SID (Security IDentifier) в общем понимает каждый, кто имел дело с администрированием Windows. Какие объекты имеют SID? С этим немного сложнее, попробуем разобраться. С понятием SID пользователя или группы мы сталкиваемся постоянно, предоставляя права доступа к папкам и файлам NTFS. С SID компьютера мы встречаемся, делегируя права учетным записям компьютеров в домене на выполнение неких операций или чтения политик безопасности. Понятие SID домена тоже довольно понятно интуитивно, но что же дальше?

Пошаговое руководство по установке защищённого решения виртуализации для филиалов

Думаю, что никто не станет спорить с тем, что основная цель виртуализации — это консолидация серверов. Иными словами, благодаря этой технологии мы можем расширить количество решаемых задач, при этом не увеличивая, а снижая общий объём и запросы необходимого оборудования. Исторически виртуализация развивалась как решение для больших центров обработки данных, где позволяла эффективно использовать ресурсы мощных систем путём совмещения разных типов полезной нагрузки. Этот подход зародился на мейнфреймах ещё до появления архитектуры х86. Сегодня у виртуализации есть все шансы выйти из центров обработки данных и ступить на новый рынок. Как бы удивительно это не звучало на первый взгляд, я говорю об удалённых филиалах и просто офисах небольших компаний. Действительно, для крупных корпораций эффективность использования ресурсов — это обычно не более чем возможность улучшить финансовые показатели или продемонстрировать заботу об окружающей среде. Но для небольших фирм, экономия — это зачастую то, без чего просто невозможно выжить в условиях конкуренции. И как раз в таком случае виртуализация серверов оказывается как никогда кстати.

Какие порты использует Hyper-V?

Ответим сегодня на часто задаваемый вопрос: «Какие порты необходимы для управления сервером при помощи Hyper-V Manager?». Радовать особенно нечем: 135, 2179, 49512-65535. Да, в MMC используется протокол RPC — а следовательно, требуется динамический набор верхних портов. Windows Server 2008 по умолчанию выделяет 16384 динамических порта. Это, однако, можно изменить.

Нaстройка удаленного доступа к Hyper-V

Мы только что рассмотрели, как делегировать пользователю права на управление Hyper-V. Но этими правами пользователь сможет воспользоваться, только работая на сервере локально. Для того, чтобы управлять гипервизором с другого компьютера, пользователю, который не является администратором, потребуется выполнить ряд настроек — как на стороне сервера, так и на стороне клиента. Описанные в этой статье шаги применимы к версии RC0 гипервизора Hyper-V и RC0 версии клиентской утилиты управления Hyper-V Manager для Vista SP1 (x86 и x64). Итак, на сервере следует выполнить следующие шаги:

Делегирование прав на Hyper-V. Введение

По умолчанию Hyper-V разрешает создание и управление виртуальными машинами только администраторам. Сегодня мы поговорим о том, как делегировать эти права пользователям, не обладающими правами администратора сервера. Hyper-V используют новую модель авторизации пользователей — Authorization Management Framework, которая позволяет гибко настроить права пользователей на виртуальные машины. Модель очень хорошо продумана и имеет ряд интересных моментов, которые я обязательно как-нибудь затрону. Сейчас же мне придется сообщить некую вводную информацию про эту модель, чтобы затем показать настройки делегирования. Итак, термины: Операция (Operation)