為Hyper-V用戶授權

引言：在Windows Server 2012中，不同的賬戶擁有不同的權限，在執行文件管理、訪問共享資源等操作時，只能在其擁有的權限范圍內活動。與之對應，在管理Hype-V虛擬機時，也可以賦予不同的操作者不同的權限。例如在Hyper-V中創建了兩臺虛擬機，分別歸屬A部門和B部門管理，那么這兩個部門的操作者就不能隨意管理對方的虛擬機。要想有效地解決這些問題，就必然涉及到Hyper-V的用戶授權和監視管理服務。

使用管理員組為用戶分配管理權限

在Windows Server 2012中部署了Hyper-V角色后，在默認情況下，Hyper-V主機中的Administrators組中的所有賬戶對Hyper-V部署的虛擬機擁有完全控制權限，即只要將目標賬戶添加到該組中，就可以擁有對Hyper-v中的虛擬機的管理大權。點擊“Win+R”鍵，運行“lusrmgr.msc”程序，在賬戶管理窗口左側選擇“組”項，在右側窗口中可以看到名為“Hyper-V Administrators”的組，該組中的賬戶擁有對Hyper-V所有功能的訪問權限。在默認情況下，該組中的內容為空。

在域環境中，對于一般的域賬戶（例如“User1”等）來說，當擁有遠程管理Hyper-V主機的權限后，雖然可以遠程登錄到該機，但是在Hyper-V管理器中卻沒有操作虛擬機的任何權限，系統會顯示“您沒有完成此任務所需的權限，請與管理員聯系”之類的警告信息。

賦予用戶管理虛擬機權限最簡單的方法是，在賬戶管理界面中雙擊“Administrators”組，在彈出的窗口中點擊“添加”按鈕，在選擇窗口中點擊“高級”按鈕，在打開窗口中點擊“立即查找”按鈕，在搜索結果中導入目標賬戶，將其添加到Adminbistrators組中。之后，以該賬戶身份遠程登錄到Hyper-V主機，在Hyper-V窗口中就可以對所有的虛擬機進行各種管理操作。

使用Hyper-V管理員組為用戶分配管理權限

實際上，將其他賬戶隨意添加到Administrators組中，對于系統的安全是不利的。為此，可以將目標賬戶添加到Hyper-V Administrators組中，既可以讓其擁有對Hyper-V所有功能，而且不受限制的訪問權限，又不會對系統安全構成威脅。例如，當需要對“User01”賬戶開放Hyper-V虛擬機管理權限的話，可以打開Hyper-V Administrators組的屬性窗口，點擊“添加”按鈕，將“User01”添加到該組中，就可以讓其擁有對Hyper-V虛擬機的完全控制權。當該賬戶遠程登錄到Hyper-V主機后，打開Hyper-V管理器，可以對所有的虛擬機執行連接、設置、啟動、創建快照、移動、導出、重命名、刪除等操作。

實際上，在對虛擬機進行管理時，會涉及到各種相關操作。僅僅將目標賬戶添加到Hyper-V Administrator組中，并不能有效地解決權限管理和控制問題。為了保證虛擬機的正常運作，對于不同的訪問者，應該授予其不同的權限。

配置授權管理器

例如，允許有的賬戶擁有啟動停止虛擬機的權限，有的賬戶則只能有用查看虛擬機運行狀況的權限等。要想解決授予不同賬戶管理權限的問題，需要安裝虛擬機授權管理單元。

運行“mmc”命令，在控制臺窗口中點擊菜單“文件→添加/刪除管理單元”項，在彈出窗口左側的“可用的管理單元”列表中，選擇“授權管理器”項，點擊“添加”按鈕，將其導入到“所選管理單元”列表中。點擊“確定”按鈕，在控制臺窗口左側選擇“授權管理器”項，在其右鍵菜單上點擊“打開授權存儲”項，在打開授權存儲窗口中選擇“XML文件”項，在“存儲名稱”欄中點擊“瀏覽”按鈕，選擇“C:ProgramDataMicrosoftWindowsHyper-VInitialStore.xml”文件。點擊“確定”按鈕，在Hyper-V授權管理器，就可以針對不同的賬戶，分別為其配置管理虛擬機的權限。

當部署了Hyper-V角色后，普通的賬戶是沒有管理虛擬機的權限的。只有在授權管理器中為其分配權限后，普通賬戶才可以管理虛擬機。我們知道，虛擬機的各種功能的實現，需要和具體的角色對應。例如，為目標賬戶賦予了啟動和關閉虛擬機的角色，才可以啟動或者關閉虛擬機。當賦予目標賬戶讀取服務配置、導出和導入虛擬機、查看內外部端口、查看交換機端口、查看局域網設置等角色后，該賬戶才擁有了查看虛擬機運行狀態的能力。

為了便于管理，可以先創建對應的管理組，之后為該組分配角色，并將關聯的賬戶添加進來，就可以讓該組中的所有賬戶擁有相同的管理虛擬機的權限。

自定義監控角色

例如，在域中的Server01成員服務器上打開賬戶管理界面，在其中新建一個名為“Guanlihyperv”的組，在屬性窗口中點擊“添加”按鈕，將域賬戶“user01”添加進來。之后，在上述控制臺左側點擊“授權管理器→InitialStore.xml→Hyper-V services→定義→角色定義”項，在右側窗口的右鍵菜單上點擊“新建角色定義”項，在彈出窗口中的“名稱”欄中輸入角色名稱，例如“查看虛擬機狀態”，在“描述”欄中輸入描述信息，點擊“添加”按鈕，在添加定義窗口中的“操作”面板中顯示該角色所擁有的功能，可以根據實際需要進行選擇。

例如，可以選擇“Start Virtual machine”（啟動虛擬機），“Stop Virtual Machine”（關閉虛擬機），“Unbind External Ethernet Port（解除外部以太網端口綁定）”，“View External Ethernet Ports（查看外部以太網端口）”，“View Internal Ethernet Ports”（查看內部以太網端口），“View LAN Endpoints”（查看 VLAN 終 結點），“View Switck Ports”（查看交換機端口），“View Switchs”（查看交換機），“View Virtual Machine Confiruration”（查看虛擬機配置），“View Virtual Switch Management Service”（查看虛擬交換機管理服務），“View VLAN Settings”（查看VLAN設置）等。點擊”確定”按鈕，將選定的功能添加到角色定義窗口中。

角色的分配操作

定義了所需的角色后，接下來需要分配角色，即將目標賬戶或者組添加到角色中。在控制臺窗口左側點擊“控制臺根節點→InitialStore.xml→Hyper-V Services→定義→角色分配”項，在右鍵菜單中點擊“分配新角色”項，在彈出窗口中顯示所有可用的角色，選擇上述“查看虛擬機狀態”角色項，將其添加到上述“角色分配”節點下。

選擇該角色，在右側窗口的右鍵菜單中點擊“分配用戶和組→從Windows和Active Directory”項，在選擇用戶或組窗口中的“輸入對象名稱來選擇”欄中輸入目標賬戶好組，例如“server01guanlihyperv”，點擊“檢查名稱”按鈕，對合法性進行測試。當檢測無誤后，點擊”確定”按鈕，添加到控制臺中。

監控虛擬機的狀態

因為賬戶User01是Guanlihyperv組中的成員，因此該賬戶就可以查看所有虛擬機的運行狀態。以該賬戶身份遠程登錄到Hyper-V主機上，運行Hyper-V管理器，可以查看到部署的所有虛擬機。因為這里沒有授予啟動或者關閉虛擬機的權限，所以當選擇某臺虛擬機，在其右鍵菜單上點擊“啟動”或者“關閉”項，系統就顯示沒有操作權限的提示。當打開某臺虛擬機的屬相窗口，試圖對配置信息進行修改的話，系統就會顯示無法修改配置信息，沒有執行該操作所需的權限的提示。

當然，我們可以按照上述方法，為指定的賬戶分配合適的管理權限，允許控制虛擬機的啟動/關閉功能，或者允許自由修改虛擬機各項屬性的權力。這樣，不同的用戶分別擁有各自的管理權力，當對部署的虛擬機進行操作時，就會更加合理有序地維護虛擬機的運作。

遠程訪問Hyper-V虛擬機

利用系統提供的Hyper-V管理器，不僅允許用戶管理本地主機，而且執行遠程連接操作。在Hyper-V管理器左側“Hyper-V管理器”項的右鍵菜單中點擊“連接到服務器”，在選擇計算機窗口中選擇“另一臺計算機”項，輸入遠程Hyper-V主機的名稱或者IP地址，也可以點擊瀏覽按鈕，在選擇計算機窗口中輸入或者搜索域內的合法主機，將其添加進來。點擊“確定”按鈕，將目標主機添加到Hyper-V管理器中，選擇該目標主機，就可以顯示部署的虛擬機信息了。

此外，還可以利用遠程管理程序，對目標Hyper-V主機進行遠控操作。一般來說，Hyper-V安裝有兩塊網卡，其中一塊網卡部署為虛擬交換機，用來連接許可范圍內的多個虛擬設備。另一塊網卡連接到管理網絡，管理員可以借此連接到Hyper-V主機，進行遠程管理。在Windows Server 2012中，可以利用遠程桌面功能，通過對用戶訪問進行授權處理，允許合適的賬戶遠程連接到系統中，默認允許兩個遠程并發連接，讓兩個賬戶可以同時遠程連接到本機。

以管理員身份登錄到Hyper-V主機上，在計算機圖標項的右鍵功能列表中點擊“屬性”項，在系統窗口中左側點擊“遠程連接”鏈接，在系統屬性窗口中的“遠程”面板中如果選擇“不允許連接到這臺計算機”項，則禁用遠程桌面功能。選擇“允許遠程連接到此計算機”項，同時不選擇“僅允許運行使用網絡級別身份驗證的遠程桌面的計算機連接”項，表示允許任意版本的遠程桌面客戶端程序連接到本機。選擇“允許遠程連接到此計算機”項，同時選擇“僅允許運行使用網絡級別身份驗證的遠程桌面的計算機連接”項，表示僅允許運行網絡安全級別的身份驗證的遠程桌面客戶端程序連接到本機。

對于使用Windows 7/8/10/2008等系統的客戶端來說，最好選擇最后一種連接認證方式。點擊“選擇用戶”按鈕，在遠程桌面用戶窗口中點擊“添加”按鈕，將允許遠程訪問的賬戶添加進來。默認狀態下，本地管理員中的賬戶具備遠程訪問功能。例如，對于使用Windows 8的客戶端來說，可以運行“mstsc”程序。來連接Hyper-V主機外，還可以登錄到應用商店中下載安裝遠程桌面工具。之后，點擊開始桌面上的“遠程桌面”磁貼項，在遠程桌面管理窗口底部輸入Hyper-V主機的IP或者域名，點擊連接按鈕，在輸入憑證界面中點擊“使用其他賬戶”項，選擇合適的賬戶名，輸入密碼，勾選“記住我的憑證”項，便于以后的登錄操作。

點擊“確定”按鈕，就可以和Hyper-V主機建立連接，并對其執行遠程控制，如同操作本機一樣。例如，在遠程界面中的開始屏幕上單機“Hyper-V管理器”磁貼項，打開Hyper-V管理器界面，在左側顯示Hyper-V主機面板，在中部顯示虛擬機列表，在右側顯示功能面板，您可以根據需要，對部署的虛擬機進行維護操作。例如，對虛擬機進行導入導出，設置Hyper-V運行參數，包括虛擬硬盤、虛擬機、存儲遷移、實時遷移、復制配置等。