Blog ASIR > Entradas de blog > Windows 8: Administradores de Hyper-V


diciembre 14
Windows 8: Administradores de Hyper-V
 Santiago Buitrago (ASIR INTRASITE)Sin información de presencia  
Categoría: MicrosoftWindows 8Windows Server

​En Windows 8 ahora tenemos Hyper-V (con sus limitaciones)​ y nos permite crear nuevas virtuales para hacer nuestras pruebas, laboratorios, etc... además ahora tenemos un nuevo grupo local: Administradores de Hyper-V. Este grupo permite a usuarios limitados tener acceso a la configuración de Hyper-V, en caso contrario cuando abrimos la consola de Hyper-V nos encontramos el siguiente error:

 Permisos_Hyper-v_1.jpg

Si añadimos al usuario o grupo de usuarios como miembros del grupo Administradores de Hyper-V local, tendrán acceso a Hyper-V como administradores

Permisos_Hyper-v_2.jpg
Podemos añadir los usuarios o grupos a miembros del grupo Administradores de Hyper-V de  varias formas:
  1. Desde una línea de comandos: net localgruoup "Administradores de Hyper-V" nombre_usuarios-grupo /add
  2. Administrador de Equipos: Usuarios y grupos locales - Grupos - Administradores de Hyper-V en la ficha miembros y agregamos al grupo o usuario en cuestión
  3. GPO: Añadiendo el grupo o usuarios como miembros del grupo local de Administradores de Hyper-V (Añadir usuarios o grupos como miembros de grupos locales de los equipos del dominio)

El problema que tendríamos ahora es que los usuarios tendrían acceso completo a las configuraciones de Hyper-V, si queremos evitar este comportamiento debemos configurar la segregación de permisos con desde AZMAN.MSC. Este complemento nos permite administrar la autorización de los permisos basados en roles, para ello abrimos el Administrador  de Autorización, pulsamos con el botón secundario del ratón encima de Administrador de Autorización y pulsamos en Abrir almacén de autorización ...

Permisos_Hyper-v_3.jpg
 
ahora demos seleccionar el fichero XML en donde se almacena la configuración, pulsamos en examinar y abrimos el fichero InitialStore.xml
Permisos_Hyper-v_4.jpg
 
el fichero InitialStore.xml en %systemdrive%\ProgramData\Microsoft\Windows\Hyper-V, para poder editarlo se debe tener el permiso de MODIFICAR sobre el mismo. Por defecto tiene permiso sobre el fichero el grupo Administradores, Virtual Machines y System
Permisos_Hyper-v_5.jpg
Ahora podremos empezar con la configuración de la segregación de roles para administrar la configuración de Hyper-V
Permisos_Hyper-v_6.jpg
 
Ahora vamos a Definiciones - Definiciones de Rol y por defecto tenemos uno que se llama Administrator el cual tiene todos los derechos sobre este Hyper-V, si vamos a las propidades del Rol y a la pestaña Definición vemos las tareas que se le permiten
Permisos_Hyper-v_8.jpgPermisos_Hyper-v_9.jpg
 
Permisos_Hyper-v_10.jpgPermisos_Hyper-v_11.jpg

Aqui definimos el ROL y las tareas que puede realizar, y en la opción de Asignaciones de  roles seleccionamos los usuarios a los cuales le asignamos el rol, por defecto el grupo Administradores Local y el grupo Administradores de Hyper-V. Está claro que añadir a los usuarios al grupo Administradores de Hyper-V es la mejor opción "por defecto" para que tengan acceso a Hyper-V, porque si los añadimos al grupo Administradores... no hay mucho que decir sobre esto verdad

Permisos_Hyper-v_12.jpg

 

Ahora viene lo bueno, podemos crear nuestros propios roles y asignarlos a nuestros usuarios del dominio, para ello tenemos que hacer lo siguiente.

Primero creamos el rol, vamos a Definiciones de rol y pulsamos con el botón secundario encima de Definiciones de rol y pulsamos en Nueva definición de rol ...

Permisos_Hyper-v_13.jpg
 
escribimos un nombre identificativo del rol y pulsamos en Agregar

Permisos_Hyper-v_14.jpg

ahora vamos a la pestaña Operaciones y añadimos las tareas que le vamos a permitir ejecutar a los usuarios que tengan este rol

Permisos_Hyper-v_18.jpg
 
Nosotros vamos a definir tres roles:

Hyper-V HelpDesk Level 1: Tiene acceso de lectura a la consola de las MV

Permisos_Hyper-v_14.jpg

Hyper-V HelpDesk Level 2: Tiene acceso de lectura sobre las MV creadas, puede iniciar y parar MV y cambiar las tarjetas de red asignadas

Permisos_Hyper-v_15.jpg

Hyper-V HelpDesk Level 3: Tiene control total sobre las MV e Hyper-V
Permisos_Hyper-v_16.jpg

 

 Permisos_Hyper-v_17.jpg

Ahora una vez que tenemos creados lo tres roles debemos asignarlos a los usuarios o grupos locales o de dominio que queramos, para ello vamos a Asignación de roles - Nueva asignación de roles ...

Permisos_Hyper-v_19.jpg
seleccionamos los tres roles para posteriormente asignar los usuarios o grupos que tendrán acceso a estos roles
Permisos_Hyper-v_20.jpg
ahora pulsamos con el botón secundario del ratón encima de uno de los roles y pulsamos en Agregar usuarios y grupos - De Windows y Active Directory ...
Permisos_Hyper-v_21.jpg
ahora buscamos el grupo de usuarios o usuario en el Active Directory  o Windows y los agregamos, en mi caso he creado tres grupos dominio local de seguridad, para asignarlos a cada rol de Hyper-V que hemos creado:
 

ACL Hyper-V HelpDesk Level 1

ACL Hyper-V HelpDesk Level 2

ACL Hyper-V HelpDesk Level 3

Ahora añado como miembros de estos grupos de dominio a los usuarios o grupos globales de dominio a los que pertencen los usuarios, de esta forma me beneficiaré de las membresias del AD.
 
Permisos_Hyper-v_22.jpg
 
Lo que haré es que mapear los roles de Hyper-V con los Grupo del AD de la siguiente forma, por lo menos para tener coherencia entre ellos
​Rol ​Grupo AD
​Hyper-V HelpDesk Level 1 ​ACL Hyper-V HelpDesk Level 1
​Hyper-V HelpDesk Level 2​ ​ACL Hyper-V HelpDesk Level 2
​​Hyper-V HelpDesk Level 3 ​ACL Hyper-V HelpDesk Level 3

 

​Hyper-V HelpDesk Level 1
Permisos_Hyper-v_23.jpg
 
​Hyper-V HelpDesk Level 2
Permisos_Hyper-v_24.jpg

 

​Hyper-V HelpDesk Level 3

Permisos_Hyper-v_25.jpg
 
 
Ya hemos finalizado la configuración, ahora en función del grupo al que pertenezca el usuario tendrá unos permisos u otro sobre Hyper-V y las máquinas virtuales que tengamos en el.
 
"También comentaros que esto es configurable de la misma forma en la versión de servidores: Windows Server 2008 y 2012"
 
Espero que os sea de utilidad!!
Como sabéis he creado una comunidad técnica (UCOMSSP) para que todos podamos compartir nuestras inquietudes y experiencias. Se agradece que los comentarios sobre algún artículo, consultas o dudas las hagáis directamente en UCOMSSP (http://www.ucomsenespanol.com) en la sección de Foro, gracias por vuestra colaboración