引言：在Windows Server 2012中，不同的賬戶擁有不同的權(quán)限，在執(zhí)行文件管理、訪問共享資源等操作時(shí)，只能在其擁有的權(quán)限范圍內(nèi)活動(dòng)。與之對(duì)應(yīng)，在管理Hype-V虛擬機(jī)時(shí)，也可以賦予不同的操作者不同的權(quán)限。例如在Hyper-V中創(chuàng)建了兩臺(tái)虛擬機(jī)，分別歸屬A部門和B部門管理，那么這兩個(gè)部門的操作者就不能隨意管理對(duì)方的虛擬機(jī)。要想有效地解決這些問題，就必然涉及到Hyper-V的用戶授權(quán)和監(jiān)視管理服務(wù)。

使用管理員組為用戶分配管理權(quán)限

在Windows Server 2012中部署了Hyper-V角色后，在默認(rèn)情況下，Hyper-V主機(jī)中的Administrators組中的所有賬戶對(duì)Hyper-V部署的虛擬機(jī)擁有完全控制權(quán)限，即只要將目標(biāo)賬戶添加到該組中，就可以擁有對(duì)Hyper-v中的虛擬機(jī)的管理大權(quán)。點(diǎn)擊“Win+R”鍵，運(yùn)行“l(fā)usrmgr.msc”程序，在賬戶管理窗口左側(cè)選擇“組”項(xiàng)，在右側(cè)窗口中可以看到名為“Hyper-V Administrators”的組，該組中的賬戶擁有對(duì)Hyper-V所有功能的訪問權(quán)限。在默認(rèn)情況下，該組中的內(nèi)容為空。

在域環(huán)境中，對(duì)于一般的域賬戶（例如“User1”等）來(lái)說(shuō)，當(dāng)擁有遠(yuǎn)程管理Hyper-V主機(jī)的權(quán)限后，雖然可以遠(yuǎn)程登錄到該機(jī)，但是在Hyper-V管理器中卻沒有操作虛擬機(jī)的任何權(quán)限，系統(tǒng)會(huì)顯示“您沒有完成此任務(wù)所需的權(quán)限，請(qǐng)與管理員聯(lián)系”之類的警告信息。

賦予用戶管理虛擬機(jī)權(quán)限最簡(jiǎn)單的方法是，在賬戶管理界面中雙擊“Administrators”組，在彈出的窗口中點(diǎn)擊“添加”按鈕，在選擇窗口中點(diǎn)擊“高級(jí)”按鈕，在打開窗口中點(diǎn)擊“立即查找”按鈕，在搜索結(jié)果中導(dǎo)入目標(biāo)賬戶，將其添加到Adminbistrators組中。之后，以該賬戶身份遠(yuǎn)程登錄到Hyper-V主機(jī)，在Hyper-V窗口中就可以對(duì)所有的虛擬機(jī)進(jìn)行各種管理操作。

使用Hyper-V管理員組為用戶分配管理權(quán)限

實(shí)際上，將其他賬戶隨意添加到Administrators組中，對(duì)于系統(tǒng)的安全是不利的。為此，可以將目標(biāo)賬戶添加到Hyper-V Administrators組中，既可以讓其擁有對(duì)Hyper-V所有功能，而且不受限制的訪問權(quán)限，又不會(huì)對(duì)系統(tǒng)安全構(gòu)成威脅。例如，當(dāng)需要對(duì)“User01”賬戶開放Hyper-V虛擬機(jī)管理權(quán)限的話，可以打開Hyper-V Administrators組的屬性窗口，點(diǎn)擊“添加”按鈕，將“User01”添加到該組中，就可以讓其擁有對(duì)Hyper-V虛擬機(jī)的完全控制權(quán)。當(dāng)該賬戶遠(yuǎn)程登錄到Hyper-V主機(jī)后，打開Hyper-V管理器，可以對(duì)所有的虛擬機(jī)執(zhí)行連接、設(shè)置、啟動(dòng)、創(chuàng)建快照、移動(dòng)、導(dǎo)出、重命名、刪除等操作。

實(shí)際上，在對(duì)虛擬機(jī)進(jìn)行管理時(shí)，會(huì)涉及到各種相關(guān)操作。僅僅將目標(biāo)賬戶添加到Hyper-V Administrator組中，并不能有效地解決權(quán)限管理和控制問題。為了保證虛擬機(jī)的正常運(yùn)作，對(duì)于不同的訪問者，應(yīng)該授予其不同的權(quán)限。

配置授權(quán)管理器

例如，允許有的賬戶擁有啟動(dòng)停止虛擬機(jī)的權(quán)限，有的賬戶則只能有用查看虛擬機(jī)運(yùn)行狀況的權(quán)限等。要想解決授予不同賬戶管理權(quán)限的問題，需要安裝虛擬機(jī)授權(quán)管理單元。

運(yùn)行“mmc”命令，在控制臺(tái)窗口中點(diǎn)擊菜單“文件→添加/刪除管理單元”項(xiàng)，在彈出窗口左側(cè)的“可用的管理單元”列表中，選擇“授權(quán)管理器”項(xiàng)，點(diǎn)擊“添加”按鈕，將其導(dǎo)入到“所選管理單元”列表中。點(diǎn)擊“確定”按鈕，在控制臺(tái)窗口左側(cè)選擇“授權(quán)管理器”項(xiàng)，在其右鍵菜單上點(diǎn)擊“打開授權(quán)存儲(chǔ)”項(xiàng)，在打開授權(quán)存儲(chǔ)窗口中選擇“XML文件”項(xiàng)，在“存儲(chǔ)名稱”欄中點(diǎn)擊“瀏覽”按鈕，選擇“C:ProgramDataMicrosoftWindowsHyper-VInitialStore.xml”文件。點(diǎn)擊“確定”按鈕，在Hyper-V授權(quán)管理器，就可以針對(duì)不同的賬戶，分別為其配置管理虛擬機(jī)的權(quán)限。

當(dāng)部署了Hyper-V角色后，普通的賬戶是沒有管理虛擬機(jī)的權(quán)限的。只有在授權(quán)管理器中為其分配權(quán)限后，普通賬戶才可以管理虛擬機(jī)。我們知道，虛擬機(jī)的各種功能的實(shí)現(xiàn)，需要和具體的角色對(duì)應(yīng)。例如，為目標(biāo)賬戶賦予了啟動(dòng)和關(guān)閉虛擬機(jī)的角色，才可以啟動(dòng)或者關(guān)閉虛擬機(jī)。當(dāng)賦予目標(biāo)賬戶讀取服務(wù)配置、導(dǎo)出和導(dǎo)入虛擬機(jī)、查看內(nèi)外部端口、查看交換機(jī)端口、查看局域網(wǎng)設(shè)置等角色后，該賬戶才擁有了查看虛擬機(jī)運(yùn)行狀態(tài)的能力。

為了便于管理，可以先創(chuàng)建對(duì)應(yīng)的管理組，之后為該組分配角色，并將關(guān)聯(lián)的賬戶添加進(jìn)來(lái)，就可以讓該組中的所有賬戶擁有相同的管理虛擬機(jī)的權(quán)限。

自定義監(jiān)控角色

例如，在域中的Server01成員服務(wù)器上打開賬戶管理界面，在其中新建一個(gè)名為“Guanlihyperv”的組，在屬性窗口中點(diǎn)擊“添加”按鈕，將域賬戶“user01”添加進(jìn)來(lái)。之后，在上述控制臺(tái)左側(cè)點(diǎn)擊“授權(quán)管理器→InitialStore.xml→Hyper-V services→定義→角色定義”項(xiàng)，在右側(cè)窗口的右鍵菜單上點(diǎn)擊“新建角色定義”項(xiàng)，在彈出窗口中的“名稱”欄中輸入角色名稱，例如“查看虛擬機(jī)狀態(tài)”，在“描述”欄中輸入描述信息，點(diǎn)擊“添加”按鈕，在添加定義窗口中的“操作”面板中顯示該角色所擁有的功能，可以根據(jù)實(shí)際需要進(jìn)行選擇。

例如，可以選擇“Start Virtual machine”（啟動(dòng)虛擬機(jī)），“Stop Virtual Machine”（關(guān)閉虛擬機(jī)），“Unbind External Ethernet Port（解除外部以太網(wǎng)端口綁定）”，“View External Ethernet Ports（查看外部以太網(wǎng)端口）”，“View Internal Ethernet Ports”（查看內(nèi)部以太網(wǎng)端口），“View LAN Endpoints”（查看 VLAN 終 結(jié)點(diǎn)），“View Switck Ports”（查看交換機(jī)端口），“View Switchs”（查看交換機(jī)），“View Virtual Machine Confiruration”（查看虛擬機(jī)配置），“View Virtual Switch Management Service”（查看虛擬交換機(jī)管理服務(wù)），“View VLAN Settings”（查看VLAN設(shè)置）等。點(diǎn)擊”確定”按鈕，將選定的功能添加到角色定義窗口中。

角色的分配操作

定義了所需的角色后，接下來(lái)需要分配角色，即將目標(biāo)賬戶或者組添加到角色中。在控制臺(tái)窗口左側(cè)點(diǎn)擊“控制臺(tái)根節(jié)點(diǎn)→InitialStore.xml→Hyper-V Services→定義→角色分配”項(xiàng)，在右鍵菜單中點(diǎn)擊“分配新角色”項(xiàng)，在彈出窗口中顯示所有可用的角色，選擇上述“查看虛擬機(jī)狀態(tài)”角色項(xiàng)，將其添加到上述“角色分配”節(jié)點(diǎn)下。

選擇該角色，在右側(cè)窗口的右鍵菜單中點(diǎn)擊“分配用戶和組→從Windows和Active Directory”項(xiàng)，在選擇用戶或組窗口中的“輸入對(duì)象名稱來(lái)選擇”欄中輸入目標(biāo)賬戶好組，例如“server01guanlihyperv”，點(diǎn)擊“檢查名稱”按鈕，對(duì)合法性進(jìn)行測(cè)試。當(dāng)檢測(cè)無(wú)誤后，點(diǎn)擊”確定”按鈕，添加到控制臺(tái)中。

監(jiān)控虛擬機(jī)的狀態(tài)

因?yàn)橘~戶User01是Guanlihyperv組中的成員，因此該賬戶就可以查看所有虛擬機(jī)的運(yùn)行狀態(tài)。以該賬戶身份遠(yuǎn)程登錄到Hyper-V主機(jī)上，運(yùn)行Hyper-V管理器，可以查看到部署的所有虛擬機(jī)。因?yàn)檫@里沒有授予啟動(dòng)或者關(guān)閉虛擬機(jī)的權(quán)限，所以當(dāng)選擇某臺(tái)虛擬機(jī)，在其右鍵菜單上點(diǎn)擊“啟動(dòng)”或者“關(guān)閉”項(xiàng)，系統(tǒng)就顯示沒有操作權(quán)限的提示。當(dāng)打開某臺(tái)虛擬機(jī)的屬相窗口，試圖對(duì)配置信息進(jìn)行修改的話，系統(tǒng)就會(huì)顯示無(wú)法修改配置信息，沒有執(zhí)行該操作所需的權(quán)限的提示。

當(dāng)然，我們可以按照上述方法，為指定的賬戶分配合適的管理權(quán)限，允許控制虛擬機(jī)的啟動(dòng)/關(guān)閉功能，或者允許自由修改虛擬機(jī)各項(xiàng)屬性的權(quán)力。這樣，不同的用戶分別擁有各自的管理權(quán)力，當(dāng)對(duì)部署的虛擬機(jī)進(jìn)行操作時(shí)，就會(huì)更加合理有序地維護(hù)虛擬機(jī)的運(yùn)作。

遠(yuǎn)程訪問Hyper-V虛擬機(jī)

利用系統(tǒng)提供的Hyper-V管理器，不僅允許用戶管理本地主機(jī)，而且執(zhí)行遠(yuǎn)程連接操作。在Hyper-V管理器左側(cè)“Hyper-V管理器”項(xiàng)的右鍵菜單中點(diǎn)擊“連接到服務(wù)器”，在選擇計(jì)算機(jī)窗口中選擇“另一臺(tái)計(jì)算機(jī)”項(xiàng)，輸入遠(yuǎn)程Hyper-V主機(jī)的名稱或者IP地址，也可以點(diǎn)擊瀏覽按鈕，在選擇計(jì)算機(jī)窗口中輸入或者搜索域內(nèi)的合法主機(jī)，將其添加進(jìn)來(lái)。點(diǎn)擊“確定”按鈕，將目標(biāo)主機(jī)添加到Hyper-V管理器中，選擇該目標(biāo)主機(jī)，就可以顯示部署的虛擬機(jī)信息了。

此外，還可以利用遠(yuǎn)程管理程序，對(duì)目標(biāo)Hyper-V主機(jī)進(jìn)行遠(yuǎn)控操作。一般來(lái)說(shuō)，Hyper-V安裝有兩塊網(wǎng)卡，其中一塊網(wǎng)卡部署為虛擬交換機(jī)，用來(lái)連接許可范圍內(nèi)的多個(gè)虛擬設(shè)備。另一塊網(wǎng)卡連接到管理網(wǎng)絡(luò)，管理員可以借此連接到Hyper-V主機(jī)，進(jìn)行遠(yuǎn)程管理。在Windows Server 2012中，可以利用遠(yuǎn)程桌面功能，通過對(duì)用戶訪問進(jìn)行授權(quán)處理，允許合適的賬戶遠(yuǎn)程連接到系統(tǒng)中，默認(rèn)允許兩個(gè)遠(yuǎn)程并發(fā)連接，讓兩個(gè)賬戶可以同時(shí)遠(yuǎn)程連接到本機(jī)。

以管理員身份登錄到Hyper-V主機(jī)上，在計(jì)算機(jī)圖標(biāo)項(xiàng)的右鍵功能列表中點(diǎn)擊“屬性”項(xiàng)，在系統(tǒng)窗口中左側(cè)點(diǎn)擊“遠(yuǎn)程連接”鏈接，在系統(tǒng)屬性窗口中的“遠(yuǎn)程”面板中如果選擇“不允許連接到這臺(tái)計(jì)算機(jī)”項(xiàng)，則禁用遠(yuǎn)程桌面功能。選擇“允許遠(yuǎn)程連接到此計(jì)算機(jī)”項(xiàng)，同時(shí)不選擇“僅允許運(yùn)行使用網(wǎng)絡(luò)級(jí)別身份驗(yàn)證的遠(yuǎn)程桌面的計(jì)算機(jī)連接”項(xiàng)，表示允許任意版本的遠(yuǎn)程桌面客戶端程序連接到本機(jī)。選擇“允許遠(yuǎn)程連接到此計(jì)算機(jī)”項(xiàng)，同時(shí)選擇“僅允許運(yùn)行使用網(wǎng)絡(luò)級(jí)別身份驗(yàn)證的遠(yuǎn)程桌面的計(jì)算機(jī)連接”項(xiàng)，表示僅允許運(yùn)行網(wǎng)絡(luò)安全級(jí)別的身份驗(yàn)證的遠(yuǎn)程桌面客戶端程序連接到本機(jī)。

對(duì)于使用Windows 7/8/10/2008等系統(tǒng)的客戶端來(lái)說(shuō)，最好選擇最后一種連接認(rèn)證方式。點(diǎn)擊“選擇用戶”按鈕，在遠(yuǎn)程桌面用戶窗口中點(diǎn)擊“添加”按鈕，將允許遠(yuǎn)程訪問的賬戶添加進(jìn)來(lái)。默認(rèn)狀態(tài)下，本地管理員中的賬戶具備遠(yuǎn)程訪問功能。例如，對(duì)于使用Windows 8的客戶端來(lái)說(shuō)，可以運(yùn)行“mstsc”程序。來(lái)連接Hyper-V主機(jī)外，還可以登錄到應(yīng)用商店中下載安裝遠(yuǎn)程桌面工具。之后，點(diǎn)擊開始桌面上的“遠(yuǎn)程桌面”磁貼項(xiàng)，在遠(yuǎn)程桌面管理窗口底部輸入Hyper-V主機(jī)的IP或者域名，點(diǎn)擊連接按鈕，在輸入憑證界面中點(diǎn)擊“使用其他賬戶”項(xiàng)，選擇合適的賬戶名，輸入密碼，勾選“記住我的憑證”項(xiàng)，便于以后的登錄操作。

點(diǎn)擊“確定”按鈕，就可以和Hyper-V主機(jī)建立連接，并對(duì)其執(zhí)行遠(yuǎn)程控制，如同操作本機(jī)一樣。例如，在遠(yuǎn)程界面中的開始屏幕上單機(jī)“Hyper-V管理器”磁貼項(xiàng)，打開Hyper-V管理器界面，在左側(cè)顯示Hyper-V主機(jī)面板，在中部顯示虛擬機(jī)列表，在右側(cè)顯示功能面板，您可以根據(jù)需要，對(duì)部署的虛擬機(jī)進(jìn)行維護(hù)操作。例如，對(duì)虛擬機(jī)進(jìn)行導(dǎo)入導(dǎo)出，設(shè)置Hyper-V運(yùn)行參數(shù)，包括虛擬硬盤、虛擬機(jī)、存儲(chǔ)遷移、實(shí)時(shí)遷移、復(fù)制配置等。