Использование AzMan для безопасности Hyper-V

Эта заметка будет полезна тем, кто, установив сервер терминалов, не может подключиться  к своим виртуальным машинам. Описываемая ситуация следующая. Есть у меня компьютер, на котором поднята роль Hyper-V. Под управлением Hyper-V работает несколько виртуальных машин. Если не поднята роль сервера терминалов, то одновременно с компьютером может работать два пользователя, подключившихся удаленно.  Пользователи работают под учетной записью администратора. Подключившись удаленно, пользователь может подконнектится к запущенной виртуальной машине. После установки сервера терминалов подключение к виртуальным машинам без изменения настроек невозможно. Виртуальные машины можно запускать и останавливать, но нельзя подключиться к ним.

При попытке подключения появляется запрос на ввод авторизационных данных, но после их ввода получаем сообщение, что подключение запрещено   администратором.

Что делать и почему так происходит? Можно ли подключиться к виртуалкам без изменения настроек? Ничего не меняя подключиться можно, но ТОЛЬКО используя возможность удаленного подключения по RDP к виртуальной машине, если она сконфигурирована на этой машине. Для подключения с помощью “Подключить” Hyper-V придется менять настройки. Сделаны такие настройки по умолчанию специально, так как после установки сервера терминалов с компьютером будет в удаленном режиме работать много пользователей.

Диспетчер авторизации используется для предоставления функций управления доступом на основе ролей для Hyper-V (http://technet.microsoft.com/ru-RU/library/dd283030.aspx).

Диспетчер авторизации включает в себя следующие компоненты: оснастку диспетчера авторизации (файл AzMan.msc) и программный интерфейс (API) диспетчера авторизации. Оснастка консоли управления (MMC) используется для выбора операций, группирования их в задачи, а затем для авторизации ролей с целью выполнения конкретных задач. Она также используется для управления задачами, операциями, ролями пользователей и разрешениями. Для использования оснастки нужно сначала создать хранилище данных авторизации или открыть существующее хранилище. API предоставляет упрощенную модель разработки для управления гибкими группами, бизнес-правилами и политиками хранилищ данных авторизации. Диспетчеру авторизации требуется хранилище данных для политики, в котором были бы объединены роли, учетные записи пользователей и права доступа. Такое хранилище называется хранилищем данных авторизации. В Hyper-V это хранилище данных может поддерживаться в базе данных Active Directory или в XML-файле на локальном сервере, где выполняется роль Hyper-V. Хранилище можно изменять через оснастку диспетчера авторизации или через API диспетчера авторизации, которые доступны в языках сценариев, таких как VBScript.  Если в качестве хранилища данных авторизации используется база данных Active Directory, доменные службы Active Directory должны находиться в режиме работы Windows Server 2003 и выше. Хранилище XML не поддерживает делегирование приложений, хранилищ или областей, поскольку доступ к XML-файлу контролируется списком управления доступом на уровне пользователя (DACL), который предоставляет или ограничивает доступ ко всему содержимому файла  (http://go.microsoft.com/fwlink/?LinkId=134075). По этой причине, если в качестве хранилища данных авторизации используется XML-файл, следует регулярно выполнять его архивацию. Файловая система NTFS не поддерживает приложения, выдающие последовательность отдельных операций записи как единую логическую операцию записи в файл, если в тот же файл выполняют запись несколько приложений. Это означает, что файл политики диспетчера авторизации (XML-файл) может изменяться одновременно двумя административными приложениями, что приведет его повреждению. Модули записи VSS Hyper-V выполняют архивацию хранилища данных авторизации с помощью сервера, где выполняется роль Hyper-V.

Полезную информацию по настройкам можно посмотреть тут http://abramenko.wordpress.com/page/2/