步骤 3: 确保全部用户都以最低权限进行访问

为了确保安全性及制约性，必须将管理职责进行分离，也就是说没有哪个人能够单独执行所有管理任务。举例来说，Hyper-V管理员不应该具备管理虚拟机的权限。微软提供了三种预设的角色，以帮助用户将关键性职责分别进行部署：

◇  Hyper-V 管理员——使用主分区中的管理操作系统，这一角色具备相应的权限，以对包括网络及存储配置在内的基于主机的虚拟机上的全局信息进行修改。

◇ 委托管理员——这一角色负责对其所辖范围内的主机或主机群组提供额外的限制来保证其他管理员无法对上述设备进行管理操作。通过微软的系统中心虚拟机管理工具（简称VMM），委托管理员能够在被配给的任何主机上对虚拟机进行管理，但他们无法对该主机之外的企业服务进行访问。

◇ 自助服务用户——全局管理员可以通过虚拟机或者相关设置为这类用户指定访问权限。这种方式与委托管理员的区别在于，这类用户所获得的是虚拟机中的访问权限，而非主机层面的控制权限。

分享按钮