引言：在Windows Server 2012中，不同的賬戶擁有不同的權(quán)限，在執(zhí)行文件管理、訪問共享資源等操作時，只能在其擁有的權(quán)限范圍內(nèi)活動。與之對應(yīng)，在管理Hype-V虛擬機時，也可以賦予不同的操作者不同的權(quán)限。例如在Hyper-V中創(chuàng)建了兩臺虛擬機，分別歸屬A部門和B部門管理，那么這兩個部門的操作者就不能隨意管理對方的虛擬機。要想有效地解決這些問題，就必然涉及到Hyper-V的用戶授權(quán)和監(jiān)視管理服務(wù)。

使用管理員組為用戶分配管理權(quán)限

在Windows Server 2012中部署了Hyper-V角色后，在默認情況下，Hyper-V主機中的Administrators組中的所有賬戶對Hyper-V部署的虛擬機擁有完全控制權(quán)限，即只要將目標(biāo)賬戶添加到該組中，就可以擁有對Hyper-v中的虛擬機的管理大權(quán)。點擊“Win+R”鍵，運行“l(fā)usrmgr.msc”程序，在賬戶管理窗口左側(cè)選擇“組”項，在右側(cè)窗口中可以看到名為“Hyper-V Administrators”的組，該組中的賬戶擁有對Hyper-V所有功能的訪問權(quán)限。在默認情況下，該組中的內(nèi)容為空。

在域環(huán)境中，對于一般的域賬戶（例如“User1”等）來說，當(dāng)擁有遠程管理Hyper-V主機的權(quán)限后，雖然可以遠程登錄到該機，但是在Hyper-V管理器中卻沒有操作虛擬機的任何權(quán)限，系統(tǒng)會顯示“您沒有完成此任務(wù)所需的權(quán)限，請與管理員聯(lián)系”之類的警告信息。

賦予用戶管理虛擬機權(quán)限最簡單的方法是，在賬戶管理界面中雙擊“Administrators”組，在彈出的窗口中點擊“添加”按鈕，在選擇窗口中點擊“高級”按鈕，在打開窗口中點擊“立即查找”按鈕，在搜索結(jié)果中導(dǎo)入目標(biāo)賬戶，將其添加到Adminbistrators組中。之后，以該賬戶身份遠程登錄到Hyper-V主機，在Hyper-V窗口中就可以對所有的虛擬機進行各種管理操作。

使用Hyper-V管理員組為用戶分配管理權(quán)限

實際上，將其他賬戶隨意添加到Administrators組中，對于系統(tǒng)的安全是不利的。為此，可以將目標(biāo)賬戶添加到Hyper-V Administrators組中，既可以讓其擁有對Hyper-V所有功能，而且不受限制的訪問權(quán)限，又不會對系統(tǒng)安全構(gòu)成威脅。例如，當(dāng)需要對“User01”賬戶開放Hyper-V虛擬機管理權(quán)限的話，可以打開Hyper-V Administrators組的屬性窗口，點擊“添加”按鈕，將“User01”添加到該組中，就可以讓其擁有對Hyper-V虛擬機的完全控制權(quán)。當(dāng)該賬戶遠程登錄到Hyper-V主機后，打開Hyper-V管理器，可以對所有的虛擬機執(zhí)行連接、設(shè)置、啟動、創(chuàng)建快照、移動、導(dǎo)出、重命名、刪除等操作。

實際上，在對虛擬機進行管理時，會涉及到各種相關(guān)操作。僅僅將目標(biāo)賬戶添加到Hyper-V Administrator組中，并不能有效地解決權(quán)限管理和控制問題。為了保證虛擬機的正常運作，對于不同的訪問者，應(yīng)該授予其不同的權(quán)限。

配置授權(quán)管理器

例如，允許有的賬戶擁有啟動停止虛擬機的權(quán)限，有的賬戶則只能有用查看虛擬機運行狀況的權(quán)限等。要想解決授予不同賬戶管理權(quán)限的問題，需要安裝虛擬機授權(quán)管理單元。

運行“mmc”命令，在控制臺窗口中點擊菜單“文件→添加/刪除管理單元”項，在彈出窗口左側(cè)的“可用的管理單元”列表中，選擇“授權(quán)管理器”項，點擊“添加”按鈕，將其導(dǎo)入到“所選管理單元”列表中。點擊“確定”按鈕，在控制臺窗口左側(cè)選擇“授權(quán)管理器”項，在其右鍵菜單上點擊“打開授權(quán)存儲”項，在打開授權(quán)存儲窗口中選擇“XML文件”項，在“存儲名稱”欄中點擊“瀏覽”按鈕，選擇“C:ProgramDataMicrosoftWindowsHyper-VInitialStore.xml”文件。點擊“確定”按鈕，在Hyper-V授權(quán)管理器，就可以針對不同的賬戶，分別為其配置管理虛擬機的權(quán)限。

當(dāng)部署了Hyper-V角色后，普通的賬戶是沒有管理虛擬機的權(quán)限的。只有在授權(quán)管理器中為其分配權(quán)限后，普通賬戶才可以管理虛擬機。我們知道，虛擬機的各種功能的實現(xiàn)，需要和具體的角色對應(yīng)。例如，為目標(biāo)賬戶賦予了啟動和關(guān)閉虛擬機的角色，才可以啟動或者關(guān)閉虛擬機。當(dāng)賦予目標(biāo)賬戶讀取服務(wù)配置、導(dǎo)出和導(dǎo)入虛擬機、查看內(nèi)外部端口、查看交換機端口、查看局域網(wǎng)設(shè)置等角色后，該賬戶才擁有了查看虛擬機運行狀態(tài)的能力。

為了便于管理，可以先創(chuàng)建對應(yīng)的管理組，之后為該組分配角色，并將關(guān)聯(lián)的賬戶添加進來，就可以讓該組中的所有賬戶擁有相同的管理虛擬機的權(quán)限。

自定義監(jiān)控角色

例如，在域中的Server01成員服務(wù)器上打開賬戶管理界面，在其中新建一個名為“Guanlihyperv”的組，在屬性窗口中點擊“添加”按鈕，將域賬戶“user01”添加進來。之后，在上述控制臺左側(cè)點擊“授權(quán)管理器→InitialStore.xml→Hyper-V services→定義→角色定義”項，在右側(cè)窗口的右鍵菜單上點擊“新建角色定義”項，在彈出窗口中的“名稱”欄中輸入角色名稱，例如“查看虛擬機狀態(tài)”，在“描述”欄中輸入描述信息，點擊“添加”按鈕，在添加定義窗口中的“操作”面板中顯示該角色所擁有的功能，可以根據(jù)實際需要進行選擇。

例如，可以選擇“Start Virtual machine”（啟動虛擬機），“Stop Virtual Machine”（關(guān)閉虛擬機），“Unbind External Ethernet Port（解除外部以太網(wǎng)端口綁定）”，“View External Ethernet Ports（查看外部以太網(wǎng)端口）”，“View Internal Ethernet Ports”（查看內(nèi)部以太網(wǎng)端口），“View LAN Endpoints”（查看 VLAN 終 結(jié)點），“View Switck Ports”（查看交換機端口），“View Switchs”（查看交換機），“View Virtual Machine Confiruration”（查看虛擬機配置），“View Virtual Switch Management Service”（查看虛擬交換機管理服務(wù)），“View VLAN Settings”（查看VLAN設(shè)置）等。點擊”確定”按鈕，將選定的功能添加到角色定義窗口中。

角色的分配操作

定義了所需的角色后，接下來需要分配角色，即將目標(biāo)賬戶或者組添加到角色中。在控制臺窗口左側(cè)點擊“控制臺根節(jié)點→InitialStore.xml→Hyper-V Services→定義→角色分配”項，在右鍵菜單中點擊“分配新角色”項，在彈出窗口中顯示所有可用的角色，選擇上述“查看虛擬機狀態(tài)”角色項，將其添加到上述“角色分配”節(jié)點下。

選擇該角色，在右側(cè)窗口的右鍵菜單中點擊“分配用戶和組→從Windows和Active Directory”項，在選擇用戶或組窗口中的“輸入對象名稱來選擇”欄中輸入目標(biāo)賬戶好組，例如“server01guanlihyperv”，點擊“檢查名稱”按鈕，對合法性進行測試。當(dāng)檢測無誤后，點擊”確定”按鈕，添加到控制臺中。

監(jiān)控虛擬機的狀態(tài)

因為賬戶User01是Guanlihyperv組中的成員，因此該賬戶就可以查看所有虛擬機的運行狀態(tài)。以該賬戶身份遠程登錄到Hyper-V主機上，運行Hyper-V管理器，可以查看到部署的所有虛擬機。因為這里沒有授予啟動或者關(guān)閉虛擬機的權(quán)限，所以當(dāng)選擇某臺虛擬機，在其右鍵菜單上點擊“啟動”或者“關(guān)閉”項，系統(tǒng)就顯示沒有操作權(quán)限的提示。當(dāng)打開某臺虛擬機的屬相窗口，試圖對配置信息進行修改的話，系統(tǒng)就會顯示無法修改配置信息，沒有執(zhí)行該操作所需的權(quán)限的提示。

當(dāng)然，我們可以按照上述方法，為指定的賬戶分配合適的管理權(quán)限，允許控制虛擬機的啟動/關(guān)閉功能，或者允許自由修改虛擬機各項屬性的權(quán)力。這樣，不同的用戶分別擁有各自的管理權(quán)力，當(dāng)對部署的虛擬機進行操作時，就會更加合理有序地維護虛擬機的運作。

遠程訪問Hyper-V虛擬機

利用系統(tǒng)提供的Hyper-V管理器，不僅允許用戶管理本地主機，而且執(zhí)行遠程連接操作。在Hyper-V管理器左側(cè)“Hyper-V管理器”項的右鍵菜單中點擊“連接到服務(wù)器”，在選擇計算機窗口中選擇“另一臺計算機”項，輸入遠程Hyper-V主機的名稱或者IP地址，也可以點擊瀏覽按鈕，在選擇計算機窗口中輸入或者搜索域內(nèi)的合法主機，將其添加進來。點擊“確定”按鈕，將目標(biāo)主機添加到Hyper-V管理器中，選擇該目標(biāo)主機，就可以顯示部署的虛擬機信息了。

此外，還可以利用遠程管理程序，對目標(biāo)Hyper-V主機進行遠控操作。一般來說，Hyper-V安裝有兩塊網(wǎng)卡，其中一塊網(wǎng)卡部署為虛擬交換機，用來連接許可范圍內(nèi)的多個虛擬設(shè)備。另一塊網(wǎng)卡連接到管理網(wǎng)絡(luò)，管理員可以借此連接到Hyper-V主機，進行遠程管理。在Windows Server 2012中，可以利用遠程桌面功能，通過對用戶訪問進行授權(quán)處理，允許合適的賬戶遠程連接到系統(tǒng)中，默認允許兩個遠程并發(fā)連接，讓兩個賬戶可以同時遠程連接到本機。

以管理員身份登錄到Hyper-V主機上，在計算機圖標(biāo)項的右鍵功能列表中點擊“屬性”項，在系統(tǒng)窗口中左側(cè)點擊“遠程連接”鏈接，在系統(tǒng)屬性窗口中的“遠程”面板中如果選擇“不允許連接到這臺計算機”項，則禁用遠程桌面功能。選擇“允許遠程連接到此計算機”項，同時不選擇“僅允許運行使用網(wǎng)絡(luò)級別身份驗證的遠程桌面的計算機連接”項，表示允許任意版本的遠程桌面客戶端程序連接到本機。選擇“允許遠程連接到此計算機”項，同時選擇“僅允許運行使用網(wǎng)絡(luò)級別身份驗證的遠程桌面的計算機連接”項，表示僅允許運行網(wǎng)絡(luò)安全級別的身份驗證的遠程桌面客戶端程序連接到本機。

對于使用Windows 7/8/10/2008等系統(tǒng)的客戶端來說，最好選擇最后一種連接認證方式。點擊“選擇用戶”按鈕，在遠程桌面用戶窗口中點擊“添加”按鈕，將允許遠程訪問的賬戶添加進來。默認狀態(tài)下，本地管理員中的賬戶具備遠程訪問功能。例如，對于使用Windows 8的客戶端來說，可以運行“mstsc”程序。來連接Hyper-V主機外，還可以登錄到應(yīng)用商店中下載安裝遠程桌面工具。之后，點擊開始桌面上的“遠程桌面”磁貼項，在遠程桌面管理窗口底部輸入Hyper-V主機的IP或者域名，點擊連接按鈕，在輸入憑證界面中點擊“使用其他賬戶”項，選擇合適的賬戶名，輸入密碼，勾選“記住我的憑證”項，便于以后的登錄操作。

點擊“確定”按鈕，就可以和Hyper-V主機建立連接，并對其執(zhí)行遠程控制，如同操作本機一樣。例如，在遠程界面中的開始屏幕上單機“Hyper-V管理器”磁貼項，打開Hyper-V管理器界面，在左側(cè)顯示Hyper-V主機面板，在中部顯示虛擬機列表，在右側(cè)顯示功能面板，您可以根據(jù)需要，對部署的虛擬機進行維護操作。例如，對虛擬機進行導(dǎo)入導(dǎo)出，設(shè)置Hyper-V運行參數(shù)，包括虛擬硬盤、虛擬機、存儲遷移、實時遷移、復(fù)制配置等。