Часть 1 — Hyper-V Remote Management: You do not have the required permission to complete this task. Contact the administrator of the authorization policy for the computer ‘COMPUTERNAME’

Что такое «диспетчер учетных данных»?

«Диспетчер учетных данных» – это «цифровой сейф», в котором Windows хранит учетные данные (имя пользователя, пароли и т.д.) для других компьютеров в сети, серверов или веб-сайтов. Эти данные использует как сама операционная система, так и приложения, которые знают, как их использовать, например: инструменты, входящие в состав Windows Live Essentials, Microsoft Office, Internet Explorer или приложения для запуска виртуальных машин.

Что такое msc оснастка

И так msc в Windows расшифровывается как Microsoft System Console, еще проще это окна или как их еще называют оснастки, для управления теми или иными функциями операционной системы. Ранее я вас уже знакомил с методом создания удобной оснастки mmc, в которой мы добавляли все, что нужно системному администратору для повседневного администрирования.

И вы наверно спросите, а при чем тут командная строка и все такое, а вот при чем. Представим себе ситуацию, у вас в организации существует домен Active Directory, рядовые пользователи не имеют прав локального администратора на своих рабочих станциях, все идет и работает как часы, случается ситуация, что например вам нужно у пользователя поменять какие либо настройки, и сделать нужно сейчас, так что искать эти настройки в групповой политике нет времени.

Во тут нам и поможет знание названия msc windows оснасток и командная строка. Все что вам нужно это открыть командную строку от имени администратора и ввести нужное название msc оснастки. Ниже представлен список. Как видите открыв командную строку cmd.exe я для примера ввел значение открывающее панель управления с правами администратора системы.

В этой статье мы рассмотрим следующие темы:

· Что такое Authorization Manager;

· Терминология Authorization Manager;

· Делегирование средствами Authorization Manager;

Похожее:  Как создать личный кабинет и для чего это нужно делать

Authorization Manager, как компонента появился в версии Windows Server 2003, по сути, эта компонента была первым источником хранения информации доступа к различным объектам, позволяет реализовать ролевую систему доступа к виртуальным машинам. (Управление на основе ролей).

Управление доступом на основе ролей, представляет собой модель авторизации при которой, вся модель строится вокруг учетной записи пользователя, такая модель обеспечивается на основе объекта — роль, назначаемую пользователю для выполнения конкретной функции. Роль, явно подразумевает набор разрешений для доступа к некоему набору ресурсов.

При управлении доступом на основе ролей разрешения выдаются по средствам высокоуровневых абстракций, соответствующих операциям и заданиям приложения. Операции являются неделимыми единицами, тогда как задания могут состоять из нескольких операций (и других заданий).

Что понимается под — делегированием управления виртуальными машинами

Делегирование управлением виртуальными машинами это процесс выделения диапазона административных задач для определенных пользователей или групп на управление определенной областью.

Например: можно выделить основные задачи администрирования виртуальных машин и передать администрирование членам определенных групп в Active Directory .

Вопросы и ответы для самоконтроля

  1. Для чего применяется MMC? Для настройки приложений и программ.
  2. Что такое оснастка? Это средство MMC для управления чем-либо (например, управлением жесткими дисками).
  3. Чем отличается авторский режим консоли MMC от пользовательского режима? Авторский режим разрешает полную настройку оснастки.
  4. Чем отличается пользовательский многооконный режим консоли MMC от пользовательского однооконного режима? Разница в том, что при однооконном режиме пользователь не может открывать новые окна.
  5. В чём состоит отличие конфигурации компьютера от конфигурации пользователя в групповой политике? Параметры, настроенные в конфигурации компьютера применяются ко ВСЕМ пользователям данного компьютера. А параметры пользователя применяются для конкретного пользователя, и их можно переносить на другой компьютер.
  6. Каким образом можно отключить автозапуск компакт-дисков чрез групповую политику? Система->Отключить автозагрузку (выбрать: во всех дисководах).
  7. Каким образом можно включить автозапуск программ через групповую политику? – Система: вход в систему: запускать указанные программы при входе в систему и выбрать полный путь к программе с расширением.
  8. Каким образом можно добавить новый шаблон в групповую политику? В Групповой политике нажать кнопку Действие->Добавление или удаление шаблонов.
  9. Для чего предназначена оснастка «Результирующая политика»? Для просмотра настроек пользователя или компьютера.

Групповые политики компьютера

Конфигурация компьютера состоит из:

  • Конфигурации программ.
  • Конфигурации
  • Административных шаблонов.

В этой статья рассматриваются «Административные шаблоны».

Пример. Как включить дисковые квоты в Windows 10 с помощью групповых политик?

Конфигурация компьютера -> Административные шаблоны -> Система -> Дисковые квоты -> Включить дисковые квоты -> Включено.

Подобным образом с помощью административных шаблонов можно выполнить множество настроек операционной системы.

Групповые политики пользователя

«Конфигурация пользователя» по умолчанию состоит из тех же разделов, что и «Конфигурация компьютера». Рассмотрим раздел «Административные возможности».

Например, при помощи групповой политики можно запретить доступ к дискам.

Административные шаблоны -> Компоненты Windows –> Проводник -> Запретить доступ к дискам через «Мой компьютер».

С помощью команды Административные шаблоны -> Панель управления -> Запретить доступ к панели управления и параметрам компьютера.

Можно, собственно, запретить доступ к панели управления и параметрам компьютера.

В этом разделе очень много настроек, описывать все можно до бесконечности, поэтому если вам интересно – посмотрите, что еще есть в разделе «Административные шаблоны» самостоятельно.

Делегирование прав:

После перезагрузки сервера Hyper-V идем на рабочую станцию администратора открываем оснастку Authorization Manager StartàRunàmmcàAdd

Рисунок 13 Добавление оснастки AzMan

Оснастка AzMan консоли управления (MMC) используется для выбора операций, группирования их в задачи, а затем для авторизации ролей с целью выполнения конкретных задач. Она также используется для управления задачами, операциями, ролями пользователей и разрешениями.

Рисунок 14 Добавление оснастки AzMan

Для использования оснастки нужно открыть существующее хранилище InitialStore.xml на сервере Hyper-V.

Рисунок 15 Оснастка Authorization Manager

Так, как наш сервер в домене, а мы работает под учетной записью администратора — мы можем получить доступ напрямую к диску С узла Hyper-V. Нажимаем правой кнопкой мыши Authorization Manager , выбираем Browse, далее указываем путь к файлу.

\HV03.sep.localc$programdataMicrosoftWindowsHyper— VInitialStore.xml

Рисунок 16 Открытие хранилища InitialStore.xml

После загрузки мы видим текущее состояние базы, на данном этапе все администраторы узла Hyper-V имеют доступ ко всем виртуальным машинам, а вновь создаваемые виртуальные машины помещаются в пул по умолчанию.

Рисунок 17 Обзор хранилища InitialStore.xml

Далее настраиваем возможность управления сервером Hyper-V для наших групп. Если этого не сделать, то при подключении пользователи не увидят список своих виртуальных машин. Для этого перейдем в консоль Authorization Manager, выбираем Hyper-V Services àDefinitionsà RoleDefinitionsàNew Role DefinitionàAddàУказываемимя VM-Manager Role, нажимаем кнопку Add.

Рисунок 18 Определение роли

Отмечаем следующие операции и нажимаем ОК.

  • Read Service Configuration;
  • View Virtual Machine Switch management Service;

Рисунок 19 Выбор операций для роли

Нажимаем Ок.

Рисунок 20 Выбранные операции для роли

Далее идем в Hyper-V services—>Role Assignments—>правой кнопкой мыши—>New Role Assignmentà Отмечаем чекбокс HV Manager Role и нажимаем Ок.

Рисунок 21 Добавление роли

Одним из основных терминов Authorization Management является Область (Scope), для задач делегирования прав на конкретные виртуальные машины на первом этапе потребуется создать три области, в которые поместить наши виртуальные машины в последствии доступ к которым мы и будем делегировать. Для этого перейдем в консоль Authorization Manageràжмем правой кнопкой мыши на Hyper-V Service и выбираем New Scope.

Рисунок 22 Создание новой области

Добавление учетных данных

Процесс добавления учетных данных очень простой. Во-первых, определитесь с типом учетных данных. Как из трех вам нужен?

Предположим, вы хотите добавить «Учетные данные Windows» для того, чтобы вы могли открывать папки на другом компьютере.

Нажмите на ссылку «добавить учетные данные Windows».

Дальше вам нужно ввести необходимые данные для входа. Сначала введите IP-адрес или имя компьютера. Далее введите имя пользователя, которое будет использоваться для входа. Кстати, не забудьте ввести имя компьютера перед именем пользователя, как показано на скриншоте ниже. Теперь введите пароль и нажмите кнопку «OK».

Учетные данные сохраняться и будут автоматически использоваться при каждом доступе к данному компьютеру вашей сети.

Как открыть «диспетчер учетных данных»?

Один из способов открытия «Диспетчера учетных данных»: откройте «Панель управления», затем перейдите в раздел «Учетные записи пользователей и Семейная безопасность», ну а дальше выберите «Диспетчер учетных данных».

Консоль управления mmc

Наиболее популярные оснастки MMC это:

  1. Управление устройствами (Диспетчер устройств).
  2. Управление дисками.

Оснастку «Управление устройствами» (диспетчер устройств) в Windows 10 можно вызвать при помощи команды devmgmt.msc.

Откроется диспетчер устройств.

Оснастку «Управление дисками» можно вызвать с помощью команды diskmgmt.msc.

Если вы хотите создать новую консоль, с каким-либо набором команд введите в окно поиска команду mmc.exe.

Вводите именно mmc.exe так как в Windows 10 команда mmc открывает приложение диспетчер Hyper-V. После ввода команды откроется новая консоль.

Что бы добавить в консоль оснастки нужно нажать «Файл»->«Добавить или удалить оснастку».

Для примера я добавлю «Анализ и настройка безопасности». Так же можно добавить «Управление дисками и другие оснастки».

Перед сохранением консоли (Файл->Сохранить как) нужно указать параметры (Файл->Параметры).

В параметрах существует возможность установки режима работы пользователя с этой консолью: авторский режим, предоставляющий пользователю полный доступ ко всем функциям MMC, и пользовательский режим.

Существует три вида пользовательского режима:

  1. полный доступ (full access) даёт пользователю доступ ко всем командам MMC, но не позволяет добавлять или удалять оснастки, или изменять свойства консоли;
  2. ограниченный доступ, много окон (Limited Access Multiple Windows) позволяет пользователю осуществлять доступ только к областям дерева консоли, которые отображались при сохранении консоли, а также открывать новые окна;
  3. ограниченный доступ, одно окно (Limited Access Single Window) работает так же, как многооконный ограниченный доступ с той разницей, что пользователь не может открывать новые окна.

Перечень оснасток, которые можно добавить в консоль:

  1. «Анализ и настройка безопасности». Оснастка MMC, позволяющая анализировать и настраивать параметры безопасности на компьютерах Windows с помощью файлов шаблонов безопасности.
  2. Диспетчер Hyper-V. Предоставляет доступ к управлению платформой виртуализации.
  3. Диспетчер авторизации. Позволяет задавать ролевые разрешения для приложений, использующих диспетчер авторизации.
  4. Диспетчер устройств. Просмотр параметров оборудования и драйверов устройств, установленных на компьютере, а также управление ими.
  5. Локальные пользователи и группы. Управление локальными пользователями и группами
  6. Мониторинг IP безопасности. Оснастка монитора IP-безопасности используется для наблюдения за состоянием IP-безопасности.
  7. Мониторинг брандмауэра. Настройка политики для обеспечения расширенной сетевой безопасности компьютеров с Windows.
  8. Общие папки. Отображение общих папок, текущих сеансов и открытых файлов.
  9. Папка. Оснастка «Папка» позволяет добавить папку в дерево. Она может быть использована для упорядочивания консоли оснастки.
  10. Планировщик заданий. Расписание автоматически запускаемых заданий.
  11. Просмотр событий. Просмотр сообщений о системных и программных событиях Windows и других программ.
  12. Редактор объектов групповых политик. Эта оснастка позволяет редактировать объекты локальной групповой политики, хранимые на компьютере.
  13. Результирующая политика. Эта оснастка позволяет просматривать результирующую политику для пользователя на компьютере. Она используется как для просмотра уже применяемой политики, так и для прогноза того, какая политика будет применяться к пользователю компьютера.
  14. Сертификаты. Оснастка сертификатов позволяет просматривать содержимое хранилищ для поиска своих сертификатов, сертификатов служб или компьютеров.
  15. Системный монитор. Оснастка позволяет осуществлять контроль над производительностью приложений и оборудования.
  16. Службы. Запуск, остановка и настройка служб Windows.
  17. Службы компонентов. Средство управления службами компонентов (COM ).
  18. Ссылка на веб-ресурс. Оснастка «Ссылка на веб-ресурс» позволяет добавить узел консоли с отображением веб-страницы на панели результатов.
  19. Управление ТРМ. Оснастка управления доверенным платформенным модулем (TPM) позволяет настраивать оборудование безопасности TPM и управлять им.
  20. Управление дисками. Программы поддержки динамических дисков и управления томами предоставлены корпорации Майкрософт корпорацией VERITAS Software.
  21. Управление компьютером. Управление компьютером и соответствующие служебные программы.
  22. Управление печатью. «Управление печатью» является оснасткой консоли управления печатью (MMC) и используется для управления серверами печати принтерами.
  23. Управление IP-безопасностью. Администрирование безопасностью протокола IP (IPsec). Управление политиками IPsec для безопасного соединения с другими компьютерами.
  24. Управляющий элемент WMI. Позволяет настраивать и управлять службой WMI (Инструментарий управления Windows).
  25. Шаблоны безопасности. «Шаблоны безопасности» — это оснастка MMC, позволяющая изменять файлы шаблонов безопасности.
  26. Элемент ActiveX. Оснастка элемента управления ActiveX позволяет добавить узел MMC, содержащий элемент управления ActiveX на панели результатов.

Контрольный список для подготовки к запуску компонента «authorization manager»

И так, с терминами подразобрались, давайте приступим к настройке нашей среды и делегированию прав. Допустим в нашей организации есть сервер c установленной ролью Hyper-V на котором мы развернули несколько виртуальных машин.

Srv-Vm01 – Файловый сервер компании;

Srv-VM02- Сервер приложений Бухгалтерии;

Srv-Vm03 – Сервер Баз данных HR;

Рисунок 2 Консоль Hyper-V Manager

Рисунок 3 Тестовая среда

Наиболее распространенные учетные данные

На большинстве компьютеров с Windows 7 и Windows 8 вы увидите в основном одни и те же учетные данные. Среди наиболее распространенных:

Настройка сервера:

Начнем делегирование прав с того, что выполним ряд настроек на сервере Hyper-V.

Разрешаем  в Windows Firewall правило «Windows Management Instrumentation (WMI) » следующей командой:

netsh advfirewall firewall set rule group=“Windows Management Instrumentation (WMI) ” new enable=yes

Рисунок 4 Настройка правил межсетевого экрана

Открываем программы и оснастки windows c помощью командной строки | vhod-v-lichnyj-kabinet.ru

Не секрет, что в Windows очень многие программы, элементы панели управления, оснастки mmc, настройки и т.д. – можно открыть через командную строку. Команды можно вводить, как через оболочку командной строки cmd, оболочку PoweShell, так и через классическое “Пуск – Выполнить” или попросту R

С последним, как с самым простым, чаще всего возникают проблемы. Говоришь человеку нажать “Виндовс Эрр” – он смотрит на тебя, как на дебила и руками водит. Короче. Раз и навсегда: на любой клавиатуре есть клавиша Windows. Находиться она между Ctrl и Alt. На ней, кто бы мог подумать, нарисован значок Windows. Так вот, что бы открыть окно, куда вводить все эти команды – сначала нажимаем на эту кнопочку, а потом на английскую клавишу “R”. Вводим команду, нажимаем “ОК”. Наслаждаемся результатом.

Пишите в комментариях, если что забыл, если что новое появилось или что безвозвратно удалять за ненадобностью.

Редактирование существующих учетных данных

Чтобы изменить сведения о существующих учетных данных, как и в случае с удалением, найдите их и раскройте. Далее нажмите «Изменить».

После редактирования не забудьте нажать на кнопку «Сохранить», чтобы изменения вступили в силу.

Редактор локальных групповых политик

Для запуска оснастки используется команда gpedit.msc. После выполнения  команды появляется окно редактора локальных групповых политик.

Оснастка состоит из двух базовых частей:

  1. Конфигурация компьютера.
  2. Конфигурация пользователя.

Конфигурация компьютера используется для настроек политики, которая применяется к компьютеру независимо от того какой пользователь работает на нем.

Конфигурация пользователя используется для настроек политики, которая применяется к пользователю независимо от того, на каком компьютере он работает. Созданная политика может быть перенесена на другой компьютер.

Для того чтобы произвести экспорт данных необходимо в оснастке «Групповая политика» выделить нужный узел и во вкладке «Действие» выбрать пункт «Экспортировать список». В появившемся окне выбрать путь сохранения и указать имя файла.

Режимы authorization manager

В компоненте «Authorization Manager » можно использовать следующие режимы.

Рисунок 1 Режимы работы Authorization Manager

Режим разработчика. Используется для создания, разворачивания и поддержки приложений. При этом доступ ко всем возможностям компоненты «Authorization Manager» открыт.

Режим администратора. Этот режим включен по умолчанию. Используется для разворачивания и поддержки приложений. Открыт доступ ко всем возможностям компоненты «Authorization Manager», за исключением создания новых приложений или определения операций.

Приложения, поддерживающие роли в нашем случае Hyper-V, автоматически создают хранилище данных авторизации или используют существующее хранилище с уже определенными операциями и задачами. В этом случае нет необходимости в применении режима разработчика.

Режим разработчика рекомендуется использовать только для создания и настройки хранилищ данных авторизации, приложений и других необходимых объектов.

Список msc оснасток для windows server

domain.msc – Active Directory домены и доверие

Удаление учетных данных

Для удаления учетных данных, сперва найдите их и раскройте, кликнув на их название или на стрелку справа.

Затем нажмите на ссылку «Удалить».

Вас попросят подтвердить удаление. Нажмите на кнопку «Да».

Учетные данные удалены и больше не будут использоваться.

Управление административными шаблонами в групповых политиках

Добавлять и удалять шаблоны в разделе «Административные шаблоны» можно щелкнув правой кнопкой мыши по разделу и выбрав команду «Добавление и удаление шаблонов».

Например, вы можете добавить appbar.adm – административный шаблон  Adobe Photoshop.

Так же существует шаблон system.adm – общие параметры системы и другие.

Итак, в целом мы рассмотрели, как работает редактор локальной групповой политики в Windows 10.

Учетные данные разделены на три категории:

  • «Учетные данные Windows» – используются только Windows и ее службами. К примеру, Windows может использовать эти данные для автоматического входа в общие папки на другом компьютере в вашей сети. Или, для хранения пароля домашней группы, к которой вы присоединены. Пользователь может изменять или удалять такие учетные данные, но это мы затронем в последующих разделах данное статьи.
  • «Учетные данные на основе сертификата» – они используются вместе со смарт-картами, в основном в сложных сетевых бизнес-средах. Большинству из вас никогда не потребуется использовать эти учетные данные и этот раздел на ваших компьютерах будет пуст, но если вы хотите узнать о них больше, почитайте от Microsoft.
  • «Общие учетные данные» – используются некоторыми программами для получения разрешения на использование определенных ресурсов. Самыми часто используемыми общими учетными данными является Windows Live ID, который используется программами, включенными в пакет Windows Live Security Essentials.

Все эти учетные данные автоматически сохраняются и управляются Windows и приложениями, которые вы используете. Для просмотра учетных данных, хранящихся на компьютере, или для удаления или редактирования некоторых из них, используется «Диспетчер учетных данных».

«Учетные данные для Интернета» создаются и удаляются через встроенные в Internet Explorer функции для управления паролями. Вы не сможете создавать эти данные через «Диспетчер учетных данных» – можно только просматривать существующие и удалять их.

Заключение

Как видим, «Диспетчер учетных данных» играет важную роль на вашем компьютере. Единственное, я пока не выяснил, насколько хорошо зашифрованы эти данные, поэтому буду и дальше изучать этот инструмент, и напишу о нем по крайней мере еще одну статью.

Отличного Вам дня!

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *