Стандартная ситуация: Сервер Hyper-V является членом Рабочей Группы, рабочая станция администратора с консолью Hyper-V Manager является членом Домена. Или наоборот, Сервер Hyper-V — член Домена, станция администратора с консолью Hyper-V Manager — член другого домена или член Рабочей Группы.

При подключении консолью Hyper-V Manager-а с машины администратора выдается сообщение: «You do not have required permission to complete this task. Contact the administrator of the authorization policy for the computer COMPUTERNAME»

Как победить эту проблему описывается в этой статье.

Прим Автора: (Это перевод статьи «Part 1 — Hyper-V Remote Management: You do not have the required permission to complete this task. Contact the administrator of the authorization policy for the computer ‘COMPUTERNAME’»)

Ссылки на остальные части статьи: 1, 2, 3, 4 и 5

После множества писем об этой проблеме, я посчитал уместным написать статью о том, как быть в этой ситуации.

Вы получите эту проблему в оснастке Hyper-V Vista management tools, при подключении к удаленному Windows Server 2008 серверу на котором, установлена Hyper-V роль, если обе машины находятся в Рабочей группе.

Мы должны проделать несколько шагов для того чтобы у нас заработала оснастка Hyper-V Vista management tools в нашей конфигурации.

Шаг 1 (На Рабочей Станции и Сервере)

Убедитесь что для соединения вы используете одинакового пользователя и пароль, как на Рабочей Станции так и на Сервере. Для этого я создал пользователя «John» с таким же паролем на обоих компьютерах (Рабочей Станции так и на Сервере). Пользователь «John» не обладает Административными правами на Сервере, но на Рабочей Станции — является Администратором.

Шаг 2А (Настройка Server Core инсталляции)

(ждите обновления)

Шаг 2В (Настройка Server Full инсталляции)

Включите правила в Брандмауэре Windows для WMI (Windows Management Instrumentation). Для этого запустите CMD и наберите в нем следующую команду:

netsh advfirewall firewall set rule group=»Windows Management Instrumentation (WMI)» new enable=yes

Убедитесь что команда выполнена и правила были обновлены как показано на рисунке.

Note: Строка в кавычках (в нашем примере «Windows Management Instrumentation (WMI)») должна соответствовать названию группы, определенному в Брандмауэре Windows. Если вы используете не Английскую версию Windows, вам надо вставить правильное значение соответствующее вашей системе.

Теперь если вы откроете консоль «Брандмауэр Windows в режиме повышенной безопасности» (Windows Firewall with Advanced Security) из меню Администрирование (Administrative Tools) вы увидите четыре действующих правила, три для входящих подключений и одно для исходящих.

Шаг 3 (на Сервере)

Этот шаг позволит дать необходимые права пользователю, который будет удаленно подключаться к DCOM компоненту (Distributed COM). В зависимости от ваших обстоятельств вы можете добавить отдельных пользователей (у них должны быть заведенные учетные записи на сервере), группу, или вы можете дать доступ всем пользователям, выбрав группу «Авторизованные пользователи» (Authenticated Users).

Откройте оснастку «Службы компонентов» (Component Services) набрав “dcomcnfg” в меню Пуск — Выполнить. В открывшемся окне выберите пункт «Мой компьютер» (My Computer) который находится  в «Службы компонентов\Компьютеры» (Component Services\Computers).

Нажимаем правой кнопкой мыши на «Мой компьютер» (My Computer), выбираем «Свойства» (Properties) и открываем закладку «Безопасность COM» (COM Security).

На данной закладке в разделе «Разрешения на запуск и активацию» (Launch and Activation Permissions) нажимаем кнопку «Изменить ограничения» (Edit Limits). (Будьте внимательны, не трогайте раздел «Права доступа» (Access Permissions))

Нажимаем кнопку «Добавить» (Add) и добавляем созданного в Шаге 1 пользователя или необходимую группу, например «Авторизованные пользователи» (Authenticated Users).

Нажимаем «ОК» и выделяем только что добавленного пользователи или группу.

В столбце «Разрешить» (Allow) выделите два пункта «Удаленный запуск и Удаленная активация» (Remote Launch, Remote Activation) и нажимаем «ОК».

Закрываем оснастку «Службы компонентов» (Component Services).

Шаг 4 (на Сервере)

На этом шаге мы настроим соответствующие разрешения на WMI пользователю, который будет подключаться удаленно. Нам необходимо раздать права на два параметра и как в Шаге 3 выдать права конкретному пользователю или группе или группе «Пользователи прошедшие проверку» (Authenticated Users).

Открываем «Управление компьютером» (Computer Management) в открывшемся окне раскрываем ветку «Службы и приложения» (Services and Applications) и выбираем «Управляющий элемент WMI» (WMI Control).

Нажимаем правой кнопкой мыши на «Управляющий элемент WMI» (WMI Control) и выбираем «Свойства» (Properties). Переходим на закладку «Безопасность» (Security) и выделяем ветку Root\CIMV2.

ВАЖНО: Вы должны выставить права дважды, один раз для ветки Root\CIMV2 и еще раз для ветки Root\virtualization.

Нажимаем кнопку «Безопасность» (Security). Если необходимый пользователь или группа еще не имеют доступа, нажимаем кнопку «Добавить» (Add) и добавляем, как это уже делали в Шаге 3.

Теперь выделим пользователя или группу и нажимаем кнопку «Дополнительно» (Advanced) в разделе «Разрешения для …» (Permissions for …).

В открывшемся окне опять выделяем необходимого пользователя или группу и нажимаем «Изменить» (Edit).

Необходимо сделать следующие три изменения:

1. В разделе «Применять:» (Apply to:) поставить «Данное пространство и подпространство имен» (This namespace and subnamespaces).
2. В разделе «Разрешить» (Allow) поставить «Включить удаленно» (Remote Enable).
3. Разрешить «Применять эти разрешения к объектам и контейнерам только внутри этого контейнера» (Apply these permissions to objects and/or containers within this container only).

Окно должно выглядеть, как показано на рисунке. Если все правильно, нажмите «ОК» для закрытия окон.

Повторите эти операции для ветки «Root\Virtualization».

Нажимайте «ОК» на открытых окнах для подтверждения всех изменений и закройте окно «Управление компьютером» (Computer Management).

Шаг 5 (на Сервере)

Далее мы с вами будем настраивать ролевые разрешения для приложений на сервере с Hyper-V ролью используя «Диспетчер авторизации» (Authorization Manager (AZMan)). Я предполагаю, что вы используете настройки политики по умолчанию и не вносили до этого никаких изменений.

Открываем «Диспетчер авторизации» (Authorization Manager), Пуск-Выполнить: “azman.msc”

В открывшемся окне, правой кнопкой мыши нажимаем на «Диспетчер авторизации» (Authorization Manager), выбираем «Открыть хранилище данных авторизации…» (Open Authorization Store).

Убедитесь что выбран тип хранилища «Файл XML» (XML file), нажав кнопку «Обзор» (Browse) переходим в директорию «\ProgramData\Microsoft\Windows\Hyper-V» выбираем файл «InitialStore.xml» и нажимаем «ОК».
Прим. Папка с директориями скрыта, поэтому требуется отображение скрытых файлов на диске.

Я не буду усложнять, поэтому в контексте Hyper-V дам права Администратора пользователю «John», которого мы завели ранее. Разверните список «InitialStore.xml\Hyper-V services\Role Assignments\Administrator» и выделите «Administrator».

В правой части окна, нажимаем правой кнопкой мыши, выбираем “Assign Users and Groups” и далее “From Windows and Active Directory…”.

Добавляем необходимого пользователя или группу.

Закрываем «Диспетчер авторизации» (Authorization Manager).

ВАЖНО: Вы должны перегрузить Сервер для того чтобы изменения вступили в силу.

В Части 2, я расскажу о настройке рабочей станции администратора.