Часть 3 — Hyper-V Remote Management: You do not have the required permission to complete this task. Contact the administrator of the authorization policy for the computer ‘COMPUTERNAME’

Ссылки на остальные части статьи: 123, 4 и 5

Только я подумал, что закончил писать статью, но пришло достаточно много писем с вопросом — «Как быть если сервер установлен в режиме Server Core?» Если Сервер установлен в режиме Server Core, то в нем отсутствует большинство привычного пользовательского интерфейса.

Эта часть, альтернатива Первой Части статьи и тут речь пойдет о настройке Сервера в режиме Server Core. Прежде, чем идти дальше, удостоверьтесь, что вы следовали за шагами в предыдущих статьях, чтобы добавить Hyper-V роль на Server Core и включить «Удаленное управление» (Remote management). Удаленное управление — это важный момент, без которого вы не сможете проделать следующие шаги.

Шаг 10 (на Рабочей станции и Сервере)

Этот шаг повторяет Шаг 1 из Первой Части. Удостоверьтесь, что вы используете одинаковые логин и пароль на Рабочей Станции и на Сервере. Для этой статьи я создал пользователя «John» с таким же паролем на обоих компьютерах. Пользователь “John” не обладает Административными правами на Сервере, но на Рабочей Станции — является Администратором. Для заведения пользователя выполните следующую команду:

net user john * /add

p3f1

Шаг 11 (на Сервере)

Этот шаг повторяет Шаг 2 из Первой Части. Включите правила в Брандмауэре Windows для WMI (Windows Management Instrumentation). Для этого запустите CMD и наберите в нем следующую команду:

netsh advfirewall firewall set rule group=”Windows Management Instrumentation (WMI)” new enable=yes

Убедитесь что команда выполнена и 4-ре правила были обновлены как показано на рисунке.

p3f2

Note: Строка в кавычках (в нашем примере “Windows Management Instrumentation (WMI)”) должна соответствовать названию группы, определенному в Брандмауэре Windows. Если вы используете не Английскую версию Windows, вам надо вставить правильное значение соответствующее вашей системе.

Шаг 12 (на Сервере)

Этот шаг повторяет Шаг 3 в Первой Части статьи. Этот шаг позволит дать необходимые права пользователю, который будет удаленно подключаться к DCOM компоненту (Distributed COM). На Сервере в режиме установки «Serevr Full» это довольно просто сделать используя «dcomcnfg».  К сожалению это невозможно сделать на Сервере в режиме установки «Server Core». Однако есть  встроенная группа пользователей, которая выполнит нам соответствующую роль, ее то мы и будем использовать. (По идее, хотя я этого не проверял, это должно в полной мере работать и на Сервере в режиме установки «Serevr Full»)

Нам надо добавить нашего пользователя или группу в группу «Distributed COM Users». В моем примере Сервер называется «jhoward-hp2» а пользователь называется «John». В командной строке выполним следующую команду:

net localgroup “Distributed COM Users” /add jhoward-hp2\john

p3f3

Шаг 12B (на Рабочей Станции)

Следуйте шагам 5, 6 и 7 в Части 2. Эти шаги повторяются и должны быть проделаны на Рабочей Станции.

Шаг 13 (на Рабочей станции)

Этот шаг дублирует Шаг 4 Первой Части статьи. В нем назначаются соответствующие разрешения на WMI, пользователю, который будет подключаться удаленно. Нам необходимо раздать права на два параметра и как в Шаге 3 выдать права конкретному пользователю или группе или группе “Пользователи прошедшие проверку” (Authenticated Users).

Но это будет сделать немного затруднительно, поскольку на Сервере в режиме установки «Server Core» нет консоли «Управления Компьютером» (Сomputer Management MMC). Однако , поскольку мы уже дали разрешения на «Удаленное управление» (Remote Management) на Сервере, мы сможем это проделать с Рабочей Станции (Vista SP1). На Рабочей Станции войдите в систему под  учетной записью с правами Администратора, которая совпадает с учетной записью на Сервере. (В нашем примере это «John»).

Откройте оснастку «Управление Компьютером» (Computer Management), выделите самый верхний узел «Управление Компьютером (Локальный компьютер)» (Computer Management (Local Computer)), нажмите правой кнопкой мыши и выберите «Подключиться к другому компьютеру …» (Connect to another computer …).

p3f4

В открывшемся окне введите имя Сервера и нажмите «ОК», (в нашем примере имя сервера «jhoward-hp2»). Затем раскрываем ветку “Службы и приложения” (Services and Applications) и выбираем “Управляющий элемент WMI” (WMI Control).

p3f5

p3f6

Нажимаем правой кнопкой мыши на “Управляющий элемент WMI” (WMI Control) и выбираем “Свойства” (Properties). Переходим на закладку “Безопасность” (Security) и выделяем ветку Root\CIMV2.

p3f7

ВАЖНО: Вы должны выставить права дважды, один раз для ветки Root\CIMV2 и еще раз для ветки Root\virtualization.

Нажимаем кнопку “Безопасность” (Security). Если необходимый пользователь или группа еще не имеют доступа, нажимаем кнопку “Добавить” (Add) и добавляем. Обратите внимание, что вы это делаете удаленно,  для вас появится запрос на авторизацию. Убедитесь что вы вводите логин в формате «server\username», т.к. в ином случае домен по умолчанию будет использоваться того компьютера, с которого вы подключаетесь.

p3f8

p3f9

p3f10

Теперь выделим добавленного пользователя или группу и нажимаем кнопку “Дополнительно” (Advanced) в разделе “Разрешения для …” (Permissions for …).

p3f11

В открывшемся окне опять выделяем необходимого пользователя или группу и нажимаем “Изменить” (Edit).

p3f12

Необходимо сделать следующие три изменения:

  1. В разделе “Применять:” (Apply to:) поставить “Данное пространство и подпространство имен” (This namespace and subnamespaces).
  2. В разделе “Разрешить” (Allow) поставить “Включить удаленно” (Remote Enable).
  3. Разрешить “Применять эти разрешения к объектам и контейнерам только внутри этого контейнера” (Apply these permissions to objects and/or containers within this container only).

Окно должно выглядеть, как показано на рисунке. Если все правильно, нажимайте “ОК” для закрытия окон.

p3f13

Повторите эти операции для ветки “Root\Virtualization”.

p3f14

Нажимайте “ОК” на открытых окнах для подтверждения всех изменений и закрывайте окно “Управление компьютером” (Computer Management).

Шаг 14 (на Рабочей станции)

Этот шаг дублирует Шаг 5 из Первой Части статьи и речь тут пойдет о настройке ролевых разрешений для приложений на сервере с Hyper-V ролью используя “Диспетчер авторизации” (Authorization Manager (AZMan)). Я предполагаю, что вы используете настройки политики по умолчанию и не вносили до этого никаких изменений.

Что бы сделать себе жизнь немного проще, на Рабочую Станцию по сети подключите системный диск Сервера. В моем примере системный диск Сервера — «G». Для подключения выполните в командной строке на Рабочей Станции следующую команду (замените G и jhoward-hp2 на то что у вас):

net use * \\jhoward-hp2\g$

p3f15

Открываем “Диспетчер авторизации” (Authorization Manager), Пуск-Выполнить: “azman.msc”

p3f16

p3f17

В открывшемся окне, правой кнопкой мыши нажимаем на “Диспетчер авторизации” (Authorization Manager), выбираем “Открыть хранилище данных авторизации…” (Open Authorization Store).

p3f18

Убедитесь, что выбран тип хранилища “Файл XML” (XML file), нажав кнопку “Обзор” (Browse) переходим на сетевой диск, который только что подключили, в директорию “\ProgramData\Microsoft\Windows\Hyper-V” выбираем файл “InitialStore.xml” и нажимаем “ОК”.

p3f19

Я не буду усложнять, поэтому в контексте Hyper-V дам права Администратора пользователю “John”, которого мы завели ранее. Разверните список “InitialStore.xml\Hyper-V services\Role Assignments\Administrator” и выделите “Administrator”.

p3f20

В правой части окна, нажимаем правой кнопкой мыши, выбираем “Assign Users and Groups” и далее “From Windows and Active Directory…”.

p3f21

Откроется запрос на авторизацию. Убедитесь что вы вводите логин в формате «server\username», т.к. в ином случае домен по умолчанию будет использоваться того компьютера, с которого вы подключаетесь.

В этом пункте я мог бы сказать о том что необходимо добавить пользователя, так как мы это делали для Сервера в режиме установки «Server Full». Однако я натолкнулся на препятствие.  “Диспетчер авторизации” (Authorization Manager) запущенный удаленно не смог найти пользователя «John» на Сервере (так же небыли видны и все другие пользователи которых я создал на Сервере). Хотя с помощью «Управления компьютером» (Computer Management) все они были видны на удаленном Сервере.

p3f22

Ответ, я думал, в том чтобы создать новую группу на Сервере и добавить в нее пользователя «John».  Но и это не сработало. Не все было потеряно. Первое что пришло в голову написать отчет об ошибке. Второе — придумать обходной план. Я приношу свои извинения заранее, но обходной вариант действительно ужасен — вручную редактировать InitialStore.xml.

Давайте взглянем на файл InitialStore.xml, который у нас получился когда мы описывали настройку Сервера в режиме «Server Full», в раздел “Name=Administrator”. На первом скриншоте мы видим кусок XML файла, в котором «John» присутствует, а на втором — нет.

p3f23

p3f24

Таким образом, это только вопрос обнаружения и добавления соответствующего SID пользователя/группы. Как сложно это может быть? Спасибо scripting guy, ответ не заставил себя долго ждать. Я написал небольшой скрипт «test.vbs» и запустил его на Рабочей станции — «cscript test.vbs». (Замените «jhoward-hp2» в обоих местах на название своего Сервера и «John» на имя вашего пользователя. Так же обратите внимание на то, что не должно быть пробела между «john» и Domain=).

strComputer = «.»
Set objWMIService = _
GetObject(«winmgmts:\\jhoward-hp2\root\cimv2»)
Set objAccount = objWMIService.Get _
(«Win32_UserAccount.Name=’john’,Domain=’jhoward-hp2′»)
Wscript.Echo objAccount.SID

p3f25

Итак, теперь у меня есть SID для пользователя «John» и я могу с помощью notepad отредактировать файл InitialStore.xml. Сетевой диск Сервера у меня все еще подключен. ВАЖНО: Сделайте копию вашего InitialStore.xml файла.

p3f26

К сожалению notepad не самый лучший редактор XML файлов. Есть достаточно много бесплатных редакторов XML, но я решил остановиться на notepad, потому как хотел доказать что всю эту работу можно сделать встроенными компонентами. Здесь вы можете увидеть, что я добавил новый tag — все после <Member>S-1-5-21-602….. и до </Member>

p3f27

Чтобы увидеть, не напортачил ли я где, просмотрим файл, открыв его в Internet Explorer.

p3f28

Да, теперь вы можете закрыть “Диспетчер авторизации” (Authorization Manager).

ВАЖНО: Вы должны перегрузить Сервер для того чтобы изменения вступили в силу.

Шаг 15 (вдалеке от клавиатуры)

Этот шаг дублирует Шаг 8 из Части 2 этой статьи. Очень глубоко вздохните и поздравьте себя.  Откройте пиво, сходите на вечеринку, делайте все что хочется. Вы зашли настолько далеко, что заслужили это. Перепроверьте, что вы следовали всем шагам данной статьи и сделали все правильно. Не правда ли вы помните о том, что надо перезапустить Сервер?

Шаг 16 (на Рабочей Станции)

Зайдите в систему под учетной записью пользователя, которому вы дали права на Рабочей станции (John в нашей статье).

Запустите консоль управления “Hyper-V Manager”, Разрешите запуск приложения, если у вас включен “Контроль Учетных Записей” (User Account Control — UAC), введите соответствующие логин и пароль если ваш пользователь не обладает административными правами.

Нажмите “Подключиться к Серверу” (Connect to Server) и введите имя Сервера.

Еще сильнее трепещите в ожидании до появления окна как, показано ниже. На скриншоте видно Сервер «jhoward-hpu» — это сервер в режиме инсталляции «Server Full» и Сервер «jhoward-hp2» — в режиме «Server Core».

p3f29

3 Responses to “Часть 3 — Hyper-V Remote Management: You do not have the required permission to complete this task. Contact the administrator of the authorization policy for the computer ‘COMPUTERNAME’”

  1. Rushan:

    Артем, большое спасибо. Все получилось. Со вторым вопросом, смог разобраться еще до Вашего ответа. По первому же вопросу есть один комментарий. Я все переустановил снова, так как много экспериментировал в первый раз. Сделал все по Вашей инструкции и получил затык на том же 13 пункте. Если я пытаюсь подключится под пользователем(John) с правами пользователя, то при вызове свойств управляющего элемента WMI на первой же вкладке(Общее) получаю ошибку «Не удалось подключиться \\имя сервера поскольку WMI: Access denied». Что я сделал: я подключился к консоли с правами администратора сервера(предварительно создав такого же пользователя на компьютере управления). Под ним проделал весь пункт 13 без каких-либо проблем. Когда возникал вопрос авторизации указывал имя администратора сервера. В итоге добавил пользователя John и дал ему все нужные права, как описано в пункте 13.

    Спасибо за помощь.

  2. Rushan:

    Артем, большое спасибо за статью. Очень полезная и интересная. У меня все в рабочей группе,но сделать так как Вы описывали не получается. Наткнулся на две проблемы в разных местах.
    1.часть 3 шаг 13. Не получается изменить права на WMI, не появится запрос на авторизацию и при нажатии кнопки добавить появляется сообщение»Не удалось открыть требуемое диалоговое окно, поскольку не удалось определить присоединен ли компьютер (имя сервера)к домену»
    2. Попробовал пойти дальше.
    Azman открылся, но в примапленом диске сервера отсутствует данный путь \ProgramData\Microsoft\Windows\Hyper-V
    Помогите разобраться,
    может я делаю что то не то.
    Спасибо.

    • Rushan добрый день.
      1. Проверьте, точно ли в 13 шаге вы подключились к удаленному серверу? Вы должны на рабочей станции администратора открыть консоль управления и из нее подключиться к удаленному серверу. Если вы подключились к удаленному серверу, окно авторизации должно быть.
      2. Да, есть такая фича, это скрытые папки. У вас на рабочей станции администратора должны быть выставлены параметры отображения системных и скрытых файлов. (Windows Explorer — Сервис — Свойства папки — закладка Вид)

Leave a Reply

*

Dansette

Рейтинг@Mail.ru Яндекс.Метрика