不久之前，在IT系统当中企业员工还只能被分为管理员或者普通用户两类，尽管有时他们的级别并不相同。但是现在，我们不再使用这种简单的方式进行划分了。随着云技术的不断发展，不论是私有云还是公有云，都使得企业不得不重新思考现有的管理模型。毕竟，基础设施即云服务通常需要为授权用户提供创建和管理自己虚拟机的权限。所以，IT管理员应当为授权用户赋予恰当的管理权限，使其既能够完成相关工作，同时又不会因为权限过大而影响系统安全。

每个虚拟化供应商都有相应的解决方案，但是这些解决方案通常都是基于权限管理来实现的。比如，微软为IT管理员提供了定义私有云用户角色的功能。

用户角色是System Center Virtual Machine Manager（SCVMM）中的一种机制，允许IT管理员为一组用户赋予非常具体的管理权限。通过用户角色这种方式为一组用户授予相关权限。（在许多其他情况下）活动目录安全组通常被用于为文件和文件夹赋予权限，而SCVMM用户角色用来管理虚拟化层用户权限。

你可以使用SCVMM的创建用户角色向导来定义私有云用户角色。就像在活动目录中创建新的安全组一样，创建用户角色的第一步就是为其命名。

为其命名之后的下一件事情就是选择一种角色配置文件。角色配置文件用于控制角色成员能够执行的管理操作类型。SCVMM允许你从四种不同的角色配置文件中进行选择，如图A所示。

图A. System Center Virtual Machine Manager创建用户角色向导，可以从四种不同的角色配置文件中进行选择

第一种可用的角色配置文件是基础架构管理员。基础架构管理员是能够授权给用户的最高级别的管理角色。基础架构管理员非常类似于Virtual Machine Manager管理员，但是也存在一些关键性区别。Virtual Machine Manager管理员是IT部门中的成员，负责管理和维护虚拟化基础设施。而基础架构管理员只限于在预定义的领域中执行管理任务。此外，基础架构管理员不能更改Virtual Machine Manager设定，以及不能从管理员角色组中增加或者移除用户。

第二种可用的角色配置文件是只读管理员。被分配只读管理员配置文件的用户可以查看对象和属性等相关配置，但是不允许进行任何修改。只读权限非常适合于审计人员，以及正在学习SCVMM如何工作的被培训人员。

第三种可用的角色配置文件是租户管理员。租户管理员角色可以被认为是一种私有云管理员。这种配置文件允许角色成员在指定的范围内管理资源，比如虚拟机、自助服务用户以及虚拟机网络。

最后一种可用的角色配置文件是应用程序管理员。应用程序管理员有时也指自助服务用户。自助服务用户能够在指定的范围内创建、部署和管理虚拟机。

IT管理员需要理解创建用户角色，比简单地指定角色配置文件、并且将用户分配到角色当中要复杂得多。创建用户角色同时需要你为角色指定范围，这个范围控制着应用角色配置文件的操作对象。比如，可以通过设定范围来指定角色用户拥有哪些私有云的控制权限。

同时还应该注意到你可以为为范围设定配额。这些配置可以按照成员或者用户角色为基础来控制资源消耗。比如，你可以限制每个用户角色中的成员最多只能创建5台虚拟机，或者限制所有的角色成员最多只能创建25台虚拟机。可以通过细化配额选项来限制内存、存储和虚拟CPU等的消耗。

创建用户角色向导还允许你指定用户能够使用哪些资源。可以限制对于特定虚拟机网络或者虚拟机模板的访问权限。还能够控制角色成员能够对虚拟机执行操作的类型。比如，如果角色成员具有创建虚拟Exchange服务器的权限，那么你可能想要移除其创建和恢复检查点（快照）的权限，因为虚拟机快照可能会对Exchange服务器产生负面影响。

私有或者混合云环境使得管理员必须重新思考现有的管理模型。一些用户可能需要能够执行相关任务的权限，比如创建虚拟机，但是为这些用户赋予无限制的、对于整个虚拟化基础设施访问权限是极其危险的。定义私有云用户角色这种机制允许你针对用户进行恰当地访问等级管理，不会赋予过多的权限。