Utilizzare gli strumenti di amministrazione tramite RemoteApp: pubblicazione della console di gestione di Hyper-V
In questo post Scenari di utilizzo delle RemoteApp Parte 1 ho parlato di come utilizzare le RemoteApp per eseguire tramite RDP applicazioni residenti su un server RD Session Host basato su Windows Server 2008 R2 su di un client con RDC 6.1 o superiore e sistema operativo XP SP3 o superiore.
Questa tecnologia permette quindi ai client di eseguire anche quelle applicazioni che localmente non potrebbero essere eseguire. Un esempio sono gli strumenti di amministrazione di Windows Server 2008 R2. Infatti è possibile installare sui client gli RSAT (Remote Server Administration Tools) che però sono disponibili sono per le edizioni Enterprise, Professional o Ultimate di Windows 7 o Windows 7 with SP1 (per ulteriori informazioni si veda Description of Remote Server Administration Tools for Windows 7).
Questo tipo di approccio è suggerito anche nel libro Understanding Microsoft Virtualization Solutions, Second Edition (updated for Windows Server 2008 R2) per gestire remotamente Hyper-V pubblicando tramite RemoteApp la console di gestione di Hyper-V:
“If you want to manage Hyper-V servers from a computer running an earlier version of Microsoft Windows, such as Windows XP Professional, you can do so by using RemoteApp to publish the Hyper-V Manager application on the Hyper-V server using Remote Desktop Services.”
A seconda che si intenda pubblicare all’interno della LAN o meno sarà possibile utilizzare un server col ruolo di RD Gateway per pubblicare le RemoteApp in modo sicuro (a riguardo si veda Checklist: Make RemoteApp Programs Available from the Internet).
Per eseguire la console di Hyper-V (virtmgmt.msc) occorre che l’utente abbia i privilegi di amministratore locale, quindi si prospettano due scenari per il deploy della RemoteApp.
Scenario 1: avvio della RemoteApp con le credenziali dell’Administrator locale o tramite un utente che ha diritti di amministratore locale
Sebbene questa soluzione sia la più semplice è però anche la meno corretta dal punto di vista della sicurezza soprattutto se l’obbiettivo è fornire l’accesso alla console di Hyper-V a soggetti esterni all’azienda.
La pubblicazione tramite wizard della RemoteApp non consente l’esecuzione, ma viene restituito un errore all’avvio.
Per risolvere il problema occorre modificare il percorso di avvio della RemoteApp puntando direttamente al file .msc della console di Hyper-V (virtmgmt.msc).
Nel caso di utilizzo di un utente con privilegi amministrativi si ricordi che questo è soggetto per default alla UAC (al contrario dell’utente Administrator), quindi verrà visualizzata la richiesta di sicurezza per proseguire con l’avvio della console.
Scenario 2: avvio della RemoteApp con le credenziali di un’utente senza diritti di amministratore locale
Questa è ovviamente la soluzione più corretta dal punto di vista della sicurezza, ma che comporta qualche configurazione in più per consentire all’utente di eseguire la console di Hyper-V. Per impostare tali configurazioni è possibile utilizzare lo Snap-in Gestione autorizzazioni (Authorization Manager) per modificare il file \programdata\Microsoft\Windows\Hyper-V\InitialStore.xml che contiene le autorizzazioni per l’esecuzione di operazioni i Hyper-V.
Per maggiori dettagli si veda il post Hyper-V: Backup di una VM come utente non amministratore.
Nel caso invece si voglia rendere disponibile nella sessione remota di un utente senza privililegi amministrativi un collegamento per avviare la console di Hyper-V come amministratore locale si veda il post di Ben Armstrong Running the Hyper-V Management Tools with Alternate Credentials.