Vor gut einer Woche ist mir in einer Demo Installation des Windows Azure Packs und anschließender Aktualisierung mit dem Update Rollup 1 eine kleine Änderung aufgefallen. Heimlich und ohne darauf hinzuweisen entfernt Microsoft mit dem UR1 für das WAP die lokale Gruppe “MgmtSvc Operators” von dem Server auf dem die WAP Installation ruht.
Bevor jetzt der große Aufschrei kommt, dass die Gruppe doch für die Berechtigungsvergabe für das Service Management Portal des WAP diente…. Erst einmal ist dies korrekt, aber die Berechtigungsvergabe für das Service Management Portal des WAP erfolgt über Einträge in der WAP Datenbank, um genauer zu sein in der DB Microsoft.MgmtSvc.Store. Das hat sich mit dem Update Rollup 1 nicht geändert. In der Datenbank findet man den Eintrag der Gruppe auch noch, sie diente einfach nur zur einfacheren Berechtigungsvergabe.
An dieser Stelle gibt es dann zwei Möglichkeiten.
- Die Gruppe wieder anlegen und zur Berechtigungsvergabe nutzen.
-> Macht aus meiner Sicht nur Sinn, wenn man WAP ohne AD SSO nutzt. Aber auch hier rate ich zur Variante Nummer zwei. - Add-MgmtSvcAdminUser PowerShell Cmdlet
Variante Nummer zwei sollte man aus meiner Sicht und “auch aus Sicht von Microsoft” verwenden. Beim Einsatz von WAP mit AD SSO über ADFS wird zur Berechtigungsvergabe auf das Service Management Portal ebenfalls dieses PowerShell Cmdlet verwendet.
-> https://www.danielstechblog.io/windows-azure-pack-admin-tenant-portal-ad-single-sign-on-einrichten/
Die Anwendung ist sehr einfach. Auf dem WAP Server die PowerShell aufrufen und mittels Import-Module MgmtSvcAdmin das benötigte PowerShell Modul importieren. Danach das Cmdlet Add-MgmtSvcAdminUser, wie im Screenshot gezeigt, aufrufen.
Anschließend taucht die neue Gruppe in der Datenbank auf und alle Mitglieder dieser Gruppe haben nun Adminzugriff auf das Service Management Portal.
