No Hyper-V, você normalmente mantém todos os arquivos VHD juntos em uma pasta central à qual os usuários normais não têm acesso. É uma maneira diferente de proteger o sistema; separação completa de hosts de usuários. Por causa disso, os usuários que criam e modificam VMs precisam ter algum tipo de acesso administrativo aos Hosts, e isso abrange toda a máquina (como é comum para a equipe do tipo de TI) ou por meio de uma função no VMM (por meio do SSP ou Delegação Administrativa).
Uma configuração de exemplo pode ser que você tenha VMs de controle de qualidade para testes. Os usuários de QA precisam ser capazes de criar novas VMs com base em um servidor básico simples, fazer seus testes e salvar a máquina para testes mais extensos ou scrub.
Você cria uma função para o grupo de controle de qualidade, tornando-se uma função de usuário do SSP. Em seguida, crie um modelo de VM, basicamente uma VM syspreped, que pode ser feita a partir de uma VM existente, clonando-as fazendo um modelo a partir do clone (o processo de modelagem destrói a VM de origem). Você então atribui o modelo ao grupo de controle de qualidade. Os usuários de QA agora podem criar VMs com base nesse modelo, as novas VMs pertencerão ao QA e os usuários do QA terão acesso total a eles (ou o acesso limitado dependerá das configurações da função de usuário do SSP que você configurou).
Você também pode atribuir a propriedade de VMs existentes a esse grupo de usuários, que pode ter acesso à VM por meio do SSP (novamente sujeito às restrições impostas pela função de usuário que concede acesso ao grupo).
Neste exemplo, os usuários de QA não precisam de direitos sobre os arquivos VHD, nenhum direito sobre as máquinas host e apenas direitos limitados em AD & VMM. Isso não permite que eles usem o Console de administração do VMM, mas isso é para administradores, não para usuários.
Como alternativa, você pode delegar o controle administrativo de determinadas máquinas a usuários específicos. Se houver um Host de teste de controle de qualidade, eles não estarão executando suas VMs no cluster "principal"; você pode delegar o controle administrativo desse host (por meio de um grupo de hosts) aos usuários do QA. Isso permitiria que os usuários do grupo de controle de qualidade usassem o Console de administração do VMM e tivessem controle administrativo total desse grupo de hosts específico. O mesmo tipo de delegação pode ser aplicado às bibliotecas, permitindo uma biblioteca de controle de qualidade separada da biblioteca "principal".
Tenho certeza de que tudo isso é tão claro quanto a lama para alguém que não o usou extensivamente; sinta-se à vontade para fazer quantas perguntas quiser para ajudar a esclarecer isso.
(Divulgação Completa: Eu trabalho para um Parceiro MS Gold, nós construímos estes tipos de sistemas)