仮想マシンであるドメイン コントローラーがあり、先週、ユーザーがログオンして誤ってシャットダウンしてしまいました。このような事態を防ぐ必要があるため、この VM を Hyper-V で非表示にして、ユーザーがそこに表示されないようにしたいと考えています。すでに RDP 接続を制限していますが、Hyper-V でローカルに接続することはできます。
私たちは、これを実行するために、オンラインで見つけた SetScope.VBS というスクリプトを使用していますが、これは通常うまく機能します。別の物理サーバー上の別の VM DC にこれを使用しましたが、完璧に機能し、その VM は管理者以外のユーザーには表示されなくなりました。
ただし、この特定のサーバーと VM では、4096 エラーが発生します (このスクリプトに詳しい方のために:http://projectdream.org/wordpress/2008/07/03/delegating-hyper-v-virtual-machines/ )
このエラーについてはオンラインでヘルプがまったく見つからないので、この VM にこのスクリプトを使用するのは無理だと思います。
特定のユーザーが Hyper-V の仮想マシンにローカルでログオンできないようにする方法は他に何かありますか?
答え1
MDMarra の回答に対するコメントから、一部のユーザーは VM を起動および停止できることが必要である (必要または希望している?) ことがわかりました。サーバーを開発作業に使用する場合など、サーバーを直接制御する必要がある正当な理由がある場合は、それらの VM をユーザーのワークステーションに配置することを検討してください。Virtualbox、VMWare Player、Virtual PC など、作業に適した仮想化製品を使用してください。
あなたの状況は、2 つの根本的な問題を示しています:
- 最小権限のルールは常に適用する必要があります。
- ユーザーにアクセスを許可したり、何でもあなたは責任を問われるかもしれません。間違いを犯すのは簡単です。ユーザーに代わりに間違いを犯させる必要はありません。
答え2
なぜ一般ユーザーが本番VMを実行しているHyper-Vホストにログインできるのでしょうか?必要なのは通常のユーザーが Hyper-V ホストを管理できないようにします。それはおかしいです。これを行うには、Domain Admins などのグループに属しているか、ホスト上のローカル管理者である必要があります。これらの権限をすぐに取り消す必要があります。