Ich habe einen Domänencontroller, der eine virtuelle Maschine ist. Letzte Woche hat sich ein Benutzer angemeldet und sie versehentlich heruntergefahren. Ich muss verhindern, dass das passiert, deshalb möchte ich diese VM in Hyper-V verbergen, damit Benutzer sie dort nicht sehen können. Ich habe bereits RDP-Verbindungen darauf beschränkt, aber sie können sich trotzdem lokal in Hyper-V verbinden.
Wir verwenden hierfür ein Skript namens SetScope.VBS, das wir online gefunden haben und das normalerweise gut funktioniert. Ich habe es für einen anderen VM DC auf einem anderen physischen Server verwendet und es hat perfekt funktioniert. Diese VM wird nur noch für Administratoren angezeigt.
Auf diesem bestimmten Server und dieser VM erhalte ich jedoch einen 4096-Fehler (falls jemand mit diesem Skript vertraut ist:http://projectdream.org/wordpress/2008/07/03/delegating-hyper-v-virtual-machines/ )
Es gibt online wirklich keine Hilfe für diesen Fehler, daher glaube ich, dass ich beim Versuch, dieses Skript für diese VM zu verwenden, kein Glück habe.
Gibt es noch andere Ideen, wie ich verhindern kann, dass sich bestimmte Benutzer lokal bei einer virtuellen Maschine in Hyper-V anmelden?
Antwort1
Aus den Kommentaren zu MDMarras Antwort habe ich entnommen, dass einige Benutzer VMs starten und stoppen müssen (müssen oder wollen?). Wenn Benutzer tatsächlich einen triftigen Grund haben, die direkte Kontrolle über einen Server zu haben, z. B. wenn sie für Entwicklungsarbeiten verwendet werden, sollten Sie erwägen, diese VMs auf den Arbeitsstationen der Benutzer zu platzieren. Verwenden Sie für diese Aufgabe das Virtualisierungsprodukt, das Ihnen am besten gefällt, z. B. Virtualbox, VMWare Player, Virtual PC usw.
Ihre Situation weist auf zwei grundlegende Probleme hin:
- Es sollte immer die Regel der geringsten Privilegien angewendet werden.
- Erlauben Sie Benutzern niemals den Zugriff oder dieirgendetwasfür die Sie zur Verantwortung gezogen werden könnten. Es ist leicht, Fehler zu machen. Sie brauchen keine Benutzer, die diese für Sie machen.
Antwort2
Warum um Himmels Willen dürfen sich Ihre normalen Benutzer bei einem Hyper-V-Host anmelden, auf dem Produktions-VMs laufen? Was Sie tun müssen, istErlauben Sie normalen Benutzern nicht, Hyper-V-Hosts zu verwalten.Das ist einfach verrückt. Sie müssen entweder einer Gruppe wie Domänenadministratoren angehören oder ein lokaler Administrator auf dem Host sein, um dies tun zu können. Sie sollten diese Berechtigungen sofort entziehen.