Tengo un controlador de dominio que es una máquina virtual, la semana pasada un usuario inició sesión y lo apagó accidentalmente. Necesito evitar que esto suceda, por lo que me gustaría ocultar esta máquina virtual en Hyper-V para que los usuarios no puedan verla allí. Ya le he restringido las conexiones RDP, pero aún pueden conectarse localmente en Hyper-V.
Tenemos un script que usamos para hacer esto llamado SetScope.VBS que encontramos en línea y generalmente funciona bien. Lo usé para una VM DC diferente en un servidor físico diferente y funcionó perfecto, esa VM ya no aparece para nadie. sino administradores.
Sin embargo, en este servidor y VM en particular, me da un error 4096 (en caso de que alguien esté familiarizado con este script:http://projectdream.org/wordpress/2008/07/03/delegating-hyper-v-virtual-machines/ )
Realmente no hay ayuda para este error en línea, así que creo que no tengo suerte al intentar usar este script para esta VM.
¿Alguna otra idea sobre cómo puedo evitar que ciertos usuarios inicien sesión localmente en una máquina virtual en Hyper-V?
Respuesta1
De los comentarios a la respuesta de MDMarra deduje que algunos usuarios necesitan (¿necesitan o quieren?) poder iniciar y detener máquinas virtuales. Si los usuarios tienen un caso válido para tener control directo sobre un servidor, como cuando se utilizan para trabajos de desarrollo, considere colocar esas máquinas virtuales en las estaciones de trabajo de los usuarios. Utilice cualquier producto de virtualización que desee para el trabajo, como Virtualbox, VMWare Player, Virtual PC, etc.
Su situación grita dos problemas fundamentales:
- Siempre se debe aplicar la regla de privilegios mínimos.
- Nunca permita que los usuarios accedan o hagancualquier cosapor lo que usted podría ser considerado responsable. Es bastante fácil cometer errores. No necesita que los usuarios los hagan por usted.
Respuesta2
¿Por qué diablos se permite a sus usuarios habituales iniciar sesión en un host Hyper-V que ejecuta máquinas virtuales de producción? Lo que necesitas hacer esNo permita que los usuarios habituales administren hosts Hyper-V.Eso es una locura. Deben pertenecer a un grupo como Administradores de dominio o ser administradores locales en el host para poder hacer esto. Deberías quitarle estos privilegios inmediatamente.