가상 머신인 도메인 컨트롤러가 있는데 지난 주에 사용자가 여기에 로그온했다가 실수로 종료했습니다. 이런 일이 발생하지 않도록 방지해야 하므로 사용자가 Hyper-V에서 이 VM을 볼 수 없도록 숨기고 싶습니다. 이미 RDP 연결을 제한했지만 여전히 Hyper-V에서 로컬로 연결할 수 있습니다.
이 작업을 수행하는 데 사용하는 스크립트가 온라인에서 찾은 SetScope.VBS이며 일반적으로 잘 작동합니다. 다른 물리적 서버의 다른 VM DC에 사용했는데 완벽하게 작동하여 VM이 더 이상 누구에게도 표시되지 않습니다. 하지만 관리자.
하지만 이 특정 서버와 VM에서는 4096 오류가 발생합니다(이 스크립트에 익숙한 사람이 있는 경우:http://projectdream.org/wordpress/2008/07/03/delegating-hyper-v-virtual-machines/ )
온라인에서는 이 오류에 대한 도움이 실제로 없기 때문에 이 VM에 이 스크립트를 사용하려고 하면 운이 좋지 않은 것 같습니다.
특정 사용자가 Hyper-V의 가상 머신에 로컬로 로그온하는 것을 방지할 수 있는 다른 아이디어가 있습니까?
답변1
일부 사용자가 VM을 시작하고 중지할 수 있으려면 (필요하거나 원합니까?) MDMarra의 답변에 대한 의견을 수집했습니다. 사용자가 개발 작업에 사용되는 경우와 같이 서버를 직접 제어할 수 있는 유효한 사례가 있는 경우 해당 VM을 사용자의 워크스테이션에 배치하는 것을 고려하십시오. Virtualbox, VMWare Player, Virtual PC 등 작업에 원하는 가상화 제품을 사용하세요.
귀하의 상황은 두 가지 근본적인 문제를 야기합니다.
- 최소 권한의 규칙은 항상 적용되어야 합니다.
- 사용자가 액세스하거나 수행하는 것을 허용하지 마십시오.아무것이에 대해 귀하는 책임을 질 수 있습니다. 실수하는 것은 충분히 쉽습니다. 사용자가 대신 만들어 줄 필요는 없습니다.
답변2
도대체 일반 사용자가 프로덕션 VM을 실행하는 Hyper-V 호스트에 로그인하도록 허용하는 이유는 무엇입니까? 당신이해야 할 일은일반 사용자가 Hyper-V 호스트를 관리하도록 허용하지 마세요.그건 정말 미친 짓이야. 이 작업을 수행하려면 도메인 관리자와 같은 그룹에 속하거나 호스트의 로컬 관리자여야 합니다. 이러한 권한을 즉시 박탈해야 합니다.