У меня есть контроллер домена, который является виртуальной машиной, на прошлой неделе пользователь вошел в нее и случайно ее выключил. Мне нужно предотвратить это, поэтому я хотел бы скрыть эту виртуальную машину в Hyper-V, чтобы пользователи не могли ее там видеть. Я уже ограничил RDP-подключения к ней, но они все еще могут подключаться локально в Hyper-V.
У нас есть скрипт, который мы используем для этого, под названием SetScope.VBS, который мы нашли в Интернете, и он обычно работает хорошо. Я использовал его для другого контроллера домена виртуальной машины на другом физическом сервере, и он работал идеально. Эта виртуальная машина больше не отображается ни для кого, кроме администраторов.
Однако на этом конкретном сервере и виртуальной машине он выдает мне ошибку 4096 (на случай, если кто-то знаком с этим скриптом:http://projectdream.org/wordpress/2008/07/03/delegating-hyper-v-virtual-machines/ )
В сети нет никакой помощи по устранению этой ошибки, поэтому я думаю, что мне не удастся использовать этот скрипт для этой виртуальной машины.
Есть ли еще идеи, как запретить определенным пользователям локально входить в виртуальную машину в Hyper-V?
решение1
Из комментариев к ответу MDMarra я понял, что некоторым пользователям нужно (нужно или хочется?) иметь возможность запускать и останавливать виртуальные машины. Если у пользователей есть веские основания для прямого контроля над сервером, например, когда они используются для разработки, рассмотрите возможность размещения этих виртуальных машин на рабочих станциях пользователей. Используйте для этой работы любой понравившийся вам продукт виртуализации, например Virtualbox, VMWare Player, Virtual PC и т. д.
Ваша ситуация свидетельствует о двух фундаментальных проблемах:
- Всегда следует применять правило наименьших привилегий.
- Никогда не позволяйте пользователям получать доступ или делать что-либочто-либоза которые вы можете быть привлечены к ответственности. Достаточно легко совершать ошибки. Вам не нужны пользователи, которые делают их за вас.
решение2
Почему, черт возьми, вашим обычным пользователям разрешено входить в хост Hyper-V, на котором запущены производственные виртуальные машины? Что вам нужно сделать, так этоне разрешать обычным пользователям администрировать хосты Hyper-V.Это просто безумие. Они должны либо принадлежать к группе вроде Domain Admins, либо быть локальным администратором на хосте, чтобы иметь возможность сделать это. Вам следует немедленно отобрать эти привилегии.