我有一個網域控制器,它是一個虛擬機,上週使用者登入它並意外將其關閉。我需要防止這種情況發生,因此我想在 Hyper-V 中隱藏此虛擬機,以便用戶在那裡看不到它。我已經限制了與其的 RDP 連接,但它們仍然可以在 Hyper-V 中進行本地連接。
我們有一個用於執行此操作的腳本,稱為SetScope.VBS,我們在網路上找到了它,它通常運行良好,我將它用於不同實體伺服器上的不同VM DC,它運行得很好,該VM 不再向任何人顯示但管理員。
但在這個特定的伺服器和虛擬機器上,它給了我一個 4096 錯誤(如果有人熟悉這個腳本:http://projectdream.org/wordpress/2008/07/03/delegating-hyper-v-virtual-machines/ )
網路上確實沒有針對此錯誤的幫助,因此我認為嘗試將此腳本用於該虛擬機器時很不走運。
還有其他想法可以阻止某些用戶本地登入 Hyper-V 中的虛擬機器嗎?
答案1
我從 MDMarra 的回答的評論中收集到一些用戶需要(需要或想要?)能夠啟動和停止虛擬機器。如果使用者確實有直接控制伺服器的有效理由(例如當它們用於開發工作時),請考慮將這些虛擬機器放置在使用者的工作站上。使用您喜歡的任何虛擬化產品來完成工作,例如 Virtualbox、VMWare Player、Virtual PC 等。
您的情況突顯了兩個基本問題:
- 應始終應用最小權限規則。
- 絕不允許使用者存取或執行任何事物您可能要為此負責。很容易犯錯。您不需要用戶為您製作它們。
答案2
到底為什麼允許一般使用者登入執行生產虛擬機器的 Hyper-V 主機?你需要做的是不允許普通使用者管理 Hyper-V 主機。這太瘋狂了。他們必須屬於網域管理員等群組,或者是主機上的本機管理員才能執行此操作。您應該立即取消這些特權。