web-dev-qa-db-ja.com

Hyper-Vマネージャーで仮想マシンを非表示にして、管理者だけが仮想マシンを表示できるようにするにはどうすればよいですか?

仮想マシンであるドメインコントローラーがあります。先週、ユーザーがそれにログオンして、誤ってシャットダウンしました。これが発生しないようにする必要があるため、Hyper-VでこのVMを非表示にして、ユーザーがそこで表示されないようにします。すでにRDP接続を制限していますが、Hyper-Vでローカルに接続できます。

これを行うために使用するSetScope.VBSというスクリプトがオンラインで見つかりましたが、通常は正常に機能します。別の物理サーバー上の別のVM DCに使用しました。 VMは管理者以外には表示されなくなり、完璧に機能しました。

ただし、この特定のサーバーとVMでは、4096エラーが発生します(このスクリプトに精通している場合: http://projectdream.org/wordpress/2008/07/03/ delegating-hyper-v-virtual-machines /

オンラインではこのエラーの助けは本当にないので、このVMにこのスクリプトを使用しようとしても運が悪いと思います。

特定のユーザーがHyper-Vの仮想マシンにローカルでログオンできないようにする方法は他にありますか?

2
Mike

MDMarraの回答に対するコメントから、VMを起動および停止できるようにするために一部のユーザーが必要(必要または必要?)であると収集しました。開発作業に使用する場合など、ユーザーがサーバーを直接制御する有効なケースがある場合は、それらのVMをユーザーのワークステーションに配置することを検討してください。 Virtualbox、VMWare Player、Virtual PCなど、仕事に好きな仮想化製品を使用してください。

あなたの状況は2つの根本的な問題を叫びます:

  1. 最小特権の原則を常に適用する必要があります。
  2. ユーザーにアクセスや実行を許可しないでください何でもあなたが責任を問われる可能性があります。間違いを犯すのは簡単です。あなたはあなたのためにそれらを作るユーザーを必要としません。
1
John Gardeniers

いったいなぜ、通常のユーザーが本番VMを実行しているHyper-Vホストにログインできるのですか?あなたがする必要があるのは通常のユーザーにHyper-Vホストを管理させないでください。それはただクレイジーです。これを行うには、ドメイン管理者などのグループに属しているか、ホストのローカル管理者である必要があります。これらの特権はすぐに奪う必要があります。

20
MDMarra