UserA
があります。ComputerA
に取り組んでいます。ComputerA-VM
というHyper-Vの下のComputerA
に仮想マシンをセットアップしました。
ComputerA
はWindows 10 Proを実行します。
ComputerA
は、Windows Server 2012 R2を実行するDCによって管理されるdomain.comの一部です。UserA
はドメインユーザーです。UserA
に、START ComputerA-VM
およびCONNECT(アクセスコンソール)へのアクセス許可をComputerA-VM
に付与し、その他は許可しないようにしたい。
他のVMを作成したり、VMを削除したり、ComputerA-VMの設定を編集したり、スナップショットやその他のものを台無しにしたりしたくないのです。
これどうやってするの?
結局、私がアクセスを希望どおりに制限する効果的な方法を見つけることができませんでした(Microsoftに詳細なオプションを削除してほしい)。
現在使用している回避策は、VMを制御するためのアクセス権を付与することです。次に、2つのPowershellスクリプトファイルをユーザーに提供します。これにより、ユーザーはVMを起動し、もう1つはVMに接続することができます。
同時に、私はGPOポリシーを使用して、HyperVがローカルにインストールされている特定のユーザーがHyperVコントロールパネルにアクセスできないようにしています。
これは可能のようです。 https://blogs.msdn.Microsoft.com/virtual_pc_guy/2008/01/17/allowing-non-administrators-to-control-hyper-v/ 詳細はこちらです。
それがどのように機能するかを確認するために、それを少しつついてみました。こんな感じです。
役割ベースのアクセス制御は、進むべき道です。
Windows 2008の頃は、承認マネージャツールを使用してサポートされていました。残念ながら、承認マネージャーはWindows 2012 R2ではサポートされなくなりました。
Windows 2012 R2でRBACを制御する唯一の方法は、SCVMMを使用することです。 https://technet.Microsoft.com/en-us/library/gg696971(v = sc.12).aspx =