UserA. ComputerA. Я установил виртуальную машину на ComputerA под Hyper-V называется ComputerA-VM.
ComputerA работает под управлением Windows 10 Pro.
ComputerA является частью domain.com, управляемой контроллером домена под управлением Windows Server 2012 R2.UserA является пользователем домена.я хочу UserA иметь разрешение на СТАРТ ComputerA-VM и CONNECT (консоль доступа) к ComputerA-VM и ничего больше.
Я не хочу, чтобы они могли создавать другие виртуальные машины, удалять виртуальные машины, редактировать настройки ComputerA-VM или возиться со снимками или чем-то еще.
Как я могу это сделать?
В конце концов, мне не удалось найти эффективный способ ограничить доступ именно так, как я хотел (ну, Microsoft за удаление отдельных параметров).
Обходной путь, который я использую сейчас, - просто предоставить доступ для управления виртуальной машиной. Затем я предоставляю своим пользователям два файла сценария Powershell, которые позволяют им запускать виртуальную машину, а другой - для подключения к виртуальной машине.
В то же время у меня есть политика GPO, которая отключает доступ к панели управления HyperV для тех конкретных пользователей, у которых HyperV установлен локально.
Управление доступом на основе ролей - это правильный выбор.
Во времена Windows 2008 он поддерживался с помощью инструмента диспетчера авторизации. К сожалению, диспетчер авторизации больше не поддерживается в Windows 2012 R2.
Единственный способ контролировать RBAC в Windows 2012 R2 - это использовать SCVMM: https://technet.microsoft.com/en-us/library/gg696971(v=sc.12).aspx
это кажется возможным. https://blogs.msdn.microsoft.com/virtual_pc_guy/2008/01/17/allowing-non-administrators-to-control-hyper-v/ вот больше информации об этом.
Я немного покопался в нем, чтобы посмотреть, как он работает. это похоже на это.