Назад | Перейти на главную страницу

Как я могу скрыть виртуальную машину в диспетчере Hyper-V, чтобы ее могли видеть только администраторы?

У меня есть контроллер домена, который представляет собой виртуальную машину, на прошлой неделе пользователь вошел в систему и случайно выключил ее. Мне нужно предотвратить это, поэтому я хотел бы скрыть эту виртуальную машину в Hyper-V, чтобы пользователи не могли ее там видеть. Я уже ограничил RDP-подключения к нему, но они все еще могут подключаться локально в Hyper-V.

У нас есть сценарий, который мы используем для этого, который называется SetScope.VBS, который мы нашли в Интернете, и он обычно хорошо работает, я использовал его для другого контроллера домена виртуальной машины на другом физическом сервере, и он работал отлично, эта виртуальная машина больше не отображается ни для кого. но админы.

Однако на этом конкретном сервере и виртуальной машине это дает мне ошибку 4096 (на случай, если кто-то знаком с этим скриптом: http://projectdream.org/wordpress/2008/07/03/delegating-hyper-v-virtual-machines/ )

На самом деле в Интернете нет справки по этой ошибке, поэтому я думаю, что мне не повезло, пытаясь использовать этот скрипт для этой виртуальной машины.

Есть ли другие идеи, как я могу запретить определенным пользователям входить локально на виртуальную машину в Hyper-V?

С какой стати вашим обычным пользователям разрешено входить в систему Hyper-V, на которой запущены рабочие виртуальные машины? Что вам нужно сделать, это не позволяйте обычным пользователям администрировать хосты Hyper-V. Это просто безумие. Они должны либо принадлежать к такой группе, как администраторы домена, либо быть локальным администратором на хосте, чтобы иметь возможность это сделать. Вам следует немедленно отменить эти привилегии.

Из комментариев к ответу MDMarra я понял, что некоторым пользователям нужно (нужно или хотят?) Иметь возможность запускать и останавливать виртуальные машины. Если у пользователей есть веские основания для прямого контроля над сервером, например, когда они используются для разработки, рассмотрите возможность размещения этих виртуальных машин на рабочих станциях пользователей. Используйте для работы любой продукт виртуализации, который вам нравится, например Virtualbox, VMWare Player, Virtual PC и т. Д.

В вашей ситуации возникают две фундаментальные проблемы:

  1. Всегда следует применять правило наименьших привилегий.
  2. Никогда не позволяйте пользователям получать доступ или делать что-нибудь за которые вы можете быть привлечены к ответственности. Достаточно легко ошибиться. Вам не нужны пользователи, создающие их за вас.