服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 如何指定在本地主机上pipe理Hyper-V机器的用户权限?
Intereting Posts
错误编辑SharePoint页面 ls显示“没有这样的文件或目录” 只有专用IP的服务器没有Internet访问权限 将端口转发到另一个Ip /端口 eximpath文件条件 SNMP – CPU处理器负载的价值不反映现实 你如何强制Windows保持内存转储? 用于caching控制的.htaccess的优先级 绕过本地存根区域的DNSSEC 为什么SIP服务通过我的服务器静默? 无法安装php5-mcrypt / etc / *发布文件的例子 Nic键合和ESXI closuresWord 2008上的拼写检查和同义词库 Rsync似乎与.bashrc不兼容(原因是“你的shell干净吗?”)

如何指定在本地主机上pipe理Hyper-V机器的用户权限?
  • 我有UserA
  • ComputerA工作。

  • 我已经在Hyper-V下的ComputerA上安装了名为ComputerA-VM

  • ComputerA运行Windows 10 Pro。

  • ComputerA是由运行Windows Server 2012 R2的DCpipe理的domain.com的一部分。
  • UserA用户。

我希望UserA有权启动ComputerA-VM和CONNECT(访问控制台)到ComputerA-VM和NOTHING ELSE。

我不希望他们能够创build其他虚拟机,删除虚拟机,编辑ComputerA-VM的设置,或混乱的快照或任何东西。

我怎样才能做到这一点?

这似乎是可能的。 https://blogs.msdn.microsoft.com/virtual_pc_guy/2008/01/17/allowing-non-administrators-to-control-hyper-v/这里是关于它的更多信息。

我已经探索了一下,看看它是如何工作的。 它似乎是这样的。

  1. 打开MMC
  2. 添加pipe理单元授权pipe理器
  3. 右键单击授权pipe理器,然后select打开授权存储
  4. 浏览到%programdata%\ Microsoft \ Windows \ Hyper-V \ InitialStore.xml
  5. 展开项目并转到angular色定义
  6. 这里只列出了pipe理员angular色,右键单击并创build一个新angular色。
  7. 点击添加添加权限定义,然后转到选项卡操作
  8. select用户应该获得的所有权限,然后保存新的angular色定义
  9. 转到angular色分配并添加您刚刚创build的angular色。
  10. 在树形视图中,在“angular色分配”下select您的angular色
  11. 右键单击并select分配用户和组 ,然后select从Windows和Active目录

基于angular色的访问控制是要走的路。

在Windows 2008的时代,使用授权pipe理器工具支持它。 很遗憾,Windows 2012 R2不再支持授权pipe理器。

现在使用Windows 2012 R2控制RBAC的唯一方法是使用SCVMM: https ://technet.microsoft.com/zh-cn/library/gg696971( v= sc.12).aspx

最后,我无法find一种有效的方式来完全按照我想要的方式来限制访问(微软公司为删除粒度选项)。

我现在使用的解决方法是简单地授予访问权限来控制虚拟机。 然后,我为用户提供了两个Powershell脚本文件,允许他们启动虚拟机,另一个连接到虚拟机。

同时,我有一个GPO策略,禁止访问HyperV控制面板到那些在本地安装了HyperV的特定用户。