我有一个域控制器,它是一台虚拟机,上周一个用户登录了它并意外将其关闭。我需要防止这种情况发生,所以我想在 Hyper-V 中隐藏此虚拟机,以便用户无法在那里看到它。我已经限制了与它的 RDP 连接,但他们仍然可以在 Hyper-V 中进行本地连接。
我们有一个用来执行此操作的脚本,称为 SetScope.VBS,是我们在网上找到的,它通常运行良好,我将它用于不同物理服务器上的不同 VM DC,并且运行完美,该 VM 不再显示给管理员以外的任何人。
但是,在此特定的服务器和虚拟机上,它给出了 4096 错误(如果有人熟悉这个脚本:http://projectdream.org/wordpress/2008/07/03/delegating-hyper-v-virtual-machines/ )
在线上确实没有针对此错误的帮助,因此我认为尝试将此脚本用于此虚拟机是运气不佳。
还有其他想法吗?我可以如何阻止某些用户本地登录 Hyper-V 中的虚拟机?
答案1
我从 MDMarra 的回答的评论中得知,有些用户需要(需要还是想要?)能够启动和停止虚拟机。如果用户确实有直接控制服务器的正当理由,例如当它们用于开发工作时,请考虑将这些虚拟机放在用户的工作站上。使用您喜欢的任何虚拟化产品来完成这项工作,例如 Virtualbox、VMWare Player、Virtual PC 等。
你的情况表明有两个根本问题:
- 应始终应用最小特权规则。
- 绝不允许用户访问或执行任何事物你可能会因此被追究责任。犯错是很容易的。你不需要用户为你犯错。
答案2
为什么你的普通用户可以登录运行生产虚拟机的 Hyper-V 主机?你需要做的是不允许普通用户管理 Hyper-V 主机。这太疯狂了。他们必须属于域管理员之类的组,或者是主机上的本地管理员才能执行此操作。您应该立即取消这些权限。