- 我有
UserA。 - 工作
ComputerA。 我已经
ComputerA在 Hyper-V 下设置了一个名为ComputerA-VM.ComputerA运行 Windows 10 专业版。ComputerA是 domain.com 的一部分,由运行 Windows Server 2012 R2 的 DC 管理。UserA是域用户。
我想UserA拥有 STARTComputerA-VM和 CONNECT(访问控制台)的权限,而没有其他权限ComputerA-VM。
我不希望他们能够创建其他虚拟机、删除虚拟机、编辑 ComputerA-VM 的设置,或者弄乱快照或任何东西。
我怎样才能做到这一点?
这似乎是可能的。 https://blogs.msdn.microsoft.com/virtual_pc_guy/2008/01/17/allowing-non-administrators-to-control-hyper-v/ 这里有更多关于它的信息。
我已经用它戳了一下,看看它是如何工作的。它似乎是这样的。
基于角色的访问控制是要走的路。
在 Windows 2008 时代,使用授权管理器工具支持它。遗憾的是,Windows 2012 R2 不再支持授权管理器。
现在使用 Windows 2012 R2 控制 RBAC 的唯一方法是使用 SCVMM:https ://technet.microsoft.com/en-us/library/gg696971(v=sc.12).aspx
最后,我无法找到一种有效的方法来完全按照我想要的方式限制访问(嘘微软删除了粒度选项)。
我现在使用的解决方法是简单地授予控制 VM 的访问权限。然后,我向我的用户提供两个 Powershell 脚本文件,允许他们启动 VM,另一个连接到 VM。
同时,我有一个 GPO 策略,它禁止那些在本地安装 HyperV 的特定用户访问 HyperV 控制面板。