ローカルホストでHyper-Vマシンを管理するためのユーザー権限を指定するにはどうすればよいですか?
UserAがあります。ComputerAに取り組んでいます。ComputerA-VMというHyper-Vの下のComputerAに仮想マシンをセットアップしました。ComputerAはWindows 10 Proを実行します。ComputerAは、Windows Server 2012 R2を実行するDCによって管理されるdomain.comの一部です。UserAはドメインユーザーです。
UserAに、START ComputerA-VMおよびCONNECT(アクセスコンソール)へのアクセス許可をComputerA-VMに付与し、その他は許可しないようにしたい。
他のVMを作成したり、VMを削除したり、ComputerA-VMの設定を編集したり、スナップショットやその他のものを台無しにしたりしたくないのです。
これどうやってするの?
結局、私がアクセスを希望どおりに制限する効果的な方法を見つけることができませんでした(Microsoftに詳細なオプションを削除してほしい)。
現在使用している回避策は、VMを制御するためのアクセス権を付与することです。次に、2つのPowershellスクリプトファイルをユーザーに提供します。これにより、ユーザーはVMを起動し、もう1つはVMに接続することができます。
同時に、私はGPOポリシーを使用して、HyperVがローカルにインストールされている特定のユーザーがHyperVコントロールパネルにアクセスできないようにしています。
これは可能のようです。 https://blogs.msdn.Microsoft.com/virtual_pc_guy/2008/01/17/allowing-non-administrators-to-control-hyper-v/ 詳細はこちらです。
それがどのように機能するかを確認するために、それを少しつついてみました。こんな感じです。
- MMCを開く
- スナップインを追加承認マネージャー
- 承認マネージャーを右クリックし、承認ストアを開くを選択します
- %programdata%\ Microsoft\Windows\Hyper-V\InitialStore.xmlを参照します
- アイテムを展開し、Role Definitionsに移動します
- ここにリストされている管理者の役割のみです。右クリックして新しい役割を作成します。
- AddをクリックしてPermission Defitionを追加し、タブOperations
- ユーザーが取得する必要があるすべての権限を選択し、新しいロール定義を保存します
- Role Assignmentに移動し、作成したロールを追加します。
- ツリービューで、[役割の割り当て]から自分の役割を選択します
- 右クリックしてユーザーとグループを割り当てるを選択し、次にWindowsとActive Directoryから選択します
役割ベースのアクセス制御は、進むべき道です。
Windows 2008の頃は、承認マネージャツールを使用してサポートされていました。残念ながら、承認マネージャーはWindows 2012 R2ではサポートされなくなりました。
Windows 2012 R2でRBACを制御する唯一の方法は、SCVMMを使用することです。 https://technet.Microsoft.com/en-us/library/gg696971(v = sc.12).aspx =