16
Hyper-V Verbindung über Server herstellen für andere Nutzer in meiner Domain sperren
Hallo habe folgendes Problem und suche nach einer Lösung.
Ich bin in einer Schulungsumgebung in der jeder Schüler einen PC mit Win Server 2008 R2 hat.
Auf meinem PC befinden sich mehrere Virtuelle Maschinen die ich über Hyper-V visualisiert habe.
Heute ist mir aufgefallen, das man eine Verbindung zu den Virtuellen Maschinen der anderen Schüler problemlos aufnehmen kann.
Ich kann die Virtuellen Maschinen starten, herunterfahren, ändern und kann direkt schauen was der andere Nutzer macht.
Nun ist meiner Frage kann ich das sperren?
Ich habe schon die Remoteverwaltung für Zugriff von anderen Computern gesperrt, doch leider können andere User immer noch zugreifen.
Ich bin in einer Schulungsumgebung in der jeder Schüler einen PC mit Win Server 2008 R2 hat.
Auf meinem PC befinden sich mehrere Virtuelle Maschinen die ich über Hyper-V visualisiert habe.
Heute ist mir aufgefallen, das man eine Verbindung zu den Virtuellen Maschinen der anderen Schüler problemlos aufnehmen kann.
Ich kann die Virtuellen Maschinen starten, herunterfahren, ändern und kann direkt schauen was der andere Nutzer macht.
Nun ist meiner Frage kann ich das sperren?
Ich habe schon die Remoteverwaltung für Zugriff von anderen Computern gesperrt, doch leider können andere User immer noch zugreifen.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 268557
Url: https://administrator.de/contentid/268557
Ausgedruckt am: 15.11.2024 um 07:11 Uhr
16 Kommentare
Neuester Kommentar
Es gibt noch mehr Ports dafür in der Firewall die du fürs Hyper-V Remote Management sperren musst...
Am einfachsten lässt sich das mit diesem Tool konfigurieren
http://blogs.technet.com/b/jhoward/archive/2008/11/14/configure-hyper-v ...
Habt Ihr überall die gleichen Passwörter
und Accounts oder sind die User alle Domain-Admins? Dann würde ich da erst mal über eine andere Struktur nachdenken...
Gruß jodel32
Am einfachsten lässt sich das mit diesem Tool konfigurieren
http://blogs.technet.com/b/jhoward/archive/2008/11/14/configure-hyper-v ...
Habt Ihr überall die gleichen Passwörter
und Accounts oder sind die User alle Domain-Admins? Dann würde ich da erst mal über eine andere Struktur nachdenken...Gruß jodel32
1
Ich regel das pro Server über GPO, d.h. ich erstelle pro Server 2 AD Gruppen:
- Servername_Administratoren
- Servername_Benutzer
In der Computerverwaltung nehme ich bei Administratoren die Gruppe Servername_Administratoren auf, entferne ggf. alle anderen (Domain + lokaler Admin bleiben in meiner Struktur).
In die Gruppe Benutzer und Remotedesktopbenutzer packe ich Servername_Benutzer, enferne alle anderen (domain user) Über das AD weise ich die User den Gruppen zu, so weiß ich im AD wer wo Zugriff hat.
- Servername_Administratoren
- Servername_Benutzer
In der Computerverwaltung nehme ich bei Administratoren die Gruppe Servername_Administratoren auf, entferne ggf. alle anderen (Domain + lokaler Admin bleiben in meiner Struktur).
In die Gruppe Benutzer und Remotedesktopbenutzer packe ich Servername_Benutzer, enferne alle anderen (domain user) Über das AD weise ich die User den Gruppen zu, so weiß ich im AD wer wo Zugriff hat.
Danke ich werde das tool gleich mal ausprobieren
wir haben nicht die gleichen passwörter :D
ich werds mal dem admin berichten ;)
wir haben nicht die gleichen passwörter :D
ich werds mal dem admin berichten ;)
@Andinistrator1 in der GPO kann ich leider nicht rumpfuschen , bin leider kein domain admin
bin leider kein domain admin
und auch kein lokaler Admin auf den Maschinen? Dann kommst du damit nicht weit ...
doch bin ich.
versuche es gerade mit deinem tool was du mir gegeben hast.
kann es sein das es nur mit server2012 funktioniert?
zumindest schreibt er das im prompt
versuche es gerade mit deinem tool was du mir gegeben hast.
kann es sein das es nur mit server2012 funktioniert?
zumindest schreibt er das im prompt
- Windows Server 2012/Windows 8 and later release only
meine zeile cscript hvremote.wsf /remove:[name.local]\user
Zitat von @akadawa:
doch bin ich.
versuche es gerade mit deinem tool was du mir gegeben hast.
kann es sein das es nur mit server2012 funktioniert?
Nope:doch bin ich.
versuche es gerade mit deinem tool was du mir gegeben hast.
kann es sein das es nur mit server2012 funktioniert?
https://code.msdn.microsoft.com/HVRemote
Supported Servers:
Windows Server 2008 SP1 with Hyper-V RTM update applied (KB950050), Core & Full installations
Windows Server 2008 SP2, Core & Full installations
Microsoft Hyper-V Server 2008 SP1 (already contains Hyper-V RTM update)
Microsoft Hyper-V Server 2008 SP2
Windows Server 2008 R2, Core & Full installations
Windows Server 2008 R2 SP1, Core & Full installations
Microsoft Hyper-V Server 2008 R2
Microsoft Hyper-V Server 2008 R2 SP1
Windows Server 2012 Core & Full installations (Version 1.x or later)
Microsoft Hyper-V Server 2012 (Version 1.x or later)
Windows 8 Pro & Enterprise x64 with Hyper-V enabled (Version 1.x or later)
Windows Server 2012 R2 Core & Full installations (Version 1.08 or later)
Microsoft Hyper-V Server 2012 R2 (Version 1.08 or later)
Windows 8.1 x64 Client Hyper-V (Version 1.08 or later)
meine zeile
cscript hvremote.wsf /remove:[name.local]\usercscript hvremote /mode:server /firewallhypervmgmt:disable
INFO: Computername is **************
INFO: Computer is in domain ***********
INFO: Current user is ********
INFO: OS is 6.1.7601 64-Bit Microsoft Windows Server 2008 R2 Standard
INFO: Disabled firewall rule Hyper-V (REMOTE_DESKTOP_TCP_IN)
INFO: Disabled firewall rule Hyper-V (MIG-TCP eingehend)
INFO: Disabled firewall rule Hyper-V (RPC)
INFO: Disabled firewall rule Hyper-V (RPC-EPMAP)
INFO: Disabled firewall rule Hyper-V - WMI (Async eingehend)
INFO: Disabled firewall rule Hyper-V - WMI (TCP ausgehend)
INFO: Disabled firewall rule Hyper-V - WMI (TCP eingehend)
INFO: Disabled firewall rule Hyper-V - WMI (DCOM eingehend)
INFO: 8 firewall rule(s) updated
INFO: Are running the latest version
INFO: HVRemote completeUser kommen immer noch an meine VMs
User kommen immer noch an meine VMs
Wie ?? Mit der Hyper-V Mangement-Console oder RDP ? Wenn RDP auf dem VMs aktiv sind Ports 3389 dicht machen ...Wenn die Hyper-V Ports dicht sind geht das definitiv nicht mehr über die Hyper-V Konsole !!
Sie kommen mit der Hyper-V Mangement-Console durch Eingabe meines Computernamen auf meine VMs.
hätte ich vllt :
... schreiben müssen?
hätte ich vllt :
cscript hvremote /mode:server /firewallhypervmgmt:ENABLE
Nein, du willst es doch verbieten also musst du die Firewall-Regeln deaktivieren
Ansonsten hast du uns hier etwas über deine Netzwerkstruktur verschwiegen ... (zwei Netzwerkkarten ?)
Reboot tut auch gut ...
Ansonsten hast du uns hier etwas über deine Netzwerkstruktur verschwiegen ... (zwei Netzwerkkarten ?)
Reboot tut auch gut ...
Reboot ist passiert.
Ich bin in einer Domain in der ich Domain-benutzer bin, jedoch kein admin.
ich vermute das es durch die GPO´s der AD-Domain kein deaktivieren zustande kommt, ich bekomme aber auch keine meldung das die firewallregeln nicht aktualisiert wurden.
es gibt nur eine netzwerkkarte
Ich bin in einer Domain in der ich Domain-benutzer bin, jedoch kein admin.
ich vermute das es durch die GPO´s der AD-Domain kein deaktivieren zustande kommt, ich bekomme aber auch keine meldung das die firewallregeln nicht aktualisiert wurden.
es gibt nur eine netzwerkkarte
Kannst du ganz einfach mit Telnet von einem Client aus prüfen ob die Ports tatsächlich noch offen sind.
Warte auf den verantwortlichen Domain Admin und macht das mit Ihm zusammen, denn die Firewall kann auch durch GPOs beschränkt sein ...
Ich bin in einer Domain in der ich Domain-benutzer bin, jedoch kein admin.
Dafür gibt es dann schon einen Grund Warte auf den verantwortlichen Domain Admin und macht das mit Ihm zusammen, denn die Firewall kann auch durch GPOs beschränkt sein ...
Hi.
Grundregel Nummer 1: Du wirst niemals auf einem Remotesystem, wie auch immer geartet, etwas Großes bewegen können, ohne dort Adminrechte zu haben.
Wenn Du oder andere auf Remotesystemen etwas auslesen oder starten/managen können, dann haben sie dort Adminrechte. Das mit den Ports ist gut und schön, aber die Adminrechte solltet ihr wohl remote in keinem Fall haben. Schau in die Admingruppe remote rein, das wird Aufschluss geben.
Grundregel Nummer 1: Du wirst niemals auf einem Remotesystem, wie auch immer geartet, etwas Großes bewegen können, ohne dort Adminrechte zu haben.
Wenn Du oder andere auf Remotesystemen etwas auslesen oder starten/managen können, dann haben sie dort Adminrechte. Das mit den Ports ist gut und schön, aber die Adminrechte solltet ihr wohl remote in keinem Fall haben. Schau in die Admingruppe remote rein, das wird Aufschluss geben.
