none
Hyper-V Konsolenzugriff für eingeschränkter User klappt nicht trotz azmann Regeln RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    aus bestimmten Gründen benötigen in unserem Netzwerk die User unbedingt Zugriff auf einige Windows 7 VMs über die Konsole, also mittels des Tools vmconnect.exe.

    Dies oist normalerweise niur Administratoren gestattet, doch mittels des Tools azman.msc (Authorisierungsmanager) kann man auch normalen Usern entsprechende Rechte geben. Erklärt ist das z.B. hier: http://blogs.technet.com/b/germanvirtualizationblog/archive/2010/07/14/hyper-v-security-konfiguration-mit-azman.aspx

    Soweit so schlecht, es klappt einfach nicht. Versucht ein User sich mittels vmconnect mit dem Hyper-V Server zu verbinden so erscheint sofort der Fehler: "Fehler beim Auflisten der virtuellen Computer auf dem physikalischen Computer myhyper.mydomain.local". Also eben Berechtigungsfehler.

    Was fehlt den in dieser Anleitung noch? Wo hängt das Problem?

    Umgebung: SBS 2003R2 DC, Win7SP1 Arbeitsplätze, Hyper-V 2012 Host mit Win 7SP1 VMs.

    Bin für jeden hilfreichen Tipp dankbar. Hänge seit Tagen an dem Problem und die Systeme werden dringend gebraucht.

    Danke & Gruß

    Montag, 2. September 2013 11:40
    |

Antworten

  • Question
    Anmelden
    1
    Anmelden

    Dann bleiben dir insgesamt drei Optionen:

    1.) Hyper-V und die User in die Gruppe der Hyper-V Administratoren packen.

    2.) Hyper-V mit SCVMM

    3.) Realisierung mittels einem anderen Hypervisor.

    Viele Grüße Daniel Neumann - This posting is provided "AS IS" with no warranties, and confers no rights.

    • Als Antwort vorgeschlagen Daniel Neumann Dienstag, 3. September 2013 15:09
    • Als Antwort markiert MaFrei Freitag, 6. September 2013 08:16
    Dienstag, 3. September 2013 12:35
    |
  • Question
    Anmelden
    0
    Anmelden

    OK, als Info für die Leute die das gleiche Problem haben und eine Alternative suchen.

    Ich habe jetzt Proxmox getestet. Das hat eine funktionstüchtige Rechteverwaltung, entweder auf Linux-OS Basis, oder integrierte Proxmox Rechtedatenbank oder mit Zugriff aufs AD und lässt granulare Rechtevergabe zu. Die Mitarbeiter können über den Browser auf das (dann eingeschränkte) Admininterface zugreifen und dort eine Java VNC-Viewer starten (X509 verschlüsselt) in dem sie dann arbeiten können. Einziger Nachteil den ich bis jetzt gefunden habe ist die fehlende Zwischenablage zwischen lokalem und entferntem Rechner. Aber vielleicht gibts dazu auch noch eine Lösung, mal die Doku vom Java VNC-Viewer wälzen.

    Ach ja, im IE will das Admininterface nicht so Recht, im Firefox und Chrome funzt es gut.

    Jedenfalls werde ich Proxmox jetzt für diesen Zweck als Hypervisor einsetzen.

    • Als Antwort markiert MaFrei Freitag, 6. September 2013 08:16
    Freitag, 6. September 2013 08:03
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden
    Hat das schon mal jemand hinbekommen? Konsolenzugriff über vmconnect für normalen Domänen-User? Ich hab jetzt schon wieder einen Tag damit verbracht alles noch mal durchzugehen und zu testen. Das funzt einfach nicht.
    Montag, 2. September 2013 14:17
    |
  • Question
    Anmelden
    0
    Anmelden

    Hi,

    wird der SCVMM eingesetzt?

    Viele Grüße Daniel Neumann - This posting is provided "AS IS" with no warranties, and confers no rights.

    Montag, 2. September 2013 14:57
    |
  • Question
    Anmelden
    0
    Anmelden

    Nein, sonst bräuchte ich das ganze AZMAN geleier nicht. Einfach nur auf einem Hyper-V Host die Berechtigungen so ändern dass normale User per vmcobnnect auf die VMs zugreifen können. Trotz dutzender Anleitungen im Netz (die alle anscheinen voneinander abschreiben) klappt das nicht. Leider gibzts nicht mal Fehlermeldungen jenseits von "fehlende Berechtigungen" die irgendwie weiter helfen würden.

    Kan es sein das da noch irgendwelche Delegationen gebraucht werden? Die es im Server 2003 AD nicht gibt?

    • Bearbeitet MaFrei Montag, 2. September 2013 15:29
    Montag, 2. September 2013 15:28
    |
  • Question
    Anmelden
    0
    Anmelden

    Sehe gerade das Hyper-V 2012 zum Einsatz kommt.

    -> http://technet.microsoft.com/en-us/library/hh831568.aspx

    Windows Authorization Manager (AzMan) is deprecated. You may need to use new management tools for virtual machines or redesign the authorization model.

    Mittels Windows Server 2012 wurde aber die lokale Gruppe "Hyper-V Administratoren" eingeführt. Dort könnte man die Benutzer zur Not reinstecken. Allerdings haben diese dann die Berechtigung VMs zu löschen oder anderweitige Änderungen betreffend Hyper-V vorzunehmen. Daher führt eigentlich kein Weg an dem SCVMM vorbei.

    Viele Grüße Daniel Neumann - This posting is provided "AS IS" with no warranties, and confers no rights.

    • Als Antwort vorgeschlagen Daniel Neumann Dienstag, 3. September 2013 11:06
    Dienstag, 3. September 2013 10:04
    |
  • Question
    Anmelden
    0
    Anmelden

    Ja, stecke ich die User in die Gruppe Hyper-VG Administratoren dann geht es. 

    Aber um es kurz zu machen. Unter Hyper-V 2012 bietet MS KEINE Lösung für den eingeschränkten Userzugriff mehr an? Oder was soll ich mit diesem Satz "You may need to use new management tools for virtual machines or redesign the authorization model." anfangen?

    Aber so wie es aussieht ist damit der Hyper-V draußen, ein weiterer dicker Minuspunkt für das "neue" Microsoft und ich gehe jetzt zu einem alternativen Linux System über. Wieder mal. Nächstes System das entgegen meinem Willen durch ein Linux System ersetzt werden muss, einfach weil MS ein Produkt einsampft bzw. so kastriert das es unverwendbar wird.

    Der Proxmox Hypervisor scheint eine ganz gute Alternative zu sein. Bietet Konsolenzugriff über einen Webbrowser und alle Spielereien die auch unter Hyper-V so nett sind. Mir wäre ja das RDP-Protokoll lieber als ein VNC, aber man kann ja nicht alles haben.


    • Bearbeitet MaFrei Dienstag, 3. September 2013 11:00
    Dienstag, 3. September 2013 10:59
    |
  • Question
    Anmelden
    0
    Anmelden

    Aber um es kurz zu machen. Unter Hyper-V 2012 bietet MS KEINE Lösung für den eingeschränkten Userzugriff mehr an? Oder was soll ich mit diesem Satz "You may need to use new management tools for virtual machines or redesign the authorization model." anfangen?


    Klar bietet Microsoft noch etwas an. SCVMM mit oder ohne App Controller, wenn man Usern eingeschränkten Zugriff bieten muss.

    Wieso ist RDP keine Option, sondern zwangsweise VM Connect?

    Viele Grüße Daniel Neumann - This posting is provided "AS IS" with no warranties, and confers no rights.

    Dienstag, 3. September 2013 11:06
    |
  • Question
    Anmelden
    0
    Anmelden
     

    > Wieso ist RDP keine Option, sondern zwangsweise VM Connect?

    Weil RDP über die Client-VM-Netzwerkverbindung geht, während vmconnect über die Host-Netzwerkverbindung geht. Hat also die VM kein Netzwerk (z.B. weil die VM per VPN in einem anderen Netzwerk ist welches den Zugriff aufs lokale LAN blockt), so ist der Weg über den Host die einzige Möglichkeit mit der VM zu arbeiten. Und genau für das Szenario verwenden wir diese VMs (bzw. wollen sie verwenden). Bisher wurde das mit VMWare Server realisiert, aber der wird seit Jahren nicht mehr weiter entwickelt und ist mittlerweile ziemlich buggy. So buggy das er kaum noch zu verwenden ist. Außerdem hätte ich gerne einen bare-metal hypervisor. Als Hypervisor der auf ein OS aufsetzt würde Virtualbox noch die gewünschte Funktionalität liefern. Sogar per RDP über den Host, was super wäre. Leider ist Virtualbox ein typisches Desktopprodukt und kaum für eine Serverinstallation zu gebrauchen.

    Dienstag, 3. September 2013 12:30
    |
  • Question
    Anmelden
    1
    Anmelden

    Dann bleiben dir insgesamt drei Optionen:

    1.) Hyper-V und die User in die Gruppe der Hyper-V Administratoren packen.

    2.) Hyper-V mit SCVMM

    3.) Realisierung mittels einem anderen Hypervisor.

    Viele Grüße Daniel Neumann - This posting is provided "AS IS" with no warranties, and confers no rights.

    • Als Antwort vorgeschlagen Daniel Neumann Dienstag, 3. September 2013 15:09
    • Als Antwort markiert MaFrei Freitag, 6. September 2013 08:16
    Dienstag, 3. September 2013 12:35
    |
  • Question
    Anmelden
    0
    Anmelden

    >Klar bietet Microsoft noch etwas an. SCVMM mit oder ohne App Controller, wenn man Usern >eingeschränkten Zugriff bieten muss. 

    Ne, bei den Preisen ist das keine Option. Ich kriege die gewünschte Funktionalität seit Jahren (bis vor kurzem auch bei MS) für umme und jetzt soll ich plötzlich zig-tausende € dafür zahlen und mein Netzwerk mit jede Menge unnötiger Funktionalität und Dienste vollstopfen, nur um eine, bis dahin vorhanden Funktion, zu ersetzen?

    Nee danke, ohne mich.Ich setze gerade einen Server mit Peroxmox aus, ein andere mit esxi und dann gibst ja noch KVM und Konsorten von einige Business Anbieter. Das habe ich alles innerhalb eines Tages soweit durchgetestet damit ich weiß wer die Funktionalität anbietet und von Seiten der Stabilität kann ich wohl davon ausgehen das jeder der angebotenen Systeme business-tauglich ist.

    Dienstag, 3. September 2013 12:49
    |
  • Question
    Anmelden
    0
    Anmelden

    OK, als Info für die Leute die das gleiche Problem haben und eine Alternative suchen.

    Ich habe jetzt Proxmox getestet. Das hat eine funktionstüchtige Rechteverwaltung, entweder auf Linux-OS Basis, oder integrierte Proxmox Rechtedatenbank oder mit Zugriff aufs AD und lässt granulare Rechtevergabe zu. Die Mitarbeiter können über den Browser auf das (dann eingeschränkte) Admininterface zugreifen und dort eine Java VNC-Viewer starten (X509 verschlüsselt) in dem sie dann arbeiten können. Einziger Nachteil den ich bis jetzt gefunden habe ist die fehlende Zwischenablage zwischen lokalem und entferntem Rechner. Aber vielleicht gibts dazu auch noch eine Lösung, mal die Doku vom Java VNC-Viewer wälzen.

    Ach ja, im IE will das Admininterface nicht so Recht, im Firefox und Chrome funzt es gut.

    Jedenfalls werde ich Proxmox jetzt für diesen Zweck als Hypervisor einsetzen.

    • Als Antwort markiert MaFrei Freitag, 6. September 2013 08:16
    Freitag, 6. September 2013 08:03
    |