Hyper-V性能很好,资源占用也低,很适合在企业环境下使用。
关键的是,只要在虚拟机交换机管理界面取消“允许操作系统共享此网络适配器”,就相当于隐藏了网卡,这就给双网卡机器带来了很高的安全性。
也就是说,物理机使用外网,虚拟机使用内网,内外网都连在物理机上,但双网隔离。
我使用的是WIN10专业版,已经实现了这样的目的,但我在思考一个问题。
一般而言,用户工作于管理员权限,对物理主机拥有绝对控制权,所以,如果用户懂行,自然就可以把我隐藏的网卡给恢复出来。
所以,我就把用户置于“Users”组,用户的权限降低了,自然就无法配置网卡IP地址之类的了。
但问题是,Users组的用户打开"Hyper-V管理器",就会显示“正在连接到虚拟机管理服务”,然后说没有权限,根本无法显示出在管理员模式下建立的虚拟机。
我上网找教程,找到2008/2012的管理方法,说是用管理员权限登陆,在mmc里添加“授权管理器”,读入"C:\ProgramData\Microsoft\Windows\Hyper-V\InitialStore.xml",
但WIN10没有这个文件,于是我从2012里把这个文件拷贝到WIN10,然后按照教程赋予Users组的用户开启和关闭虚拟机的权限,但完成之后切换到Users组用户登陆,然后还是无法连接虚拟机管理服务。
那么好吧,我在MMC里给users账号添加了所有的虚拟机权限(专业名词叫做“操作”),但结果还是一样,无法连接管理服务。
回头再去配2012,居然还是不行。
看来,在Users用户权限下,首先这第一步:连接到虚拟机管理服务,就没有通过,连虚拟机都看不到,自然更无法开启和关闭虚拟机了。
查看本机服务,发现有这个服务,当前处于运行状态,但开启和关闭按钮灰色不可选。
我知道可以把users用户加入到Hyper-V Administrators里就可以了,可这样的权力太大了,不符合我的要求。
所以请教如何在WIN10专业版下实现以上的功能,谢谢!
