WinRM (Hyper-V Manager, PowerShell-Remoting) für Standardbenutzer zulassen

    WinRM und Hyper-VDas PowerShell-Remoting läuft seit jeher über WinRM, und der Hyper-V Manager stellte unter Windows 10 und Server 2016 auf dieses Proto­koll um. Per Vorein­stellung ver­weigert es aber Nicht-Admini­stra­toren den Zu­griff, so dass man Standard­benutzern zusätz­liche Rechte auf dem Ziel­rechner ein­räumen muss.

    Der Hyper-V Manager von Windows 10 kann prinzipiell auch Hosts unter Windows 8.x und Server 2012 (R2) verwalten, zudem natürlich die neuen Versionen des Hypervisors unter Windows 10 und Server 2016. Dafür benötigen Benutzer nicht unbedingt administrative Rechte, vielmehr reicht es wenn sie Mitglied in der lokalen Gruppe Hyper-Administratoren sind.

    Hyper-V-Administratoren benötigen WinRM-Rechte

    Mit diesen Privilegien klappt dann zwar die Verwaltung des lokalen Hosts und seiner VMs, aber wenn man als Standardbenutzer einen Hyper-V-Server remote von Windows 10 aus verwalten möchte, dann wird man beim Herstellen einer Verbindung mit folgender Fehlermeldung abgeschmettert:

    Fehler beim Versuch, eine Verbindung mit dem Server xyz herzustellen. Vergewissern Sie sich, dass der Verwaltungsdienst für virtuelle Computer ausgeführt wird und Sie zum Herstellen einer Verbindung mit dem Server berechtigt sind.

    Der Hyper-V Manager verweigert Standardbenutzern die Remote-Verwaltung, bis sie die nötigen WinRM-Rechte erhalten haben.

    Nachdem man überprüft hat, dass die WinRM-Konfiguration in Ordnung ist und man sich als Administrator mit dem Remote-Rechner verbinden kann, dann räumt man den betreffenden Benutzern die nötigen Rechte ein, indem man sie auf dem Ziel-Host in die lokale Gruppe Remote­verwaltungs­benutzer aufnimmt.

    Benutzer mit GPO in lokale Gruppe aufnehmen

    In einer größeren Umgebung wird man das nicht manuell tun, vielmehr bieten sich dafür die Gruppen­richtlinien an (siehe dazu: Lokale Gruppen und Benutzer über Gruppenrichtlinien verwalten). Fällt ein Host aus dem Geltungsbereich des betreffenden GPO, dann endet damit auch die Gruppenmit­gliedschaft jener Benutzer, die auf diesem Weg konfiguriert wurde.

    Gruppenmitgliedschaft auf der Kommandozeile ändern

    Wenn man User interaktiv auf einzelnen Hosts zur Gruppe Remote­verwaltungs­benutzer hinzufügen möchte und die MMC-basierte Benutzerverwaltung (lusrmgr.msc) etwa unter Server Core nicht zur Verfügung steht, dann hilft der net-Befehl:

    net localgroup Remoteverwaltungsbenutzer domäne\benutzer /add

    In der Regel wird man jedoch nicht einzelne User in dieser Gruppe aufnehmen, sondern andere Gruppen, vornehmlich eine globale Gruppe aus einer Domäne.

    Verbindung mit Server herstellen im Hyper-V Manager

    Anschließend sollte es den jeweiligen Benutzern möglich sein, den Befehl Verbindung mit dem Server herstellen aus dem Kontextmenü des Hyper-V Managers erfolgreich auszuführen. Außerdem sollte nun der Weg frei sein zum Aufbau einer Remote-Session mit PowerShell.

    Keine Kommentare