Hyper-V als Standardbenutzer (Nicht-Administrator) verwalten

    Windows Hyper-V LogoMöchte man das Management von Hyper-V und von VMs an Benutzer delegieren, die nicht Mit­glied der Administratoren sind, dann steht da­für seit Windows 8 und Server 2012 eine eigene Gruppe zur Verfügung. Beim Remote-Manage­ment unter Windows 10 muss man indes mit Zugriffsproblemen rechnen.

    Lokale Administratoren eines Hyper-V-Hosts haben alle Rechte, um den Hypervisor und darauf laufende VMs zu managen. Sieht die Arbeitsteilung in einem Unternehmen aber vor, dass Hyper-V von Benutzern ohne allgemeine administrativen Rechte verwaltet wird, dann muss man sie dazu erst autorisieren.

    Eigene Gruppe für Hyper-V-Admins

    Seit Windows Server 2012 steht auf allen Hyper-V-Hosts für diesen Zweck die Gruppe Hyper-V-Administratoren zur Verfügung. Alle Konten, die in diese Gruppe aufgenommen werden, können praktisch alle Funktionen nutzen, die der Hyper-V Manager zur Verfügung stellt (die granulare Zuteilung von Berechtigungen über den Autorisierungs-Manager azman.msc gilt als veraltet und wird künftig nicht mehr unterstützt).

    Die Aufnahme in die Gruppe Hyper-V Administratoren räumt einem Standardbenutzer alle nötigen Rechte für Hyper-V ein.

    In einer AD-Umgebung klappt dann auch der Remote-Zugriff auf den Hyper-V-Server ohne weitere Konfiguration von Client oder Server. Bei Workgroups ist der Fall etwas schwieriger, hier greift man für Windows Server 2012 (R2) am besten zum Script hvremote.wsf, das alle wesentlichen Konfigurationsschritte abarbeitet.

    Mit einer weiteren Hürde muss man jedoch rechnen, wenn man den Hyper-V Manager unter Windows 10 oder Server 2016 verwendet. Dieser kommuniziert über WinRM mit dem entfernten Rechner, was standardmäßig nur Administratoren erlaubt ist. Standardbenutzer brauchen dafür zusätzliche Rechte (siehe dazu: WinRM für Standardbenutzer zulassen).

    Mitglieder der Hyper-V-Admins per GPO verwalten

    Bei einer größeren Zahl an Hyper-V-Hosts wird man jedoch die betref­fenden User bzw. die Gruppen, in denen sie Mitglied sind, nicht auf jedem Rechner von Hand in die Hyper-V-Administratoren aufnehmen. Vielmehr empfiehlt sich hier die Verwaltung der Mitgliedschaft mittels Gruppenrichtlinien (siehe dazu: Lokale Gruppen und Benutzer über Gruppenrichtlinien verwalten).

    Mit Hilfe von GPOs lassen sich Domänen-Benutzer in die lokale Gruppe Remotedesktopbenutzer oder Hyper-V Administratoren aufnehmen.

    Der Vorteil dieses Vorgehens besteht auch darin, dann man diese Benutzer wieder automatisch aus der Gruppe Hyper-V-Administratoren entfernen kann, wenn ein Host aus dem Gültigkeitsbereich des GPO fällt.

    Anmeldung unter verschiedenen Kennungen

    Verbindet man sich im Hyper-V Manager unter Windows 8.1 mit einem Host, dann erfolgt dies automatisch unter der Kennung, unter der man aktuell angemeldet ist. Ist ein Standardbenutzer nicht Mitglied der Gruppe Hyper-V-Administratoren, hat aber Zugang zum einem administrativen Account, dann muss er den Hyper-V Manager als Administrator starten, um die nötigen Berechtigungen zu erhalten.

    Hyper-V Manager kann nun für jeden Host separate Anmeldedaten speichern.

    Dies ändert sich unter Windows 10, wo man sich an jedem Host unter einem anderen Konto anmelden kann. Führt man den Befehl Verbindung mit dem Server herstellen aus, dann bietet der anschließend angezeigte Dialog die Option Verbindung als anderer Benutzer herstellen. Die dort abgefragten Anmeldedaten kann man bei Bedarf speichern.

    1 Kommentar

    Bild von Simon
    Simon sagt:
    18. Januar 2016 - 18:23

    Gibt es eine Möglichkeit wie ich die einzelnen Benutzer in Ihrer Tätigkeit auf einzelne einschränken kann, ohne dass ich gleich SystemCenter brauche.