Hallo,
ich möchte auf einem Notebook für "normale" Anwender VM´s mit adiministrativen Rechten erstellen. Soweit klappt das auch. Eine zweite Netzerkkarte wird in VM-Workstattion so konfiguriert das diese in die VM "gebridged" wird. Auf dem Host ist nur das "VM-Bridge Protokoll" aktiviert.
Ich kann jetzt innerhalb VM-Workstaton Berechtigungen vegeben und die VM konfiguieren.
z.B. soll "Drag $ Drop und Copy & Paste" nicht erlaubt sein.
Soweit so gut, aber wenn der "normale" User unter Open VM oder New VM sich eine bestehene VM öffnet bzw. eine neue erstellt, dann kann er diese auch konfigurieren und z.B. Drag & Drop wieder aktivieren.
Wie kann ich dem User untersagen eine VM zu erstellen so das er nur die von mir vorgegebenen VM´s nutzen kann ?
mfg
sirquickly999
Die Foren-SW läuft ohne erkennbare Probleme. Sollte doch etwas nicht funktionieren, bitte gerne hier jederzeit melden und wir kümmern uns zeitnah darum. Danke!
Berechtigungen VM-Workstation für Anwender
-
sirquickly999
- Member
- Beiträge: 11
- Registriert: 03.02.2014, 20:27
-
sirquickly999
- Member
- Beiträge: 11
- Registriert: 03.02.2014, 20:27
-
continuum
- UNSTERBLICH(R.I.P.)
- Beiträge: 14759
- Registriert: 09.08.2003, 05:41
- Wohnort: sauerland
- Kontaktdaten:
Encryption und Restriction sind gefährliche Features.
"Normale VMs" sind relativ robust und überleben in der Regel einen Crash.
Bei Encrypted VMs sieht das leider anders aus - man sollte solche VMs daher regelmässig sichern.
Alle Features die du haben willst waren früher Bestandteil von VMware ACE - ein addon für Workstation das es leider nicht mehr für die aktuellen Versionen gibt.
Alternative:
vmware.exe per NTFS-permissions absichern - dabei entzieht man den Nur-User-accounts das Recht "read and execute"
"read and execute" für vmplayer.exe wird nicht eingeschränkt.
In einem weiteren Schritt baust du bei der vmplayer.exe die Funktionen "create VM", "open VM" und "download appliance" aus - deine User können dann nur noch VMs starten, die du ihnen von Hand in die Liste eingetragen hast.
Dann noch in der Registry die extension ".vmx" editieren, so dass vmx-files mit notepad statt mit vmplayer.exe oder vmware.exe geöffnet werden.
Danach können alle deine "dummen user" keine VMs mehr erstellen - "schlaue user" könnten sich aber immer noch über Umwege neue VMs basteln durch editieren von vmx-Dateien.
Falls dich die Modifikation der vmplayer.exe interssiert - ruf mal an - das poste ich nur ungern ...
"Normale VMs" sind relativ robust und überleben in der Regel einen Crash.
Bei Encrypted VMs sieht das leider anders aus - man sollte solche VMs daher regelmässig sichern.
Alle Features die du haben willst waren früher Bestandteil von VMware ACE - ein addon für Workstation das es leider nicht mehr für die aktuellen Versionen gibt.
Alternative:
vmware.exe per NTFS-permissions absichern - dabei entzieht man den Nur-User-accounts das Recht "read and execute"
"read and execute" für vmplayer.exe wird nicht eingeschränkt.
In einem weiteren Schritt baust du bei der vmplayer.exe die Funktionen "create VM", "open VM" und "download appliance" aus - deine User können dann nur noch VMs starten, die du ihnen von Hand in die Liste eingetragen hast.
Dann noch in der Registry die extension ".vmx" editieren, so dass vmx-files mit notepad statt mit vmplayer.exe oder vmware.exe geöffnet werden.
Danach können alle deine "dummen user" keine VMs mehr erstellen - "schlaue user" könnten sich aber immer noch über Umwege neue VMs basteln durch editieren von vmx-Dateien.
Falls dich die Modifikation der vmplayer.exe interssiert - ruf mal an - das poste ich nur ungern ...
-
sirquickly999
- Member
- Beiträge: 11
- Registriert: 03.02.2014, 20:27
Ok, Danke.
Shared VM habe auch schon getestet. Da kann ich aber auch nur pro User berechtigen. Ich würde aber gerne pro Host berechtigen damit eine VM nur auf einem bestimmten Host laufen kann.
Ja, ACE konnte das. Kannte es aber nur aus Anwendersicht.
Die Alternative bringt wieder viel manuellen Aufwand mit sich.
Evtl. Melde ich mich noch wegen dem ausbauen der Funktionen.
Shared VM habe auch schon getestet. Da kann ich aber auch nur pro User berechtigen. Ich würde aber gerne pro Host berechtigen damit eine VM nur auf einem bestimmten Host laufen kann.
Ja, ACE konnte das. Kannte es aber nur aus Anwendersicht.
Die Alternative bringt wieder viel manuellen Aufwand mit sich.
Evtl. Melde ich mich noch wegen dem ausbauen der Funktionen.
-
sirquickly999
- Member
- Beiträge: 11
- Registriert: 03.02.2014, 20:27
Hallo nochmal,
wie sind die Erfahrungen mit Encryption und Restriction ? (gefährliche Features?)
Kommt es oft vor bzw. wann kann es passieren das diese crashen und nicht mehr verwendbar sind !?
Nochmal eine Frage wegen der Konfig die der Anwender ändern kann. (ohne Restriction)
Ich habe im Virtual Network Editor alle Netzwerkverbindungen entfernt. (als Admin)
Die VM hat in der VM-Konfig keine Netzwerkkarte. Der Host nutzt die interne NIC und die VM nutzt einen USB-LAN-Adapter welcher nur in der VM installiert und am Host deaktiviert ist. Soweit funktioniert das auch.
Wenn der Anwender die Möglichkeit hat die VM-Konfig zu verändern könnte er wieder eine Netzwerkkarte hinzufügen und diese auf NAT, Host-Only oder Bridged einstellen.
Hat er somit wieder Zugriff über die VM auf die Host-NIC oder ist das unterbunden da im VirtalNetworkEditor keine Netzwerkverbindungen aktiviert sind ?
Auf der internen NIC des Hosts ist "VM-Bridge Protokoll" deaktiviert.
Ziel sollte es sein das die VM nur den USB-LAN Adapter nutzt und keinesfalls über die interne NIC des Hosts zugreifen kann.
Ursprünglich wollte ich alles über die VM-Workstation (Netzwerk Editor) lösen aber sobald der USB-LAN-Adapter am Host installiert ist blockt die Firewall des Hosts die Verbindungen über den USB-LAN-Adapter und kann für den Adapter auch nicht deaktiviert werden.
Darum die Lösung das der USB-LAN-Adapter am Host gar nicht installiert ist.
Danke und Gruß
wie sind die Erfahrungen mit Encryption und Restriction ? (gefährliche Features?)
Kommt es oft vor bzw. wann kann es passieren das diese crashen und nicht mehr verwendbar sind !?
Nochmal eine Frage wegen der Konfig die der Anwender ändern kann. (ohne Restriction)
Ich habe im Virtual Network Editor alle Netzwerkverbindungen entfernt. (als Admin)
Die VM hat in der VM-Konfig keine Netzwerkkarte. Der Host nutzt die interne NIC und die VM nutzt einen USB-LAN-Adapter welcher nur in der VM installiert und am Host deaktiviert ist. Soweit funktioniert das auch.
Wenn der Anwender die Möglichkeit hat die VM-Konfig zu verändern könnte er wieder eine Netzwerkkarte hinzufügen und diese auf NAT, Host-Only oder Bridged einstellen.
Hat er somit wieder Zugriff über die VM auf die Host-NIC oder ist das unterbunden da im VirtalNetworkEditor keine Netzwerkverbindungen aktiviert sind ?
Auf der internen NIC des Hosts ist "VM-Bridge Protokoll" deaktiviert.
Ziel sollte es sein das die VM nur den USB-LAN Adapter nutzt und keinesfalls über die interne NIC des Hosts zugreifen kann.
Ursprünglich wollte ich alles über die VM-Workstation (Netzwerk Editor) lösen aber sobald der USB-LAN-Adapter am Host installiert ist blockt die Firewall des Hosts die Verbindungen über den USB-LAN-Adapter und kann für den Adapter auch nicht deaktiviert werden.
Darum die Lösung das der USB-LAN-Adapter am Host gar nicht installiert ist.
Danke und Gruß
-
sirquickly999
- Member
- Beiträge: 11
- Registriert: 03.02.2014, 20:27
-
Dayworker
- King of the Hill
- Beiträge: 13656
- Registriert: 01.10.2008, 12:54
- Wohnort: laut USV-Log am Ende der Welt...
Sieh dir mal im WS-Manual den Punkt Using Remote Connections and Sharing Virtual Machines genauer an. Als Shared-VM kannst du dort Rollen und Berechtigungen setzen.
Zurück zu „VMware Workstation und VMware Workstation Pro“
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 46 Gäste