VMware-Forum

Hallo,

ich möchte auf einem Notebook für "normale" Anwender VM´s mit adiministrativen Rechten erstellen. Soweit klappt das auch. Eine zweite Netzerkkarte wird in VM-Workstattion so konfiguriert das diese in die VM "gebridged" wird. Auf dem Host ist nur das "VM-Bridge Protokoll" aktiviert.

Ich kann jetzt innerhalb VM-Workstaton Berechtigungen vegeben und die VM konfiguieren.
z.B. soll "Drag $ Drop und Copy & Paste" nicht erlaubt sein.

Soweit so gut, aber wenn der "normale" User unter Open VM oder New VM sich eine bestehene VM öffnet bzw. eine neue erstellt, dann kann er diese auch konfigurieren und z.B. Drag & Drop wieder aktivieren.

Wie kann ich dem User untersagen eine VM zu erstellen so das er nur die von mir vorgegebenen VM´s nutzen kann ?


mfg
sirquickly999

Hallo,

Hat niemand einen Tip?

Encryption und Restriction habe ich bereits für die bestehenden VMs konfiguriert, aber kann ich dem Anwender verbieten selbst VMs zu erstellen?

Außerdem würde ich gerne VMs pro Host berechtigen, nicht nur für User per Passwort schützen. Geht das?

Danke
Sirquickly999

Du kannst meines Wissens bei der Workstation nur für solche VMs "Roles and Permissions" festlegen, wenn du diese als "Shared VM" mit den damit verbundenen Einschränkungen betreiben willst.

Encryption und Restriction sind gefährliche Features.
"Normale VMs" sind relativ robust und überleben in der Regel einen Crash.
Bei Encrypted VMs sieht das leider anders aus - man sollte solche VMs daher regelmässig sichern.

Alle Features die du haben willst waren früher Bestandteil von VMware ACE - ein addon für Workstation das es leider nicht mehr für die aktuellen Versionen gibt.

Alternative:
vmware.exe per NTFS-permissions absichern - dabei entzieht man den Nur-User-accounts das Recht "read and execute"

"read and execute" für vmplayer.exe wird nicht eingeschränkt.

In einem weiteren Schritt baust du bei der vmplayer.exe die Funktionen "create VM", "open VM" und "download appliance" aus - deine User können dann nur noch VMs starten, die du ihnen von Hand in die Liste eingetragen hast.

Dann noch in der Registry die extension ".vmx" editieren, so dass vmx-files mit notepad statt mit vmplayer.exe oder vmware.exe geöffnet werden.

Danach können alle deine "dummen user" keine VMs mehr erstellen - "schlaue user" könnten sich aber immer noch über Umwege neue VMs basteln durch editieren von vmx-Dateien.

Falls dich die Modifikation der vmplayer.exe interssiert - ruf mal an - das poste ich nur ungern ...

Ok, Danke.

Shared VM habe auch schon getestet. Da kann ich aber auch nur pro User berechtigen. Ich würde aber gerne pro Host berechtigen damit eine VM nur auf einem bestimmten Host laufen kann.

Ja, ACE konnte das. Kannte es aber nur aus Anwendersicht.

Die Alternative bringt wieder viel manuellen Aufwand mit sich.
Evtl. Melde ich mich noch wegen dem ausbauen der Funktionen.

Hallo nochmal,

wie sind die Erfahrungen mit Encryption und Restriction ? (gefährliche Features?)
Kommt es oft vor bzw. wann kann es passieren das diese crashen und nicht mehr verwendbar sind !?

Nochmal eine Frage wegen der Konfig die der Anwender ändern kann. (ohne Restriction)

Ich habe im Virtual Network Editor alle Netzwerkverbindungen entfernt. (als Admin)
Die VM hat in der VM-Konfig keine Netzwerkkarte. Der Host nutzt die interne NIC und die VM nutzt einen USB-LAN-Adapter welcher nur in der VM installiert und am Host deaktiviert ist. Soweit funktioniert das auch.

Wenn der Anwender die Möglichkeit hat die VM-Konfig zu verändern könnte er wieder eine Netzwerkkarte hinzufügen und diese auf NAT, Host-Only oder Bridged einstellen.

Hat er somit wieder Zugriff über die VM auf die Host-NIC oder ist das unterbunden da im VirtalNetworkEditor keine Netzwerkverbindungen aktiviert sind ?
Auf der internen NIC des Hosts ist "VM-Bridge Protokoll" deaktiviert.

Ziel sollte es sein das die VM nur den USB-LAN Adapter nutzt und keinesfalls über die interne NIC des Hosts zugreifen kann.
Ursprünglich wollte ich alles über die VM-Workstation (Netzwerk Editor) lösen aber sobald der USB-LAN-Adapter am Host installiert ist blockt die Firewall des Hosts die Verbindungen über den USB-LAN-Adapter und kann für den Adapter auch nicht deaktiviert werden.

Darum die Lösung das der USB-LAN-Adapter am Host gar nicht installiert ist.

Danke und Gruß

Außerdem würde ich gerne "Drag & Drop", "Copy & Paste" für den normalen Anwender sperren und ihm auch verbieten es wieder aktivieren zu können.

Also doch Encrption / Restriction !?

Es könnte allerdings dann doch noch vom Anwender selbst eine neue VM angelegt werden wo er es wieder aktiviert.

Sieh dir mal im WS-Manual den Punkt Using Remote Connections and Sharing Virtual Machines genauer an. Als Shared-VM kannst du dort Rollen und Berechtigungen setzen.