Hallo,
ich habe von VmWare Server 1.0.8 auf 2.0.1 erfolgreich upgegradet. Host-System ist ein W2k3SP2 32 Bit Server.
Unter VMS 1.0.8 hatte ich für jede ausgeführte VM einen extra Benutzeraccount, unter dem diese ausgeführt wurde, aus Sicherheitsgründen.
Kann ich soetwas mit dem VMS2 auch realisieren? Die Permisssions sind ja nur für die VM Verwaltung über das Web Interface, oder?
Noch etwas:
Den VI Infrastructure Client, wo kann ich denn den beziehen um den VMS2 zu warten?
Danke für alle Tipps.
Die Foren-SW läuft ohne erkennbare Probleme. Sollte doch etwas nicht funktionieren, bitte gerne hier jederzeit melden und wir kümmern uns zeitnah darum. Danke!
VMs unter extra Benutzeraccounts des Hosts ausführen?
-
- King of the Hill
- Beiträge: 13651
- Registriert: 01.10.2008, 12:54
- Wohnort: laut USV-Log am Ende der Welt...
Die Benutzerverwaltung beim Server2 ist wesentlich eleganter als noch beim Server1 gelöst. Die Zugriffsberechtigungen lassen sich sehr fein dosieren und brauchen daher keine extra Benutzer-Accounts im Host mehr, faktisch hinterlegst du für jeden Benutzer des Servers entsprechende Berechtigungen (Start/Stop/HW-Veränderung der VM usw) und für die Anmeldung am Gast sorgt das Gast-OS selber.
Zum VI-Client lies dir mal den Thread VMware Server 2 Version 2.0.1 Infrastructure Client durch, dann siehst du hoffentlich etwas klarer.

Zum VI-Client lies dir mal den Thread VMware Server 2 Version 2.0.1 Infrastructure Client durch, dann siehst du hoffentlich etwas klarer.
-
- King of the Hill
- Beiträge: 13651
- Registriert: 01.10.2008, 12:54
- Wohnort: laut USV-Log am Ende der Welt...
[edit]Unter welchem Account eine VM ausgeführt wird, kannst du in den erweiterten Einstellungen der VM selbst festlegen. Bis auf den bei der Inst durch VMware-Server2 neu angelegten "vmware"-Account kannst du jeden lokalen Benutzer- oder auch den System-Account dazu benutzen.[/edit]
Blödsinn, der VMserver2 wird bei Windows-Hosts standartmässig unter dem lokalen Systemkonto gestartet und die Rechte an einer VM werden über Rollen eingestellt. Dadurch braucht man nicht mehr wie noch unter Server1 eine VM mit besonderen Schreib/Lese-Rechten ausstatten, nur um eine VM vor dem Zugriff zu schützen.
Ein DC-Admin entfällt dabei eigentlich komplett, da sich der Server2 ja nicht mehr auf einem DC installieren läßt.
Blödsinn, der VMserver2 wird bei Windows-Hosts standartmässig unter dem lokalen Systemkonto gestartet und die Rechte an einer VM werden über Rollen eingestellt. Dadurch braucht man nicht mehr wie noch unter Server1 eine VM mit besonderen Schreib/Lese-Rechten ausstatten, nur um eine VM vor dem Zugriff zu schützen.
Ein DC-Admin entfällt dabei eigentlich komplett, da sich der Server2 ja nicht mehr auf einem DC installieren läßt.
-
- King of the Hill
- Beiträge: 13651
- Registriert: 01.10.2008, 12:54
- Wohnort: laut USV-Log am Ende der Welt...
Hmm, im Manual steht die Lösung.
Es gibt die 3 Voreinstellungen "No Access", "Read-Only" und "Admin". Diese lassen sich auch abändern oder klonen. Ich würde zur eigenen Sicherheit immer eine Voreinstellung klonen und dann entsprechend abändern, wer weiß wofür man das mal braucht. Dabei achtet der Server2 auch strikt darauf, mindestens einen Benutzer zu haben, der alle Berechtigungen hat. In Voreinstellung haben nur Benutzer der Host-Gruppe "Admins" die Berechtigung für alle Einstellungen und VMs.
Dafür benötigt man 2 Schritte und wenn man das Anlegen von Host-Benutzern/-Gruppen mitrechnet sogar 3.
Schritt0: Benutzer/Gruppe im Host-System anlegen
Schritt1: "Administration" -> "Manage Roles": Berechtigungen für den/die Host-Benutzer/-Gruppen festlegen
Schritt2: VMs auswählen -> Reiter "Permission" -> "Commands" -> "New Permission" -> Benutzer/Gruppe auswählen und unter "Role" das gewünschte Privileg zuweisen.
Damit solltest du den Zugriff auf diese VM begrenzen können. Ich weiß allerdings nicht unter welchem Account die VM nachher gestartet wird. Ich denke mal, dass die VM unter dem System-Account gestartet wird und den Zugriff auf diese VM über die Einstellungen gestattet oder verweigert.
Für alles weitere mußt du dich mit dem Manual auseinander setzen. Da führt kein Weg dran vorbei, da die Materie einfach zu komplex und umfangreich wird/ist.

Es gibt die 3 Voreinstellungen "No Access", "Read-Only" und "Admin". Diese lassen sich auch abändern oder klonen. Ich würde zur eigenen Sicherheit immer eine Voreinstellung klonen und dann entsprechend abändern, wer weiß wofür man das mal braucht. Dabei achtet der Server2 auch strikt darauf, mindestens einen Benutzer zu haben, der alle Berechtigungen hat. In Voreinstellung haben nur Benutzer der Host-Gruppe "Admins" die Berechtigung für alle Einstellungen und VMs.
Dafür benötigt man 2 Schritte und wenn man das Anlegen von Host-Benutzern/-Gruppen mitrechnet sogar 3.
Schritt0: Benutzer/Gruppe im Host-System anlegen
Schritt1: "Administration" -> "Manage Roles": Berechtigungen für den/die Host-Benutzer/-Gruppen festlegen
Schritt2: VMs auswählen -> Reiter "Permission" -> "Commands" -> "New Permission" -> Benutzer/Gruppe auswählen und unter "Role" das gewünschte Privileg zuweisen.
Damit solltest du den Zugriff auf diese VM begrenzen können. Ich weiß allerdings nicht unter welchem Account die VM nachher gestartet wird. Ich denke mal, dass die VM unter dem System-Account gestartet wird und den Zugriff auf diese VM über die Einstellungen gestattet oder verweigert.
Für alles weitere mußt du dich mit dem Manual auseinander setzen. Da führt kein Weg dran vorbei, da die Materie einfach zu komplex und umfangreich wird/ist.
Danke für die umfangreichen Hinweise, aber ich denke wir verstehen uns falsch:-)
Es geht mir nur darum, den Account, unter dem der Host die VM ausführt, zu ändern, es soll aus Sicherheitsgründen NICHT System sein, sondern ein Benutzer des Hosts, der eingeschränkte Rechte hat. Dabei geht es nicht darum, dass dieser Benutzer auf die VM zugreifen soll, es ist ja nur der Account unter dem die VM im Host ausgeführt wird.
Wenn ich also im Taskmanager im Host schaue, soll die .exe der VM nicht unter System sondern unter VMUser1 ausgeführt werden.
Das ging unter VS1 sehr einfach, aber bei VS2 gar nicht mehr?
Es geht mir nur darum, den Account, unter dem der Host die VM ausführt, zu ändern, es soll aus Sicherheitsgründen NICHT System sein, sondern ein Benutzer des Hosts, der eingeschränkte Rechte hat. Dabei geht es nicht darum, dass dieser Benutzer auf die VM zugreifen soll, es ist ja nur der Account unter dem die VM im Host ausgeführt wird.
Wenn ich also im Taskmanager im Host schaue, soll die .exe der VM nicht unter System sondern unter VMUser1 ausgeführt werden.
Das ging unter VS1 sehr einfach, aber bei VS2 gar nicht mehr?
Hi xray,
das Thema interssiert mich auch. Hast Du mittlerweile eine Lösung?
Für alle anderen: Mir (und wahrscheinlich auch xray) geht's darum, dass, falls der Gast so arg gehackt wird und auf den Server-Prozess zugreifen kann, dieser im Prinzip nur Schreibberechtigung auf seine eigene VMDK-Datei haben soll und sonst nicht im Host-System rumpfuschen kann.
Oder!?
Selbst wenn VMware die tollste interne Berechtigungssteuerung hat: Ist sie einmal gehackt, dann ist das Betriebssystem des Hosts offen für Angreifer, da der Prozess unter 'System' läuft und nicht unter einem eingeschränkten Benutzer.
Wäre schön, wenn jemand 'ne Idee hat.
Gruß
Woz
das Thema interssiert mich auch. Hast Du mittlerweile eine Lösung?
Für alle anderen: Mir (und wahrscheinlich auch xray) geht's darum, dass, falls der Gast so arg gehackt wird und auf den Server-Prozess zugreifen kann, dieser im Prinzip nur Schreibberechtigung auf seine eigene VMDK-Datei haben soll und sonst nicht im Host-System rumpfuschen kann.
Oder!?
Selbst wenn VMware die tollste interne Berechtigungssteuerung hat: Ist sie einmal gehackt, dann ist das Betriebssystem des Hosts offen für Angreifer, da der Prozess unter 'System' läuft und nicht unter einem eingeschränkten Benutzer.
Wäre schön, wenn jemand 'ne Idee hat.
Gruß
Woz
virtuWoz hat geschrieben:Hi xray,
das Thema interssiert mich auch. Hast Du mittlerweile eine Lösung?
Für alle anderen: Mir (und wahrscheinlich auch xray) geht's darum, dass, falls der Gast so arg gehackt wird und auf den Server-Prozess zugreifen kann, dieser im Prinzip nur Schreibberechtigung auf seine eigene VMDK-Datei haben soll und sonst nicht im Host-System rumpfuschen kann.
Oder!?
Selbst wenn VMware die tollste interne Berechtigungssteuerung hat: Ist sie einmal gehackt, dann ist das Betriebssystem des Hosts offen für Angreifer, da der Prozess unter 'System' läuft und nicht unter einem eingeschränkten Benutzer.
Genau darum gehts mir, ja!
Ich habe bisher auch keine Lösung. Wenn das in VMS2 nicht möglich sein sollte, sehe ich das als Verschlechterung der Sicherheit gegenüber VMS1. Schließlich wurde das nicht grundlos im VMS1 ermöglicht... jemand eine Idee?
-
- King of the Hill
- Beiträge: 13651
- Registriert: 01.10.2008, 12:54
- Wohnort: laut USV-Log am Ende der Welt...
...und deshalb denke ich, daß diese Möglichkeit nicht ohne Grund verändert wurde.
Es ist zum einen auch nicht sehr vertrauenserweckend, wenn eine nichtprivilegierte Anwendung einen System-Dienst zum Restart oä animieren kann. Damit würden sich in meinen Augen zumindest unter Windows sämtliche Sicherheitsmechanismen aushebeln lassen. Zum anderen werden genügend Leute einen anderen Benutzeraccount gewählt, deren Rechte auf VMware damit auch reduziert und nur noch einen unvollständigen Zugriff auf die VMs gehabt haben. Ich könnte mir daher gut vorstellen, daß viele Anwender VMware mit diesen Anfragen überflutet haben. Besonders der von VMware eingerichtete interne User-Account "__vmware__" könnte häufiger dafür verwendet worden sein. Ich hab ihn jedenfalls probiert zu nutzen
und vorher das Manual als unnütz verdammt.
Andererseits ist es ja auch kein grosses Problem, die VMware-Dienste unter einem anderen Benutzer-Account starten zu lassen. Allerdings müßten dann ggf auch die Rechte für Erkennung/Einbindung/Abmeldung von HW des Hosts entsprechend angepaßt werden. Ansonsten bindet der Host als Beispiel zwar einen USB-Stick am Host ein, VMware erhält aber keinen Zugriff aufgrund eingeschränkter Rechte an dieser HW. Damit ist die HW für VMware bestenfalls nur nicht nutzbar oder VMware sieht nicht einmal die neue HW.
Es ist zum einen auch nicht sehr vertrauenserweckend, wenn eine nichtprivilegierte Anwendung einen System-Dienst zum Restart oä animieren kann. Damit würden sich in meinen Augen zumindest unter Windows sämtliche Sicherheitsmechanismen aushebeln lassen. Zum anderen werden genügend Leute einen anderen Benutzeraccount gewählt, deren Rechte auf VMware damit auch reduziert und nur noch einen unvollständigen Zugriff auf die VMs gehabt haben. Ich könnte mir daher gut vorstellen, daß viele Anwender VMware mit diesen Anfragen überflutet haben. Besonders der von VMware eingerichtete interne User-Account "__vmware__" könnte häufiger dafür verwendet worden sein. Ich hab ihn jedenfalls probiert zu nutzen

Andererseits ist es ja auch kein grosses Problem, die VMware-Dienste unter einem anderen Benutzer-Account starten zu lassen. Allerdings müßten dann ggf auch die Rechte für Erkennung/Einbindung/Abmeldung von HW des Hosts entsprechend angepaßt werden. Ansonsten bindet der Host als Beispiel zwar einen USB-Stick am Host ein, VMware erhält aber keinen Zugriff aufgrund eingeschränkter Rechte an dieser HW. Damit ist die HW für VMware bestenfalls nur nicht nutzbar oder VMware sieht nicht einmal die neue HW.
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 4 Gäste