Protect Hyper-V VMs for deletion

Mijn vraag
Ik gebruik een service account voor een replicatie proces. Ik wil geconfigureerd hebben dat het svc account geen VM mag verwijderen op de betreffende host. Het service account is een AD account. Hoe kan ik er voor zorgen dat het service account geen VMs kan verwijderen?

Relevante software en hardware die ik gebruik
Hyper-V
Hyper-V Failover Cluster
Virtual Machine Manager (VMM)

Wat ik al gevonden of geprobeerd heb
Google maar hier wordt ik helaas niet veel wijzer van aangezien er niet veel valt te vinden om VMs te protecten for deletion. Ik zat er zelf ook aan te denken om eventueel NTFS rechten op de locatie waar de VMDKs leven aan te passen maar het zou toch veel mooier zijn als dit vanaf hypervisor niveau geregeld kan worden?

HKLM_ schreef op dinsdag 13 augustus 2019 @ 12:54:
Gebruik je voor het replicatie proces een hyper-v replica server?

Er wordt gebruik gemaakt van Zerto met op elke host een virtual replication appliance(VRA). Zerto maakt gebruik van een service account om de acties uit te voeren.

akimosan schreef op dinsdag 13 augustus 2019 @ 15:40:
Het zal ervan afhangen of dat service account nu de rechten heeft om dat te doen. Normaliter ken je aan een account zo weinig mogelijk rechten toe, "principe of least privilege' zeg maar.

Dus welke rechten heeft dat service account nu? Van welke groepen is het account lid?

Administrators
Domain Admins
Domain Users
Enterprise Admins
Group Policy Creator Owners
Schema Admins
Scom Users

Probleem is dat de VPG binnen Zerto, dit is een groep waar de VMs in gezet worden, verwijderd werd om de replicatie te stoppen. Het service account waarmee Zerto functioneert is lid van bovenstaande groepen maar het rare is dat de acties van Zerto op een omgeving buiten de productie gedaan werden met een tunnel naar een ZVM machine, een VM waar de andere kant naar connect... vreemd genoeg werd er aan de productiekant ineens een VM verwijderd met het account welke ook door Zerto gebruikt wordt alleen was daar helaas niet uit te lezen dat dit door Zerto kwam, alleen door het xxx/Administrator account, een opdracht die wij niet zelf hebben geactiveerd.

Ik wil dus eigenlijk nu dat Zerto een svc_xxx account gaat gebruiken die geen delete rechten heeft op VMM, met aan de achterkant een Hyper-V platform

akimosan schreef op dinsdag 13 augustus 2019 @ 18:27:
je huidige service account heeft dus best wat verhoogde rechten (domain admin, enterprise admin, schema admin (welja) ) en dat lijken me er al teveel.

Om dus een non-privileged account te gaan gebruiken zul je moeten weten welke requirements er zijn voor het account om te repliceren.

Je kunt hiervoor contact opnemen met je leverancier voor support. Je betaalt ongetwijfeld licenties en product support dus daar mag je ook wat voor terugverwachten.

Je kunt ook de documentatie induiken, ik vind wat docs met een beetje google-fu:

https://www.zerto.com/myzerto/technical-documentation/

(wordt er gebruikgemaakt van SCVMM?)

Ik zou niet zomaar met NTFS rechten zaken gaan blokkeren want je weet niet wat je allemaal stukmaakt.

Maar als je alle relevante administration guides hebt doorgelopen en het antwoord staat ook niet in
Security and Hardening – Zerto Software

dan wordt het tijd je leverancier te bellen

Ik ga even schakelen met de leverancier die de licenties beheert voor Zerto. Ik zal je asap hier van een update voorzien!