Virt. Computer unter Benutzerkonto ausführen klappt nicht

[mad-manne 10]

Hallo liebe Community,

ich habe hier unter einem SBS2003R2 den MS-VirtualServer 2005 R2 am Laufen.

 

Ich scheitere leider nach diversen Versuchen immer noch am automatischen Start meiner virtuellen Maschinen :confused:

 

Es geht konkret um die Option Virtuellen Computer unter folgendem Benutzerkonto ausführen: im Bereich Allgemeine Eigenschaften. Wenn ich dort einen Admin-Account eintrage klappt das Ganze, aber das ist ja nicht wirklich das Gelbe vom Ei ... deshalb habe ich mir die Hilfe zum VirtualServer zur Brust genommen und einen speziellen Benutzer eingerichtet, der möglichst wenige Rechte hat.

Um die Sicherheit zu erhöhen, können Sie zu diesem Zweck ein spezielles Konto erstellen, das über niedrige Berechtigungen verfügt. Folgende Mindestberechtigungen sind für dieses Konto erforderlich:

• Für die VMC-Datei: Daten lesen, Daten schreiben und Datei ausführen.
  
• Für die VHD-Datei: Daten lesen, Attribute lesen, Erweiterte Attribute lesen und Daten schreiben
  
• Für die VNC-Datei, wenn ein virtueller Computer mit einem virtuellen Netzwerk verbunden ist: Datei ausführen, Daten lesen, Attribute lesen und Berechtigungen lesen
  
• Für den Ordner, der die VMC-Datei enthält, damit ein virtueller Computer den Zustand speichern kann: Ordner auflisten und Datei schreiben/Dateien erstellen

Leider scheinen aber die in der Hilfe genannten Berechtigungen nicht auszureichen. Ich habe dem Benutzer sogar mal testweise Vollzugriff auf die betroffenen Ordner eingeräumt, aber auch dann werde ich beim Versuch diesen Benutzer einzutragen immer mit dieser Fehlermeldung bedacht.

Der Kontoname und das Kennwort konnten nicht festgelegt werden.Das virtuelle Computerkonto konnte nicht festgelegt werden. Dem Konto wurde der erforderliche Anmeldetyp nicht gewährt.

Zeitgleich gibt es dann noch einen Eintrag(Fehlerüberwachung) im Sicherheits-LOG des Servers:

Fehlgeschlagene Anmeldung:

Grund: Dem Benutzer wurde der angeforderte

Anmeldetyp an diesem Computer nicht gestattet.

Benutzername: virtual

Domäne: MEINEDOMÄNE

Anmeldetyp: 2

Anmeldevorgang: Advapi

Authentifizierungspaket: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0

Name der Arbeitsstation: MEINSERVERNAME

Aufruferbenutzername: Administrator

Aufruferdomäne: MEINEDOMÄNE

Aufruferanmeldekennung: (0x0,0x18B17F4)

Aufruferprozesskennung: 4772

Übertragene Dienste: -

Quellnetzwerkadresse: -

Quellport: -

 

Das Konto hat übrigens die Berechtigung sich als Dienst anzumelden und ich kann mich damit auch an einem Client-PC anmelden.

Hat jemand eine Ahnung, welche weiteren Rechte/Gruppenzuordnungen/was auch immer ich diesem Konto zuordnen muss, damit das Gewünschte klappt ??

 

Gruss und Danke,

Manne.

[mad-manne 10]

*dezent klopf* :rolleyes:

Hat denn wirklich keiner eine Idee, welche Berechtigungen da fehlen könnten?

 

Gruss,

Manne.

[LukasB 10]

Ein SBS2003 ist immer auch ein DC. Deswegen ist das was du vorhast grundsätzlich eine schlechte Idee.

 

Aber ja, man kann das zum laufen kriegen. Du musst die GPO für DC-Sicherheitseinstellungen dem Administrator das Recht für die Anmeldung als Batchjob geben.

 

Log on as a batch job: Security Configuration Editor; Security Services

[mad-manne 10]

Ein SBS2003 ist immer auch ein DC. Deswegen ist das was du vorhast grundsätzlich eine schlechte Idee.

.. / ..

Du musst die GPO für DC-Sicherheitseinstellungen dem Administrator das Recht für die Anmeldung als Batchjob geben.

Hmm, ich verstehe nicht ganz, was du meinst :confused:

 

Ich versuche ja explizit einen möglichst niedrig-berechtigten User-Account für den Start der virtuellen Maschinen zu erstellen. Ich werde aber mal versuchen, das mit dem Batchjob-Recht auf meinen speziellen Benutzeraccount einzurichten.

 

Gruss,

Manne.