Rechte für neuen Ordner VM manuell vergeben
-
Dienstag, 12. Januar 2010 09:09Hallo,
wenn ich unter WS2008R2 eine VM exportiere und an einen neuen Ort (nicht auf dem System Volume) imporiere, schlägt der Import fehl. Es fehlen Rechte im Ordner "Virtual Machines". Im Ordner "Virtual Hard Disks" werden diese automatisch gesetzt. Für diesen Ordner gibt es ein Konto "Virtuelle Computer", das im Ordner "Virtual Machines" beim Importprozess nicht angelegt wird. Es gelingt mir nicht, manuell dem Konto "Virtuelle Computer" Rechte zuzuordnen, da ich dieses nicht auswählen kann. Auch der Befehl
icacls "S:\VM\Virtual Machines" /grant "NT Virtual Machine\Virtuelle Computer":(CI)(F)
endet mit der Fehlermeldung "Zuordnung von Kontennamen und Sicherheitskennung wurden nicht durchgeführt"
Daher meine Frage:
1. Welche Rechte müssen in den neuen (Import-)Ordner manuell vergeben werden?
2. Wie kann ich diese Rechte manuell vergeben?
Besten Dank für die Unterstützung,
Dieter
Alle Antworten
-
Dienstag, 12. Januar 2010 14:31Hi,
wenn ich mich richtig erinnere, wird beim Import einer VM nur das zugrundeliegende Verzeichnis genommen, wo Deine VM liegt.
D.H. es wird nichts kopiert oder gemoved.
Entweder Dein Hyperserver braucht nun auf Deinem "Import-/Ablageverzeichnis" die entsprechenden Rechte, oder Du kopierst
die VM vorher in den "Hyper-Ordner" und "importierst" sie dann.
Gruß Ralph Andreas Altermann -
Donnerstag, 14. Januar 2010 08:40ModeratorHallo Dieter
könntest du uns mehr Einzelheiten über deine Umgebung mitteilen?
der Export/Import findet auf derselben Maschine statt?
ist das Laufwerk S: ein lokaler Datenträger oder wurde es auf eine Netzwerkfreigabe gemapt?
wie wird der Server verwaltet? Direkt von der Console oder über die Hyper-V Remoteverwaltungstools?
mit welcher Fehlermeldung schlägt der Import fehl?
Gruß
Andrei -
Donnerstag, 14. Januar 2010 10:03Hallo Andrei,
danke für die Rückmeldung. Zuerst kurz zur Umgebung:
1. Import und Export finden auf der selben Maschine statt.
2. Das Laufwerk S: ist ein lokales RAID (Adaptec 2820 SA)
3. Verwaltung erfolgt über RDP, aber mit dem Hyper-V Manager (keine remote Tools)
4. Fehlermeldung: "General access denied error (0x80070005). (Virtual machine ID CEB............" (da hatte ich das engl. MUI aktiv)
Ziel meines Vorgehens ist es, die sowohl die vhd's wie auch die VM's von der System-Partition auf das RAID (S:) zu bekommen. Die Gründe dafür sind Performance und ein einfacheres Backupverfahren.
Zwischenzeitlich habe ich ein bisschen "herumprobiert" und habe mit robocopy die Verzeichnisstruktur samt Berechtigungen von Hyper-V von der System-Partition (C:) auf das RAID (S:) kopiert, also
C:\Users\Public\Documents\Hyper-V\Virtual hard disks --> S:\VM\Virtual hard disks
C:\ProgramData\Microsoft\Windows\Hyper-V\Virtual Machines --> S:\VM\Virtual Machines
Dann habe ich die Standardpfade in Hyper-V auf diese neuen Verzeichnisse umgestellt. Seither funktioniert der Import und auch Snapshots, die iportierten VMs und VHDs liegen in den angegebenen Verzeichnissen. Ursache war, dass die SID "Virtuelle Computer" beim Import nicht angelegt wurde bzw. angelegt werden konnten. Möglicherweise waren vererbten Berechtigungen aus dem root von S:\ die Ursache dafür, das ist aber nur ein Vermutung.
Das Problem ist eigentlich gelöst, allerdings bleibt für mich nach wie vor die Frage, warum ich zwar für die fraglichen Verzeichnisse unter Eigenschaften->Sicherheit->Gruppen- oder Benutzernamen das Objekt "Virtuelle Computer" sehen kann, dieses Objekt aber gar nicht finde, wenn ich es auswählen und einem Verzeichnis zuordnen möchte. Auch dann nicht, wenn ich alle Objekttypen (auch Dienstkonten) aktiviere. Auch wenn ich mit sysinternal-tools (psgetid) die SID für "Virtuelle Computer" suche, bekomme ich kein Ergebnis. Warum funktioniert der Befehl:
icacls "S:\VM\Virtual Machines" /grant "NT Virtual Machine\Virtuelle Computer":(CI)(F)
nicht? Stimmt der Objektname "NT Virtual Machine\Virtuelle Computer" nicht?
Es würde mir zukünftig sehr weiterhelfen (und vielleicht auch manchem anderen), wenn ich die Ursachen dafür kennen würde.
Herzlichen Dank für Deine Bemühungen,
Dieter -
Donnerstag, 14. Januar 2010 11:07ModeratorHi Dieter
das mit dem Objektnamen vermutte ich auch und würde gerne ausschließen, dass es ein lokalisierungs-Fehler ist (ist es eine deutsche Intstallation mit englischem MUI oder anders herum?):
klappt die Berechtigungszuordnung per icacls, wenn anstatt "NT Virtual Machine\Virtuelle Computer", "NT Virtual Machine\Virtual Machines" benutzt wird?
icacls "S:\VM\Virtual Machines" /grant "NT Virtual Machine\Virtual Machines":(CI)(F)
Alternativ könntest du PSGetSid benutzen um den SID für die Gruppe herauszufinden, um dann per icacls die Berechtigungen direkt per SID zu erteilen.
Gruß
Andrei -
Donnerstag, 14. Januar 2010 12:10Hallo Andrei,
danke für die schnelle Antwort!
Es ist eine deutsche Installation mit engl. (USA) MUI.
Der Rechtezuordnung mit der engl. Variante
icacls "S:\VM\Virtual Machines" /grant "NT Virtual Machine\Virtual Machines":(CI)(F)
bringt die selbe Fehlermeldung wie die deutsche: "Zuordnung von Kontennamen und Sicherheitskennung wurden nicht durchgeführt"
psgetsid "NT Virtual Machine\Virtual Machines"
psgetsid "NT Virtual Machine\Virtuelle Computer"
psgetsid "Virtuelle Computer"
bringen alle die gleiche Fehlermeldung: "Zuordnung von Kontennamen und Sicherheitskennung wurde nicht durchgeführt"
Wenn ich einen beliebigen Ordner auswähle und dann unter Eigenschaften->Sicherheit->Bearbeiten->Hinzufügen->Erweitert das Feld "Beginnt mit" leer lasse, sollte ich alle Benutzer, Gruppen etc. aufgelistet bekommen. "Virtuelle Computer", "Virtual Machines" oder "NT Virtual Machines" werden nicht aufgelistet. (Ich habe vorher alle Objekttypen ausgewählt).
Leider kann ich nichts positives berichten. Kann das wirklich ein Lokalisierungsproblem sein? Kann ich noch etwas testen?
Herzlichen Dank für die Unterstützung,
Dieter -
Donnerstag, 14. Januar 2010 12:47ModeratorHi Dieter
ich habe gerade leider keine Deutsche Installation zur Hand, aber meine Vermutung bleibt weiterhin bei den Objektnamen. Wir könnten es aber auch anders rum probieren (der SID sollte theoretisch der gleiche für alle Installationen sein)
was sagt psgetsid S-1-5-83-0 ?
funktioniert die Zuordnung der Berechtigungen direkt per SID?
icacls "S:\VM\Virtual Machines" /grant *S-1-5-83-0:(CI)(F)
Gruß
Andrei -
Donnerstag, 14. Januar 2010 16:07Hallo Andrei,
psgetsid S-1-5-83-0 liefert:
"Well Known Group: NT VIRTUELLER COMPUTER\Virtuelle Computer"
-> das ist schon mal positiv
Der Befehl
icacls "S:\VM\Virtual Machines" /grant *S-1-5-83-0:(CI)(F)
setzt auch die richtige Berechtigung. Sehr gut - damit brauche ich zukünftig nicht den Work-around!
Offen bleibt für mich nur die Frage, warum ich diese Gruppe nicht über die Auswahlliste unter "Eigenschaften->Sicherheit->Bearbeiten->Hinzufügen->Erweitert->Jetzt suchen" sehen und auswählen kann. Gibt es Gruppen, die bewust vom OS in dieser Liste nicht gezeigt werden?
Gruß,
Dieter -
Freitag, 15. Januar 2010 09:20Moderator Hi Dieter
icacls "S:\VM\Virtual Machines" /grant NT VIRTUELLER COMPUTER\Virtuelle Computer:(CI)(F)
sollte für eine deutsche Installation dann auch passen.
und ja, die NT Virtual Machine/NT Virtueller Computer Domäne (S-1-5-83) wird vom System in den Benutzer abfragen nicht gelistet, da diese hauptsächlich nur von Hyper-V intern benutzt wird. Unter dieser Domäne befinden sich die VM SIDs (jede VM Datei hat eine speziellen Eintrag im ACL in Form eines GUIDs) die zur Berechtigungserteilung (für den Dateizugriff vom VM Worker Process) benutzt werden.
Gruß
Andrei- Als Antwort markiert DieterBe Freitag, 15. Januar 2010 09:58
-
Freitag, 15. Januar 2010 10:02Hallo Andrei,
herzlichen Dank, jetzt habe ich alles verstanden.
icacls "S:\VM\Virtual Machines" /grant "NT VIRTUELLER COMPUTER\Virtuelle Computer":(CI)(F)
funktioniert auch.
Gruß,
Dieter -
Freitag, 15. Januar 2010 19:26@Andrei
*Hut ab*
Nachtrag: Ein Beitrag für "Gewusst wie"
Gruß Ralph Andreas Altermann
.png)
.png)
