我有一台启用了 Hyper-V 的 Windows 2012 Server 和一些虚拟机。
我当前的配置在域策略中的“作为服务登录”列表中有几个帐户,有时这会阻止我的虚拟机启动,我收到此错误:
错误 0x80070569(“VM_NAME”无法启动工作进程:登录失败:未授予用户在此计算机上请求的登录类型。
正如本知识库文章中所述,我想将 NT Virtual Machine\Virtual Machines 添加到我的“作为服务登录”列表中以解决我的问题。
我的问题是,当我尝试将该用户添加到我的域策略时,我收到一条错误消息:
无法验证以下帐户
我的域控制器显然不知道该用户,因为它不是启用 Hyper-V 的服务器。
如何将该帐户添加到我的域策略中?
答案1
看起来引用的知识库已经更新:
关联:http://support.microsoft.com/kb/2779204/
解决方案:
在 Hyper-V 主机上执行以下步骤:
以域管理员身份登录
从服务器管理器控制台安装组策略管理功能
安装后,打开 GPMC MMC 管理单元并浏览到管理用户权限的策略
打开组策略管理控制台并浏览到管理用户权限的策略
编辑策略以将 NT Virtual Machine\Virtual Machines 包含在“作为服务登录”的条目中
关闭策略编辑器并在 Hyper-V 主机上启动 gpupdate /force 以刷新策略。(您可能需要等待几分钟才能进行 Active Directory 复制)。
这使我能够将 NT Virtual Machine\Virtual Machines 添加到有关允许作为服务登录的用户的域策略中。
答案2
接受的答案对我来说不起作用 - 域控制器是 Windows 2012(不是 R2)。
我将其复制如下:
如果您已经通过 GPO 定义了“作为服务登录”权限,请找到适用的 GPO。
如果没有,则必须创建一个。要定义的设置是计算机配置\Windows 设置\安全设置\本地策略\用户权限分配\作为服务登录。编辑新的 GPO 并将此策略设置为已定义。
接下来您必须备份 GPO。
右键单击 gpmc.msc 中您的域下列出的组策略对象文件夹,单击“备份...”并选择一个文件夹来保存 GPO。
打开包含您备份的 GPO 的文件夹,它将有一个以随机 GUID 命名的子文件夹。按照以下路径向下浏览文件夹:
<GUID>\DomainSysvol\GPO\Machine\microsoft\windows nt\SecEdit在记事本中打开该
GptTmpl.ini文件。找到以“ ”开头的行
SeServiceLogonRight =,这就是我们需要编辑的行。*S-1-5-83-0在“=”运算符的右侧添加“ ”。在此 SID 与该行中已有的其他 SID 或您需要分配作为服务登录权限的任何其他组/SID 之间放置一个逗号。保存。在组策略对象文件夹中找到 GPO,右键单击它并选择“导入设置”,导航到您将 GPO 备份到的父文件夹,即:步骤 3 中引用的文件夹上一级的文件夹。
完成 GPO 导入。如果您在同一台机器上备份、编辑文件和导入设置,且无需进行额外编辑,则无需使用迁移表。
下面是一个最小配置的简单示例(您的文件中可能包含其他 SID 或策略
GptTmpl.ini):
[Unicode] Unicode=yes [Version] signature="$CHICAGO$" Revision=1 [Privilege Rights] SeServiceLogonRight = *S-1-5-83-0
导入成功后,请确保在尝试创建/启动虚拟机之前更新组策略。
答案3
我遇到了同样的问题,这让我很抓狂。只需重新启动服务器即可修复“以服务身份登录”错误。希望这能帮助其他人并节省他们的时间。