Virtual Server 2005 系統檔案的安全設定

在一台開放式類型的伺服器上部署了Virtual Server 2005EE

R2，第一次安裝時，過程中需要為宿主網卡綁定上VSRV的虛拟網卡，通常這個操作會切斷網卡連接配接之後會重新恢複連接配接，可是此次應用中卻中斷了。因為是遠端操作是以隻能通知相關人員重新啟動，登入後發現VSRV工作不正常，無奈隻能解除安裝重新安裝，之後檢查系統發現VSRV的虛拟網卡并沒有從宿主網卡上解除綁定當時也沒有深入研究感覺這倒是件好事起碼再次安裝的時候應該不會出現中斷問題，于是重新安裝了VSRV發現關鍵服務無法運作提示我沒有權限通路，改為System權限運作服務後發現正常了。可是過幾天客戶說虛拟系統無法運作了，奇怪上去檢查後發現VSRV缺少一個監視服務，難道是宿主上的一些程式破壞了它？檢查日志發現dotnet

2.0運作庫有問題于是着手先修複。反複解除安裝安裝了多次都沒能解決，日志中隻有關于DCOM應用的權限故障等其他問題，回想回想！感覺問題應該出在目錄權限方面，因為Public主機通常都作過專門的目錄權限，問題應該就出在這裡，為幾個關鍵的目錄添加了Network

Service賬号的修改權限，重新安裝竟然好了！之後才真正的仔細去看了一些管理幫助文檔找到了VSRV檔案系統的安全設定資料。特轉記到自己的Blog友善以後配置參考！

VSRV檔案夾的DACL：

虛拟伺服器安裝程式建立了 Virtual Server 檔案夾，預設情況下該檔案夾位于 C:\Documents and Settings\All

Users\Application Data\Microsoft\ 中。Virtual Server 檔案夾包含下列項：

虛拟伺服器配置檔案 (Options.xml)

虛拟伺服器許可證檔案 (VSLicense.xml)

Virtual Machines 檔案夾，該檔案夾中包含虛拟伺服器上目前配置的虛拟機的配置檔案的快捷方式

Virtual Networks 檔案夾，該檔案夾中包含虛拟伺服器上目前配置的虛拟網絡的配置檔案的快捷方式

此檔案夾的 DACL 适用于該檔案夾包含的檔案夾和檔案。下表列出了此 DACL 的預設通路控制項 (ACE)。盡管可以從檔案系統内部配置此

DACL，但仍建議您改用管理網站上的“虛拟伺服器安全設定”頁。

下表顯示了 Virtual Server 檔案夾的預設 DACL。

使用者帳戶

權限（允許的操作）

适用範圍

Administrators

完全控制

該檔案夾、子檔案夾和檔案

CREATOR OWNER

隻适用于子檔案夾和檔案

SYSTEM

讀取及執行

建立檔案/寫入資料

建立檔案夾/附加資料

隻适用于該檔案夾

NETWORK SERVICE

虛拟伺服器配置檔案的DACL：

下表說明虛拟伺服器配置檔案 (Options.xml) 的預設 DACL，預設情況下它位于 C:\Documents and Settings\All

Users\Application Data\Microsoft\Virtual Server 中。您可以更改此檔案的

DACL，但建議您改用管理網站配置虛拟伺服器的全局安全設定。

隻适用于該對象

虛拟伺服器許可證檔案的DACL：

下表說明虛拟伺服器許可證檔案 (VSLicense.xml) 的預設 DACL，預設情況下它位于 C:\Documents and

Settings\All Users\Application Data\Microsoft\Virtual Server 中。

VSRV Helper檔案夾的DACL：

下表說明 Virtual Machine helper 檔案夾的預設 DACL，預設情況下它位于 C:\Documents and

Settings\All Users\Application Data\Microsoft 中。此檔案夾包含 NETWORK SERVICE

檔案，接下來将進行說明。

警告

不應更改此檔案夾的 DACL。如果進行更改，配置為以特定使用者帳戶運作的虛拟機可能會無法啟動，并且會使未經授權的使用者能夠通路此檔案中包含的加密密碼資訊。

Network Service檔案夾的DACL：

下表說明 NETWORK SERVICE 檔案的預設 DACL，預設情況下它位于 C:\Documents and Settings\All

Users\Application Data\Microsoft\Virtual Machine Helper

中。此檔案存儲已配置為用于運作虛拟機的使用者帳戶的加密資訊。

不應更改此檔案的 DACL。如果進行更改，配置為以特定使用者帳戶運作的虛拟機可能會無法啟動，并且會使未經授權的使用者能夠通路此檔案中包含的加密密碼資訊。

VSRV Webapp檔案夾的DACL：

下表說明 Virtual Server Webapp 檔案夾的預設 DACL，預設情況下它位于 C:\Documents and

Settings\All Users\Application Data\Microsoft\ 中。此檔案夾包含 ServerPaths.xml

Users

Power Users

周遊檔案夾/執行檔案

列出檔案夾/讀取資料

讀取屬性

讀取擴充屬性

寫入屬性

寫入擴充屬性

删除子檔案夾及檔案

删除

讀取權限

Everyone

虛拟伺服器管理器搜尋路徑檔案的DACL：

下表說明虛拟伺服器管理器搜尋路徑檔案 (ServerPaths.xml) 的預設 DACL，預設情況下它位于 C:\Documents and

Settings\All Users\Application Data\Microsoft\Virtual Server WebApp

中。此檔案存儲有關已為虛拟伺服器管理器配置的搜尋路徑的資訊。

Shared Virtual

machines檔案夾的DACL：

下表說明 Shared Virtual Machines 檔案夾的預設 DACL，預設情況下它位于 C:\Documents and

Settings\All Users\Shared Documents 中。

虛拟檔案夾和檔案的DACL：

下表說明建立和管理虛拟機時虛拟伺服器建立的檔案夾和檔案的預設 DACL。預設情況下，虛拟機配置檔案夾和檔案位于 C:\Documents and

Settings\All Users\Shared Documents\Shared Virtual Machines 中。

<b>虛拟機配置檔案夾的 DACL</b>

<b>虛拟機配置檔案 (.vmc) 的 DACL</b>

<b>虛拟機儲存狀态檔案 (.vsv) 的 DACL</b>

儲存虛拟機的狀态時運作該虛拟機所使用的使用者帳戶

Networks檔案夾的DACL：

下表說明 Shared Virtual Networks 檔案夾的預設 DACL，預設情況下它位于 C:\Documents and

虛拟網絡配置檔案（.vnc）的DACL：

下表說明建立虛拟網絡時虛拟伺服器建立的配置檔案的預設 DACL。預設情況下，虛拟網絡配置檔案 (.vnc) 位于 C:\Documents and

Settings\All Users\Shared Documents\Shared Virtual Networks 中。

虛拟硬碟檔案（.vhd）和虛拟軟碟檔案（.vfd）的DACL：

下表說明建立虛拟硬碟或虛拟軟碟時虛拟伺服器建立的檔案的預設 DACL。預設情況下，建立虛拟機時建立的虛拟硬碟檔案 (.vhd) 位于

C:\Documents and Settings\All Users\Shared Documents\Shared Virtual Machines

中的虛拟機配置檔案夾中。其他虛拟硬碟檔案和所有虛拟軟碟 (.vfd) 檔案存儲于檔案建立時指定的位置中。

本文轉自 蘇繁 51CTO部落格，原文連結：http://blog.51cto.com/goxia/221264，如需轉載請自行聯系原作者