Группа операторов резервного копирования Windows для семейного выпуска

489
Gregory MOUSSAT

В версиях для Windows pro существует группа «Операторы архива», позволяющая получить доступ ко всем файлам для целей резервного копирования.

В семье Windows 10 я не вижу эту группу (с командиром net localgroup).
Я хочу создать пользователя для автоматического резервного копирования. Но без этой группы пользователь не может создавать резервные копии файлов, расположенных в домах других пользователей (что является желательным поведением, даже если пользователь резервного копирования является администратором).

Вероятно, есть способ достичь этой цели, потому что коммерческие программы резервного копирования делают это.
У кого-нибудь есть идея?

0
Вы дали разрешение резервного пользователя на дом другого пользователя? harrymc 5 лет назад 0

2 ответа на вопрос

2
Ben N

Самый простой способ выполнить то, что вам нужно, - запустить процесс резервного копирования от имени администратора. Администраторы имеют полный доступ ко всем папкам профилей пользователей, но они должны работать с повышенными правами, чтобы применить эту запись контроля доступа.

Если вы не можете запустить резервное копирование с повышенными правами, сделайте пользователя с правами администратора администратором, войдите в него и попробуйте перейти в папки профилей других пользователей. Проводник Windows сообщит вам, что доступ запрещен, но он предоставит вам кнопку, которая на постоянной основе предоставляет текущему пользователю доступ к этой папке. После этого резервный пользователь сможет получить доступ к профилю этого другого пользователя даже без повышения прав.

Информация о том, как воспроизвести эффект группы «Операторы архива», приведена ниже строки.

Многое из того, что делает группу операторов резервного копирования особенной, заключается в том, что по умолчанию ей предоставляется несколько привилегий :

  • SeBackupPrivilege, "резервное копирование файлов и каталогов"
  • SeRestorePrivilege, "восстановить файлы и каталоги"
  • SeShutdownPrivilege"выключить систему"
  • SeBatchLogonRight, "войти как пакетное задание"

Привилегии можно назначить с помощью раздела «Назначение прав пользователя» инструмента «Локальная политика безопасности» secpol.msc. Однако этот инструмент может отсутствовать в непрофессиональных выпусках Windows. Чтобы настроить привилегии в других выпусках, вы можете использовать утилиту NTRights из Windows Server 2003 Resource Kit . Несмотря на название, этот комплект может быть установлен на любую современную версию Windows. Вы можете использовать NTRights для предоставления привилегий, открыв административную командную строку и выполнив такую ​​команду:

ntrights -u YourBackupUser +r SeSomePrivilege

Замените YourBackupUserна имя учетной записи SAM пользователя / группы, которые должны иметь возможность выполнять резервное копирование и восстановление - имена учетных записей SAM перечислены в выходных данных net userили net localgroup(игнорируйте звездочку перед именем группы). Замените SeSomePrivilegeна ID привилегии для предоставления. Если вы хотите отозвать привилегию позже, запустите ту же команду, но -rвместо +r.

Обратите внимание, однако, что только специально написанное программное обеспечение сможет воспользоваться этими привилегиями. Даже если они предоставлены, привилегии должны быть включены для каждого процесса, прежде чем они вступят в силу, тогда программа должна вызывать специальные API-интерфейсы чтения / записи, которые обходят проверки безопасности. Этих прав также недостаточно для создания теневых копий; для этого процесс должен быть запущен в качестве члена группы «Администраторы» - даже членства в реальной группе «Операторы архива» недостаточно для этого.

0
mappu

(Извините, мне не хватает представителя, чтобы сделать это комментарием к ответу @Ben N.)

Да, добавления SeBackupPrivilegeи т. Д. К обычной учетной записи достаточно, чтобы использовать FILE_FLAG_BACKUP_SEMANTICSфлаг CreateFileи использовать BackupReadвызов API.

НО не достаточно сделать снимок VSS (то, что программа резервного копирования хотела бы сделать).

Для того, чтобы сделать снимок VSS, пользователь должен быть либо

  • Локальная система или
  • Локальная служба / Сетевая служба (Server 2003 или более поздняя версия), или
  • Член локальной группы администраторов или
  • Член локальной группы операторов резервного копирования или
  • Определенным образом внесите программу в белый список (хотя в моем тестировании это не сработало).
Хорошо поймал! Я подозреваю, что использование конфигурации DCOM может позволить пользователю использовать службу теневого копирования томов - я проведу некоторое тестирование и обновлю свой ответ, если найду что-нибудь полезное. Ben N 5 лет назад 0
Хм, [похоже] (https://stackoverflow.com/q/7530540/2825369) даже наличие повышенного статуса оператора резервного копирования недостаточно для создания теневых копий. Попытка [этот код] (https://stackoverflow.com/a/14213304/2825369) на компьютере Pro в качестве оператора резервного копирования не приводит к ошибке инициализации, как это делает обычный пользователь, но объект ответа `$ s1` указывает ошибка отказа в доступе (`ReturnValue` 1) и теневая копия не создается. Я сделал некоторые изменения реестра, чтобы создать реальную группу операторов резервного копирования в домашней версии, и получил тот же эффект. Ben N 5 лет назад 0
(Понижение не мое, FWIW.) Ben N 5 лет назад 0

Похожие вопросы