Чому члену групи "Оператори резервного копіювання" відмовлено у виконанні резервної копії?


2

У своїй Windows 7 я створив користувача BackupUser5та додав його до групи "Оператори резервного копіювання". За дизайном :

Члени цієї групи можуть створювати резервні копії та відновлювати файли на комп'ютері, незалежно від дозволів, що захищають ці файли. Це пояснюється тим, що право виконувати резервну копію має перевагу над усіма правами файлів. Члени цієї групи не можуть змінювати налаштування безпеки.

Я запускав Windows "Резервне копіювання та відновлення" у підвищеному режимі (підвищеному з BackupUser5дозволами). Потім я натиснув кнопку "Завантажити зараз" (як показано нижче). Windows запитав облікові дані, і я ввів облікові дані для BackupUser5. Ось результати:

введіть тут опис зображення

Як показано вище, мені надійшло повідомлення про заборону доступу. Я не знаю, чому? (Звичайно, якщо я використовую обліковий запис адміністратора, я не отримаю помилку. Питання полягає в тому, чому член "Операторів резервного копіювання" не може цього зробити.)


@TheCleaner: Привілей (праворуч) Log on as a batch jobдається Administrators, Backup Operatorsі Performance Log Users. Хоча це неявно дає право моєму BackupUser5користувачеві, я явно надав йому це право, вийшов із системи, знову увійшов і повторив процедуру безрезультатно :(
MS Dousti

Спробуйте не працювати підвищеними, для цього можуть знадобитися адміністративні приватні права, які не мають резервні оператори ...
Keltari

@Keltari: Вибачте, це не спрацювало ...
MS Dousti

Відповіді:


1

Якщо ви абсолютно шукаєте інкрементальне рішення, ця відповідь може не допомогти, але якщо ви зможете влаштуватись на зображення системи, це зробить інструмент командного рядка wbadmin: http://technet.microsoft.com/uk -us / library / cc742083.aspx

Чомусь версія GUI вимагає повних прав адміністратора, але командний рядок цього не робить. Просто переконайтеся, що запустіть підвищений запит (Запустити як адміністратор ... на cmd.exe, навіть якщо це лише для отримання привілеїв резервних операторів). Поки що мені не вдалося відновити системне зображення з тими привілеями (адміністратор все ще потрібен), але я не дуже намагався. Ви також не можете встановити резервне зображення (.vhd), але можете відкрити його за допомогою сторонніх інструментів (я використовую 7-zip, мабуть, кілька інших) для відновлення файлів.


0
  • Запустіть Провідник процесів SysInternals
  • Виберіть процес, у якому запущено резервну копію
  • Клацніть RIght та виберіть "Властивості"
  • На вкладці Безпека переконайтесь, що SeBackupPrivilege вказаний у списку.

Також слід запустити gpresult / h і підтвердити, що право "Вхід як пакетне завдання" насправді призначено Операторам резервного копіювання, а Заборонити вхід як пакетне завдання - ні.


Процес резервного копіювання sdclt.exeмає SeBackupPrivilege. Команда gpresult /h out.htmlперераховує членство в групі для поточного користувача (що включає операторів резервного копіювання), але воно не розкриває призначені йому права користувача. Я впевнений, що він має "Логін як пакетна робота" правильно, і йому не заперечують вхід як пакетну роботу. Для підтвердження я просто перебіг whoami /privз підвищеного командного рядка, в якому перераховані всі привілеї, призначені користувачеві.
MS Dousti

0

Я не перевірив цього, але вважаю, що UAC заважає йому працювати. Я думаю, вам потрібно мати обліковий запис як адміністратор, щоб правильно його запустити, навіть якщо UAC вимкнено (але ви можете спробувати відключити UAC і побачити, чи раптом він працює). Група операторів резервного копіювання може містити користувачів, які мають право на резервне копіювання файлів та обхід безпеки файлів, але це не обов'язково надаватиме їм права виконувати заплановані завдання або програми з підвищеними дозволами. Ідея полягає в тому, що якщо ви помістите когось із групи операторів резервного копіювання на віддалений ПК, ви можете запустити віддалене завдання резервного копіювання, яке підключиться до цього ПК та матиме право на резервну копію його файлів.

(Однак саме питання краще підходить для superuser.com, тому я голосую, щоб перенести його туди, навіть якщо моя "відповідь" виявиться правильною)


Дякую. Я хотів би перевірити вашу ідею, але мені потрібно трохи допомогти. Чи можете ви порадити мені, як запускати роботу резервного копіювання віддалено? Чи слід дотримуватися кроків у цій статті бази знань про MS ?
MS Dousti

0

Тут відбуваються дві непов'язані речі.

Зазвичай дозволи NTFS не дозволяють іншим користувачам читати ваші файли. Для того, щоб хтось міг читати файли у вашому профілі, вам доведеться змінити "Список контролю доступу" (ACL), щоб надати їм дозвіл на читання:

введіть тут опис зображення

Але це означатиме, що для резервного копіювання всіх файлів на комп’ютері користувачеві, що працює з резервною копією, потрібно буде отримати Readдозвіл:

  • до кожного файлу
  • у кожній папці
  • у кожному профілі

Це просто біль; а не те, що ти хочеш насправді робити.

Введіть привілей резервного копіювання

На щастя, Windows NT створив спосіб, коли певні користувачі змогли обійти всі ці перевірки безпеки NTFS ACL, читаючи файли, які вони не мають дозволу на читання, тому вони можуть створювати резервні копії.

Це особлива «привілей» називаєтьсяSeBackupPrivilege

SE_BACKUP_NAME

Необхідна для виконання операцій із резервного копіювання. Цей привілей змушує систему надавати весь контроль доступу для читання будь-якому файлу, незалежно від списку контролю доступу (ACL), визначеного для файлу. Будь-який запит на доступ, окрім читання, все ще оцінюється за допомогою ACL. Цей привілей необхідний функціям RegSaveKey та RegSaveKeyEx . Наступні права доступу надаються, якщо ця привілей зберігається:

  • READ_CONTROL
  • ACCESS_SYSTEM_SECURITY
  • FILE_GENERIC_READ
  • FILE_TRAVERSE

Право користувача: Резервне копіювання файлів та каталогів.

Якщо у вас є цей привілей, ви обминаєте всі перевірки безпеки NTFS, якщо намагаєтесь відкрити файл у режимі "резервного копіювання" . Коли програмне забезпечення для резервного копіювання намагається відкрити файл, воно включає FILE_FLAG_BACKUP_SEMANTICSпрапор:

FILE_FLAG_BACKUP_SEMANTICS

Файл відкривається або створюється для операції з резервного копіювання або відновлення. Система забезпечує, щоб процес виклику переосмислював перевірку безпеки файлів, коли процес має права SE_BACKUP_NAME і SE_RESTORE_NAME .

Надання привілеїв для резервного копіювання файлів та каталогів

Пільги надаються користувачам або групам. Windows постачається з групою, у якій вже включено привілей SeBackupPrivilege(також "Файли резервного копіювання та каталоги" ):

  • Назва групи : Оператори резервного копіювання
  • SID :S-1-5-32-551
  • Опис: Вбудована група. За замовчуванням у групи немає членів. Оператори резервного копіювання можуть створити резервну копію та відновити всі файли на комп'ютері, незалежно від дозволів, які захищають ці файли. Оператори резервного копіювання також можуть увійти на комп'ютер і вимкнути його.

Ви можете бачити цю привілей, присвоєну цій групі, запустивши secpol.mscта переглянувши:

  • Налаштування безпеки
    • Місцева політика
    • Призначення прав користувача
      • Резервне копіювання файлів і каталогів введіть тут опис зображення

Привілей достатньо потужний, що ви не хочете надавати його вольово-невольно користувачам; тому він надається лише одній групі операторів резервного копіювання .

І тому зараз, якщо ви використовуєте програмне забезпечення для резервного копіювання, ви просто переконайтеся, що це програмне забезпечення працює як користувач із SeBackupPrivilege(тобто є членом групи операторів резервного копіювання ). І тоді ваше програмне забезпечення для резервного копіювання може виконати завдання резервного копіювання файлів.

Але ви все одно повинні запустити його

Більшість програм резервного копіювання ви просто запускаєте. Або ви можете запустити його за плановим завданням.

Але резервне копіювання Windows - це не лише програма, яку ви запускаєте; це послуга . А щоб запустити, зупинити чи налаштувати служби, ви (як правило) повинні бути членом групи адміністраторів .

Ось що вас тут зупиняє. Ви дивитесь на одне конкретне програмне забезпечення для резервного копіювання, яке вирішило встановити себе як послугу, і вирішило, що вам потрібно бути адміністратором для налаштування.

А оператори резервного копіювання не мають дозволу ACL для запуску / зупинки послуг.

Ось що вас спотикає.

  • Оператори резервного копіювання можуть обійти лише перевірки ACL NTFS
  • вони не можуть запустити / зупинити / налаштувати служби
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.