Тут відбуваються дві непов'язані речі.
Зазвичай дозволи NTFS не дозволяють іншим користувачам читати ваші файли. Для того, щоб хтось міг читати файли у вашому профілі, вам доведеться змінити "Список контролю доступу" (ACL), щоб надати їм дозвіл на читання:
Але це означатиме, що для резервного копіювання всіх файлів на комп’ютері користувачеві, що працює з резервною копією, потрібно буде отримати Read
дозвіл:
- до кожного файлу
- у кожній папці
- у кожному профілі
Це просто біль; а не те, що ти хочеш насправді робити.
Введіть привілей резервного копіювання
На щастя, Windows NT створив спосіб, коли певні користувачі змогли обійти всі ці перевірки безпеки NTFS ACL, читаючи файли, які вони не мають дозволу на читання, тому вони можуть створювати резервні копії.
Це особлива «привілей» називаєтьсяSeBackupPrivilege
SE_BACKUP_NAME
Необхідна для виконання операцій із резервного копіювання. Цей привілей змушує систему надавати весь контроль доступу для читання будь-якому файлу, незалежно від списку контролю доступу (ACL), визначеного для файлу. Будь-який запит на доступ, окрім читання, все ще оцінюється за допомогою ACL. Цей привілей необхідний функціям RegSaveKey та RegSaveKeyEx . Наступні права доступу надаються, якщо ця привілей зберігається:
- READ_CONTROL
- ACCESS_SYSTEM_SECURITY
- FILE_GENERIC_READ
- FILE_TRAVERSE
Право користувача: Резервне копіювання файлів та каталогів.
Якщо у вас є цей привілей, ви обминаєте всі перевірки безпеки NTFS, якщо намагаєтесь відкрити файл у режимі "резервного копіювання" . Коли програмне забезпечення для резервного копіювання намагається відкрити файл, воно включає FILE_FLAG_BACKUP_SEMANTICS
прапор:
FILE_FLAG_BACKUP_SEMANTICS
Файл відкривається або створюється для операції з резервного копіювання або відновлення. Система забезпечує, щоб процес виклику переосмислював перевірку безпеки файлів, коли процес має права SE_BACKUP_NAME і SE_RESTORE_NAME .
Надання привілеїв для резервного копіювання файлів та каталогів
Пільги надаються користувачам або групам. Windows постачається з групою, у якій вже включено привілей SeBackupPrivilege
(також "Файли резервного копіювання та каталоги" ):
- Назва групи : Оператори резервного копіювання
- SID :
S-1-5-32-551
- Опис: Вбудована група. За замовчуванням у групи немає членів. Оператори резервного копіювання можуть створити резервну копію та відновити всі файли на комп'ютері, незалежно від дозволів, які захищають ці файли. Оператори резервного копіювання також можуть увійти на комп'ютер і вимкнути його.
Ви можете бачити цю привілей, присвоєну цій групі, запустивши secpol.msc
та переглянувши:
- Налаштування безпеки
- Місцева політика
- Призначення прав користувача
- Резервне копіювання файлів і каталогів
Привілей достатньо потужний, що ви не хочете надавати його вольово-невольно користувачам; тому він надається лише одній групі операторів резервного копіювання .
І тому зараз, якщо ви використовуєте програмне забезпечення для резервного копіювання, ви просто переконайтеся, що це програмне забезпечення працює як користувач із SeBackupPrivilege
(тобто є членом групи операторів резервного копіювання ). І тоді ваше програмне забезпечення для резервного копіювання може виконати завдання резервного копіювання файлів.
Але ви все одно повинні запустити його
Більшість програм резервного копіювання ви просто запускаєте. Або ви можете запустити його за плановим завданням.
Але резервне копіювання Windows - це не лише програма, яку ви запускаєте; це послуга . А щоб запустити, зупинити чи налаштувати служби, ви (як правило) повинні бути членом групи адміністраторів .
Ось що вас тут зупиняє. Ви дивитесь на одне конкретне програмне забезпечення для резервного копіювання, яке вирішило встановити себе як послугу, і вирішило, що вам потрібно бути адміністратором для налаштування.
А оператори резервного копіювання не мають дозволу ACL для запуску / зупинки послуг.
Ось що вас спотикає.
- Оператори резервного копіювання можуть обійти лише перевірки ACL NTFS
- вони не можуть запустити / зупинити / налаштувати служби
Log on as a batch job
даєтьсяAdministrators
,Backup Operators
іPerformance Log Users
. Хоча це неявно дає право моємуBackupUser5
користувачеві, я явно надав йому це право, вийшов із системи, знову увійшов і повторив процедуру безрезультатно :(