Gruppe der Windows-Sicherungsoperatoren für die Familienedition

631
Gregory MOUSSAT

Bei Windows Pro-Versionen gibt es eine Gruppe "Sicherungsoperatoren", die den Zugriff auf alle Dateien zu Sicherungszwecken ermöglicht.

Bei der Windows 10-Familie sehe ich diese Gruppe nicht (mit dem Befehl net localgroup).
Ich möchte einen Benutzer für automatisierte Sicherungen erstellen. Ohne diese Gruppe kann der Benutzer jedoch keine Dateien sichern, die sich bei den Benutzern anderer Benutzer befinden (dies ist das gewünschte Verhalten, auch wenn der Sicherungsbenutzer Administrator ist).

Es gibt wahrscheinlich einen Weg, um dieses Ziel zu erreichen, weil kommerzielle Backup-Software dies tut.
Hat jemand eine Idee?

0
Haben Sie die Sicherungsbenutzer-Berechtigung für die Wohnung des anderen Benutzers erteilt? harrymc vor 6 Jahren 0

2 Antworten auf die Frage

2
Ben N

Der einfachste Weg, um das zu erreichen, was Sie möchten, besteht darin, den Sicherungsprozess als Administrator auszuführen. Administratoren haben uneingeschränkten Zugriff auf alle Profilordner aller Benutzer. Sie müssen jedoch erhöht ausgeführt werden, damit dieser Zugriffssteuerungseintrag angewendet werden kann.

Wenn Sie die Sicherung nicht mit erhöhten Rechten ausführen können, machen Sie den Sicherungsbenutzer zu einem Administrator, melden Sie sich als er an und versuchen Sie, in die Profilordner anderer Benutzer zu navigieren. Windows Explorer informiert Sie darüber, dass der Zugriff verweigert wird. Sie erhalten jedoch eine Schaltfläche, über die der aktuelle Benutzer dauerhaft auf diesen Ordner zugreifen kann. Danach kann der Sicherungsbenutzer auch ohne Erhöhung auf das Profil dieses anderen Benutzers zugreifen.

Informationen darüber, wie Sie den Effekt der Gruppe der Sicherungsoperatoren replizieren können, finden Sie unterhalb der Zeile.

Das Besondere an der Gruppe der Sicherungsoperatoren ist, dass standardmäßig eine Handvoll Privilegien gewährt werden :

  • SeBackupPrivilege, "Dateien und Verzeichnisse sichern"
  • SeRestorePrivilege, "Dateien und Verzeichnisse wiederherstellen"
  • SeShutdownPrivilege, "das System herunterfahren"
  • SeBatchLogonRight, "als Batch-Job anmelden"

Berechtigungen können über den Abschnitt Zuweisung von Benutzerrechten des Tools für lokale Sicherheitsrichtlinien zugewiesen werden secpol.msc. Dieses Tool ist jedoch möglicherweise nicht für Nicht-Pro-Editionen von Windows verfügbar. Um die Berechtigungen für andere Editionen anzupassen, können Sie das NTRights- Dienstprogramm aus dem Windows Server 2003 Resource Kit verwenden . Trotz des Namens kann dieses Kit auf jeder modernen Windows-Version installiert werden. Sie können NTRights verwenden, um ein Privileg zu gewähren, indem Sie eine Eingabeaufforderung für die Verwaltung öffnen und einen Befehl wie folgt ausführen:

ntrights -u YourBackupUser +r SeSomePrivilege

Ersetzen Sie YourBackupUserdurch den SAM-Kontonamen des Benutzers / der Gruppe, der gesichert und wiederhergestellt werden soll. Die SAM-Kontonamen werden in der Ausgabe von net useroder aufgeführt net localgroup(ignorieren Sie das Sternchen vor dem Gruppennamen). Ersetzen Sie SeSomePrivilegedurch die ID des zu erteilenden Privilegs. Wenn Sie ein Privileg später widerrufen möchten, führen Sie denselben Befehl aus, jedoch -ranstelle von +r.

Beachten Sie jedoch, dass nur speziell geschriebene Software diese Privilegien nutzen kann. Selbst wenn Berechtigungen erteilt werden, müssen die Berechtigungen pro Prozess aktiviert werden, bevor sie wirksam werden. Dann muss das Programm spezielle Lese- / Schreib-APIs aufrufen, die Sicherheitsprüfungen umgehen. Diese Privilegien reichen auch nicht aus, um Schattenkopien zu erstellen. Dazu muss ein Prozess als Mitglied der Gruppe Administratoren ausgeführt werden. Selbst die Mitgliedschaft in der Gruppe der echten Sicherungsoperatoren reicht dafür nicht aus.

0
mappu

(Entschuldigung, ich habe nicht genug Vertreter, um dies zu einer Antwort von @Ben N zu kommentieren.)

Ja, das Hinzufügen von SeBackupPrivilegeusw. zu einem regulären Konto reicht aus, um das FILE_FLAG_BACKUP_SEMANTICSFlag für CreateFileden BackupReadAPI-Aufruf zu verwenden und ihn zu verwenden .

ABER es reicht nicht aus, einen VSS-Snapshot aufzunehmen (etwas, das ein Backup-Programm gerne machen würde).

Um einen VSS-Snapshot zu erstellen, muss der Benutzer dies entweder tun

  • Lokales System oder
  • Lokaler Dienst / Netzwerkdienst (Server 2003 oder höher) oder
  • Ein Mitglied der lokalen Administratorengruppe oder
  • Ein Mitglied der lokalen Gruppe der Sicherungsoperatoren oder
  • Habe das Programm auf eine bestimmte Weise in der Registry auf die Positivliste gesetzt (obwohl dies bei meinen Tests nicht funktioniert hat).
Schöner Fang! Ich vermute, dass das Fummeln mit der DCOM-Konfiguration dem Benutzer möglicherweise die Verwendung des Volume Shadow Copy-Dienstes ermöglicht. Ich werde einige Tests durchführen und meine Antwort aktualisieren, wenn ich etwas Nützliches finde. Ben N vor 6 Jahren 0
Hmm, [es sieht so aus] (https://stackoverflow.com/q/7530540/2825369) selbst wenn Sie ein Mitglied der Sicherungsoperatoren sind, reicht es nicht aus, Schattenkopien zu erstellen. Wenn Sie [diesen Code] (https://stackoverflow.com/a/14213304/2825369) auf einem Pro-Computer als Sicherungsoperator ausführen, wird kein Initialisierungsfehler wie bei einem normalen Benutzer erzeugt, sondern das Antwortobjekt `$ s1` ein Zugriff verweigerter Fehler ("ReturnValue" 1) und keine Schattenkopie wird erstellt. Ich habe ein paar Registry-Phänomene gemacht, um die echte Gruppe der Backup-Operatoren auf einer Home-Edition zu erstellen, und dort den gleichen Effekt erzielt. Ben N vor 6 Jahren 0
(Das Downvote gehört nicht mir, FWIW.) Ben N vor 6 Jahren 0

Verwandte Probleme