Por que um membro do grupo "Operadores de backup" não pode executar o backup?

2

No meu Windows 7, criei um usuário BackupUser5e o adicionei ao grupo "Operadores de backup". Por design :

Os membros deste grupo podem fazer backup e restaurar arquivos em um computador, independentemente de quaisquer permissões que protejam esses arquivos. Isso ocorre porque o direito de executar um backup tem precedência sobre todas as permissões de arquivo. Os membros deste grupo não podem alterar as configurações de segurança.

Executei o Windows "Backup and Restore" no modo elevado (elevado com BackupUser5permissões). Em seguida, pressionei o botão "Fazer backup agora" (como mostrado abaixo). O Windows solicitou credenciais e eu inseri as credenciais BackupUser5. Aqui estão os resultados:

insira a descrição da imagem aqui

Como mostrado acima, recebi uma mensagem de acesso negado. Não sei porque? (Obviamente, se eu usar uma credencial de administrador, não receberei o erro. A questão é: por que um membro de "Operadores de backup" não pode fazer isso?)

MS Dousti
fonte
@TheCleaner: O privilégio (à direita) Log on as a batch jobé dado a Administrators, Backup Operatorse Performance Log Users. Enquanto isso dá implicitamente o direito à minha BackupUser5utilizador, dei explicitamente que este direito, desconectado, conectado no de volta, e repetiu o procedimento, sem sucesso :(
MS Dousti
Tente não correr elevado, que pode exigir privs de administração que os operadores de backup não tem ...
Keltari
@Keltari: Desculpe, isso não quer trabalhar ...
MS Dousti

Respostas:

1

Se você está absolutamente procurando uma solução incremental, esta resposta pode não ser de grande ajuda, mas se você puder se contentar com uma imagem do sistema, a ferramenta de linha de comando wbadmin fará: http://technet.microsoft.com/en -us / library / cc742083.aspx

Por alguma razão, a versão da GUI requer privilégios de administrador completos, mas a linha de comando não. Apenas certifique-se de executar um prompt elevado (Executar como administrador ... no cmd.exe, mesmo que seja apenas para obter privilégios dos operadores de backup). Até agora, não consegui restaurar a imagem do sistema com esses privilégios (ainda é necessário o administrador), mas não tentei muito. Você também não pode montar a imagem de backup (.vhd), mas pode abri-la com ferramentas de terceiros (eu uso o 7-zip, provavelmente existem várias outras) para recuperar arquivos.

user255027
fonte
0
  • Execute o Process Explorer da SysInternals
  • Selecione o processo que está executando o backup
  • Clique com o botão direito e selecione Propriedades
  • Na guia Segurança, confirme se o SeBackupPrivilege está listado.

Você também deve executar gpresult / he confirmar que o direito "Fazer logon como um trabalho em lotes" está realmente atribuído aos Operadores de Backup e Negar Logon como um trabalho em lotes não.

Greg Askew
fonte
O processo de backup sdclt.exepossui o SeBackupPrivilege. O comando gpresult /h out.htmllista as associações de grupo para o usuário atual (que inclui Operadores de Backup), mas não revela os direitos de usuário atribuídos a ele. Tenho certeza de que ele tem o direito "Logon como um trabalho em lotes" e não é negado o logon como trabalho em lotes. Para confirmar, simplesmente executei whoami /privem um prompt de comando elevado, que lista todos os privilégios atribuídos ao usuário.
MS Dousti
0

Eu ainda não testei, mas acredito que o UAC está impedindo sua execução. Acho que você precisaria ter a conta como administrador para executá-la corretamente, mesmo se o UAC estiver desativado (mas você pode tentar desabilitar o UAC e verificar se de repente funciona). O grupo Operadores de Backup manteria os usuários com o direito de fazer backup de arquivos e contornar a segurança dos arquivos, mas não concederá necessariamente a eles direitos para executar tarefas ou programas agendados com permissões elevadas. A idéia é que, se você colocar alguém no grupo Operadores de Backup em um PC remoto, poderá executar um trabalho de backup remotamente que se conectaria a esse PC e tenha o direito de fazer backup de seus arquivos.

(No entanto, a pergunta em si é mais adequada para superuser.com, por isso estou votando para migrá-la para lá, mesmo que minha "resposta" seja correta)

O limpador
fonte
Obrigado. Gostaria de testar sua ideia, mas preciso de um pouco de ajuda. Você pode me orientar sobre como executar uma tarefa de backup remotamente? Devo seguir as etapas deste artigo da Base de Dados de Conhecimento da MS ?
MS Dousti
0

Há duas coisas não relacionadas acontecendo aqui.

Normalmente, as permissões NTFS impedem que outros usuários leiam seus arquivos. Para que alguém possa ler arquivos no seu perfil, você precisa modificar a "Lista de Controle de Acesso" (ACL) para conceder permissão de leitura:

insira a descrição da imagem aqui

Mas isso significa que, para fazer backup de todos os arquivos em um computador, o usuário que está executando o backup precisa ter Readpermissão:

  • para todo arquivo
  • em todas as pastas
  • em todo perfil

Isso é apenas uma dor; e não algo que você realmente queira fazer.

Digite o privilégio de backup

Felizmente, o Windows NT criou uma maneira de certos usuários serem capazes de ignorar todas essas verificações de segurança da NTFS ACL, lendo arquivos que eles não têm permissão para ler, para que possam fazer backup deles.

É um "privilégio" especial chamadoSeBackupPrivilege

SE_BACKUP_NAME

Necessário para executar operações de backup. Esse privilégio faz com que o sistema conceda todo o controle de acesso de leitura a qualquer arquivo, independentemente da lista de controle de acesso (ACL) especificada para o arquivo. Qualquer solicitação de acesso que não seja de leitura ainda é avaliada com a ACL. Esse privilégio é exigido pelos RegSaveKey e RegSaveKeyEx funções. Os seguintes direitos de acesso são concedidos se esse privilégio for mantido:

  • READ_CONTROL
  • ACCESS_SYSTEM_SECURITY
  • FILE_GENERIC_READ
  • FILE_TRAVERSE

Direito do usuário: Faça backup de arquivos e diretórios.

Se você tiver esse privilégio, ignore todas as verificações de segurança do NTFS se tentar abrir um arquivo no "modo de backup" . Quando o software de backup tenta abrir um arquivo, ele inclui o FILE_FLAG_BACKUP_SEMANTICSsinalizador:

FILE_FLAG_BACKUP_SEMANTICS

O arquivo está sendo aberto ou criado para uma operação de backup ou restauração. O sistema garante que o processo de chamada substitua as verificações de segurança de arquivo quando o processo tiver privilégios SE_BACKUP_NAME e SE_RESTORE_NAME .

Concedendo o privilégio de backup de arquivos e diretórios

Privilégios são concedidos a usuários ou grupos. O Windows é enviado com um grupo que já possui o privilégio SeBackupPrivilege(também conhecido como "arquivos e diretórios de backup" ) ativado:

  • Nome do grupo : Operadores de Backup
  • SID :S-1-5-32-551
  • Descrição: um grupo interno. Por padrão, o grupo não tem membros. Os operadores de backup podem fazer backup e restaurar todos os arquivos em um computador, independentemente das permissões que protegem esses arquivos. Os operadores de backup também podem fazer logon no computador e desligá-lo.

Você pode ver esse privilégio atribuído a esse grupo executando secpol.msce navegando para:

  • Configurações de segurança
    • Políticas locais
    • Atribuições de direitos de usuário
      • Fazer backup de arquivos e diretórios insira a descrição da imagem aqui

O privilégio é poderoso o suficiente para que você não queira concedê-lo à vontade aos usuários; é por isso que é concedido apenas ao grupo de operadores de backup .

E agora, se você estiver executando um software de backup, verifique se o software está sendo executado como usuário com o grupo SeBackupPrivilege(isto é, um membro do Operadores de Backup ). E então o seu software de backup pode fazer o trabalho de fazer backup de arquivos.

Mas você ainda precisa executá-lo

A maioria dos softwares de backup você simplesmente executa. Ou você pode executá-lo em uma tarefa agendada.

Mas o Backup do Windows não é apenas um programa que você executa; é um serviço . E, para iniciar, interromper ou configurar serviços, você (geralmente) precisa ser membro do grupo Administradores .

É isso que está te impedindo aqui. Você está olhando para um software de backup particular, que aconteceu a decidir instalar-se como um serviço, e aconteceu para decidir que você precisa ser um administrador para configurar.

E os operadores de backup não têm permissões de ACL para iniciar / parar serviços.

É isso que está enganando você.

  • Os operadores de backup podem ignorar apenas as verificações de NTFS ACL
  • eles não podem iniciar / parar / configurar serviços
Ian Boyd
fonte