「BackupOperators」グループのメンバーがバックアップの実行を拒否されるのはなぜですか?
Windows 7で、ユーザーBackupUser5を作成し、そのユーザーを「バックアップオペレーター」グループに追加しました。 設計による :
このグループのメンバーは、ファイルを保護するアクセス許可に関係なく、コンピューター上のファイルをバックアップおよび復元できます。これは、バックアップを実行する権利がすべてのファイルのアクセス許可よりも優先されるためです。このグループのメンバーは、セキュリティ設定を変更できません。
Windowsの「バックアップと復元」を昇格モードで実行しました(BackupUser5権限で昇格)。次に、[今すぐバックアップ]ボタンを押しました(以下を参照)。 Windowsが資格情報を要求し、私はBackupUser5の資格情報を入力しました。結果は次のとおりです。
上に示したように、アクセス拒否のメッセージが表示されました。理由がわかりませんか? (もちろん、管理者の資格情報を使用してもエラーは発生しません。問題は、「バックアップオペレーター」メンバーがそれを実行できない理由です。)
インクリメンタルソリューションを絶対に探している場合、この回答はあまり役に立たないかもしれませんが、システムイメージを受け入れることができれば、wbadminコマンドラインツールで次のことができます。 http://technet.Microsoft .com/en-us/library/cc742083.aspx
何らかの理由で、GUIバージョンには完全な管理者権限が必要ですが、コマンドラインには必要ありません。昇格されたプロンプトを実行するようにしてください(バックアップオペレーターの特権を取得するためだけですが、cmd.exeで管理者として実行...)。これまでのところ、これらの権限でシステムイメージの復元を行うことはできませんでした(管理者は引き続き必要です)が、あまり試していません。バックアップイメージ(.vhd)をマウントすることもできませんが、サードパーティのツール(7-Zipを使用していますが、おそらく他にもいくつかあります)で開いてファイルを復元することはできます。
私はそれを精査していませんが、UACがそれを実行するのを妨げていると思います。 UACが無効になっている場合でも、正しく実行するには、管理者としてアカウントを持っている必要があると思います(ただし、UACを無効にして、突然機能するかどうかを確認できます)。 Backup Operatorsグループは、ファイルをバックアップしてファイルのセキュリティを回避する権限を持つユーザーを保持しますが、スケジュールされたタスクまたはプログラムを昇格された権限で実行する権限を必ずしもユーザーに与えるわけではありません。リモートPCのBackupOperatorsグループに誰かを配置すると、そのPCに接続し、そのファイルをバックアップする権利を持つバックアップジョブをリモートで実行できるという考え方です。
(ただし、質問自体はsuperuser.comに適しているため、「答え」が正しいことがわかったとしても、そこに移行することに投票します)
- SysInternalsのProcessExplorerを実行する
- バックアップを実行しているプロセスを選択します
- 右クリックして[プロパティ]を選択します
- [セキュリティ]タブで、SeBackupPrivilegeがリストされていることを確認します。
また、gpresult/hを実行して、「バッチジョブとしてログオン」権限が実際にバックアップオペレータに割り当てられていることを確認し、バッチジョブとしてのログオンを拒否しないことを確認する必要があります。
ここで起こっている2つの無関係なことがあります。
通常、NTFSアクセス許可は、他のユーザーがファイルを読み取ることを防ぎます。誰かがあなたのプロファイル内のファイルを読み取れるようにするには、「アクセス制御リスト」(ACL)を変更して、読み取り権限を付与する必要があります。
ただし、これは、コンピューター上のすべてのファイルをバックアップするために、バックアップを実行するユーザーにRead権限を付与する必要があることを意味します。
- すべてのファイルに
- すべてのフォルダに
- すべてのプロファイルで
それはただの苦痛です。実際にやりたいことではありません。
バックアップ権限を入力してください
幸い、Windows NTは、certainユーザーが、NTFS ACLセキュリティチェックをすべてバイパスして、読み取る権限のないファイルを読み取ってバックアップできるようにする方法を作成しました。
これは、 SeBackupPrivilege と呼ばれる特別な "privilege"です。
SE_BACKUP_NAME
バックアップ操作を実行するために必要です。この特権により、システムは、ファイルに指定された アクセス制御リスト (ACL)に関係なく、すべての読み取りアクセス制御を任意のファイルに付与します。読み取り以外のアクセス要求は、引き続きACLで評価されます。この特権は、RegSaveKeyおよび RegSaveKeyEx 関数で必要です。この特権が保持されている場合、次のアクセス権が付与されます。
- READ_CONTROL
- ACCESS_SYSTEM_SECURITY
- FILE_GENERIC_READ
- FILE_TRAVERSE
ユーザー権利:ファイルとディレクトリをバックアップします。
この特権を持っている場合、「バックアップモード」でファイルを開こうとすると、すべてのNTFSセキュリティチェックをバイパスします。バックアップソフトウェアがファイルを開こうとすると、 FILE_FLAG_BACKUP_SEMANTICS フラグが含まれます。
FILE_FLAG_BACKUP_SEMANTICS
ファイルは、バックアップまたは復元操作のために開かれている、または作成されています。システムは、プロセスがSE_BACKUP_NAMEおよびSE_RESTORE_NAME特権を持っている場合に、呼び出しプロセスがファイルセキュリティチェックをオーバーライドすることを保証します。
ファイルとディレクトリのバックアップ権限の付与
特権はユーザーまたはグループに付与されます。 Windowsには、すでにSeBackupPrivilege(別名 "バックアップファイルとディレクトリ")特権が有効になっているグループが付属しています。
- グループ名:バックアップオペレーター
- [〜#〜] sid [〜#〜]:
S-1-5-32-551- 説明:組み込みグループ。デフォルトでは、グループにはメンバーがありません。バックアップオペレータは、それらのファイルを保護する権限に関係なく、コンピュータ上のすべてのファイルをバックアップおよび復元できます。バックアップオペレータは、コンピュータにログオンしてシャットダウンすることもできます。
secpol.mscを実行し、次の場所を参照すると、このグループに割り当てられているこの特権を確認できます。
- セキュリティ設定
- ローカルポリシー
- ユーザー権利の割り当て
- ファイルとディレクトリをバックアップする
![enter image description here]()
- ファイルとディレクトリをバックアップする
この特権は十分に強力なので、ユーザーに気ままに付与したくはありません。これが、1つのBackup Operatorsグループにのみ付与される理由です。
したがって、バックアップソフトウェアを実行している場合は、ソフトウェアがSeBackupPrivilege(つまり、Backup Operators)グループのメンバーとして実行されていることを確認するだけです。そして、あなたのバックアップソフトウェアはそれがファイルをバックアップする仕事をすることができます。
しかし、あなたはまだそれを実行する必要があります
単に実行するほとんどのバックアップソフトウェア。または、スケジュールされたタスクで実行することもできます。
ただし、Windowsバックアップは実行するプログラムだけではありません。 serviceです。また、開始、停止、または構成するには、services(通常)Administratorsグループのメンバーである必要があります。
それがここであなたを止めているものです。あなたはある特定のバックアップソフトウェアを見ています。それは起こったそれ自体をサービスとしてインストールすることを決定し、起こったそれを決定します構成するには、管理者である必要があります。
また、バックアップオペレーターには、サービスを開始/停止するためのACL権限がありません。
それがあなたをつまずかせているものです。
- バックアップオペレータは、NTFSACLチェックのみをバイパスできます
- サービスを開始/停止/構成することはできません