2 votes

M.S. Dousti avatar

Pourquoi un membre du groupe "Opérateurs de sauvegarde" se voit-il refuser l'exécution d'une sauvegarde ?

Demandé el 11 de Juin, 2013
Quand la question a-t-elle été
13025 affichage
Nombre de visites la question a
4 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Sur mon Windows 7, j'ai créé un utilisateur, BackupUser5 et l'a ajouté au groupe "Opérateurs de secours". Par conception :

Les membres de ce groupe peuvent sauvegarder et restaurer des fichiers sur un ordinateur, indépendamment des autorisations qui protègent ces fichiers. En effet, le droit d'effectuer une sauvegarde a la priorité sur toutes les autorisations relatives aux fichiers. Les membres de ce groupe ne peuvent pas modifier les paramètres de sécurité.

J'ai lancé Windows "Backup and Restore" en mode élevé (élevé avec BackupUser5 autorisations). J'ai ensuite appuyé sur le bouton "Sauvegarder maintenant" (comme indiqué ci-dessous). Windows m'a demandé des informations d'identification, et j'ai saisi les informations d'identification pour BackupUser5 . Voici les résultats :

enter image description here

Comme indiqué ci-dessus, j'ai reçu un message de refus d'accès. Je ne sais pas pourquoi ? (Bien sûr, si j'utilise un identifiant d'administrateur, je n'obtiendrai pas ce message d'erreur. La question est de savoir pourquoi un membre "Opérateurs de sauvegarde" ne peut pas faire cela).

Demandé el 11 de Juin, 2013 par M.S. Dousti

Réponses

Trop de publicités?

1voto

Andre Kirpitch avatar
Andre Kirpitch Points 103

Si vous recherchez absolument une solution incrémentale, cette réponse ne vous sera peut-être pas d'une grande aide, mais si vous pouvez vous contenter d'une image système, l'outil de ligne de commande wbadmin fera l'affaire : http://technet.microsoft.com/en-us/library/cc742083.aspx

Pour une raison quelconque, la version de l'interface graphique nécessite des privilèges d'administrateur complets, mais pas la ligne de commande. Assurez-vous simplement de lancer une invite élevée (Exécuter en tant qu'administrateur... sur cmd.exe, même si ce n'est que pour obtenir les privilèges des opérateurs de sauvegarde). Jusqu'à présent, je n'ai pas été en mesure de restaurer une image système avec ces privilèges (admin toujours requis), mais je n'ai pas beaucoup essayé. Vous ne pouvez pas non plus monter l'image de sauvegarde (.vhd), mais vous pouvez l'ouvrir avec des outils tiers (j'utilise 7-zip, il y en a probablement d'autres) pour récupérer des fichiers.

Répondu el 17 de Septembre, 2013 par Andre Kirpitch (103 Points )

0voto

TheCleaner avatar
TheCleaner Points 2372

Je ne l'ai pas vérifié, mais je pense que l'UAC l'empêche de fonctionner. Je pense que vous devez avoir le compte en tant qu'administrateur pour l'exécuter correctement, même si l'UAC est désactivé (mais vous pouvez essayer de désactiver l'UAC et voir si cela fonctionne soudainement). Le groupe Opérateurs de sauvegarde contiendrait les utilisateurs qui ont le droit de sauvegarder des fichiers et de contourner la sécurité des fichiers, mais il ne leur donnerait pas nécessairement le droit d'exécuter des tâches planifiées ou des programmes avec des autorisations élevées. L'idée est que si vous placez quelqu'un dans le groupe Opérateurs de sauvegarde sur un PC distant, vous pouvez exécuter une tâche de sauvegarde à distance qui se connectera à ce PC et aura le droit de sauvegarder ses fichiers.

(Cependant, la question elle-même convient mieux à superuser.com et je vote donc pour la migrer là-bas, même si ma "réponse" s'avère être la bonne).

Répondu el 12 de Juin, 2013 par TheCleaner (2372 Points )

0voto

Greg Askew avatar
Greg Askew Points 269
  • Lancer l'explorateur de processus de SysInternals
  • Sélectionnez le processus qui exécute la sauvegarde
  • Cliquez sur le bouton droit de la souris et sélectionnez Propriétés
  • Dans l'onglet Sécurité, confirmez que le privilège SeBackupPrivilege est répertorié.

Vous devez également exécuter gpresult /h et confirmer que le droit de "se connecter en tant que travail par lots" est effectivement attribué aux opérateurs de sauvegarde, et que le droit de refuser la connexion en tant que travail par lots ne l'est pas.

Répondu el 12 de Juin, 2013 par Greg Askew (269 Points )

0voto

Remi Despres-Smyth avatar
Remi Despres-Smyth Points 1500

Il y a deux choses qui n'ont rien à voir l'une avec l'autre.

Normalement, les autorisations NTFS empêchent les autres utilisateurs de lire vos fichiers. Pour que quelqu'un puisse lire les fichiers de votre profil, vous devez modifier l'attribut "Liste de contrôle d'accès (ACL) pour leur accorder une autorisation de lecture :

enter image description here

Mais cela signifierait que pour sauvegarder tous les fichiers d'un ordinateur, l'utilisateur qui exécute la sauvegarde devrait se voir attribuer les droits suivants Read autorisation :

  • à chaque fichier
  • dans chaque dossier
  • dans chaque profil

C'est tout simplement pénible, et ce n'est pas quelque chose que vous voulez faire.

Saisir le privilège de sauvegarde

Heureusement, Windows NT a créé un moyen pour certain de pouvoir contourner tous les contrôles de sécurité de l'ACL NTFS, en lisant des fichiers qu'ils n'ont pas le droit de lire, afin de pouvoir les sauvegarder.

Il s'agit d'une "privilège" appelé SeBackupPrivilege

SE_BACKUP_NAME

Nécessaire pour effectuer des opérations de sauvegarde. Ce privilège permet au système d'accorder un contrôle d'accès en lecture à n'importe quel fichier, quel que soit le nom de l'utilisateur. liste de contrôle d'accès (ACL) spécifié pour le fichier. Toute demande d'accès autre que la lecture est toujours évaluée à l'aide de la liste de contrôle d'accès. Ce privilège est requis par la RegSaveKey et RegSaveKeyEx fonctions. Les droits d'accès suivants sont accordés si ce privilège est détenu :

  • READ_CONTROL
  • ACCESS_SYSTEM_SECURITY
  • FILE_GENERIC_READ
  • FILE_TRAVERSE

Droit de l'utilisateur : Sauvegarder des fichiers et des répertoires.

Si vous disposez de ce privilège, vous contournez tous les contrôles de sécurité NTFS si vous tentez d'ouvrir un fichier dans le format "Mode de sauvegarde . Lorsque le logiciel de sauvegarde tente d'ouvrir un fichier, il inclut le fichier FILE_FLAG_BACKUP_SEMANTICS drapeau :

SÉMANTIQUE DU DRAPEAU DE SAUVEGARDE DE FICHIER

Le fichier est en cours d'ouverture ou de création pour une opération de sauvegarde ou de restauration. Le système s'assure que le processus appelant passe outre les contrôles de sécurité des fichiers lorsque le processus a SE_BACKUP_NAME et SE_RESTORE_NAME privilèges.

Accorder le Sauvegarde des fichiers et des répertoires privilège

Les privilèges sont accordés aux utilisateurs ou aux groupes. Windows est livré avec un groupe qui possède déjà les privilèges SeBackupPrivilege (alias "Sauvegarde des fichiers et des répertoires" ) :

  • Nom du groupe : Opérateurs de secours
  • SID : S-1-5-32-551
  • Description : Un groupe intégré. Par défaut, le groupe n'a pas de membres. Les opérateurs de sauvegarde peuvent sauvegarder et restaurer tous les fichiers d'un ordinateur, quelles que soient les autorisations qui protègent ces fichiers. Les opérateurs de sauvegarde peuvent également se connecter à l'ordinateur et l'arrêter.

Vous pouvez voir ce privilège attribué à ce groupe en exécutant la commande suivante secpol.msc et de naviguer jusqu'à :

  • Paramètres de sécurité
    • Politiques locales
    • Attribution des droits d'utilisateur
      • Sauvegarde des fichiers et des répertoires enter image description here

Ce privilège est suffisamment puissant pour ne pas l'accorder à tort et à travers aux utilisateurs ; c'est pourquoi il n'est accordé qu'à la seule personne qui a le droit d'utiliser ce privilège. Opérateurs de secours groupe.

Ainsi, si vous exécutez un logiciel de sauvegarde, il vous suffit de vous assurer que le logiciel s'exécute en tant qu'utilisateur avec l'attribut SeBackupPrivilege (c'est-à-dire qu'il est membre de la Opérateurs de secours ). Votre logiciel de sauvegarde peut alors effectuer son travail de sauvegarde des fichiers.

Mais il faut quand même l'exécuter

La plupart des logiciels de sauvegarde s'exécutent simplement. Vous pouvez également l'exécuter dans le cadre d'une tâche programmée.

Mais Windows Backup n'est pas seulement un programme que vous exécutez, c'est un système de gestion des données. service . Et pour démarrer, arrêter ou configurer services vous devez (généralement) être membre de l'Union européenne. Administrateurs groupe.

C'est ce qui vous empêche de venir ici. Vous recherchez un logiciel de sauvegarde particulier, qui s'est produite de décider de s'installer en tant que service, et s'est produite de décider que vous avez besoin d'être un Administrateur à configurer.

Les opérateurs de sauvegarde n'ont pas d'autorisations ACL pour démarrer/arrêter les services.

C'est ce qui vous fait trébucher.

  • Les opérateurs de sauvegarde peuvent uniquement contourner les contrôles de l'ACL NTFS.
  • ils ne peuvent pas démarrer/arrêter/configurer les services
Répondu el 27 de Avril, 2019 par Remi Despres-Smyth (1500 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X