A maneira mais simples de realizar o que você deseja é fazer com que o processo de backup seja executado como administrador. Os administradores têm acesso total às pastas de perfil de todos os usuários, mas devem ser elevados para que essa entrada de controle de acesso seja aplicada.
Se você não conseguir executar o backup como um todo, torne o usuário de backup um administrador, faça logon como ele e tente navegar nas pastas de perfil de outros usuários. O Windows Explorer informará que o acesso foi negado, mas fornecerá um botão que concede permanentemente o acesso do usuário atual a essa pasta. Depois disso, o usuário de backup poderá acessar o perfil do outro usuário mesmo sem elevação.
Informações sobre como replicar o efeito do grupo Operadores de backup seguem abaixo da linha.
Grande parte do que torna o grupo de operadores de backup especial é que, por padrão, ele recebe um punhado de privilégios :
-
SeBackupPrivilege
, "fazer backup de arquivos e diretórios" -
SeRestorePrivilege
, "restaurar arquivos e diretórios" -
SeShutdownPrivilege
, "encerre o sistema" -
SeBatchLogonRight
, "faça o login como um trabalho em lote"
Os privilégios podem ser atribuídos usando a seção Atribuição de direitos de usuário da ferramenta Política de segurança local, secpol.msc
. Essa ferramenta pode não existir em edições não Pro do Windows. Para ajustar privilégios em outras edições, você pode usar o utilitário NTRights do Windows Server 2003 Resource Kit . Apesar do nome, esse kit pode ser instalado em qualquer versão moderna do Windows. Você pode usar NTRights para conceder um privilégio abrindo um prompt de comando administrativo e executando um comando como este:
ntrights -u YourBackupUser +r SeSomePrivilege
Substitua YourBackupUser
pelo nome da conta SAM do usuário / grupo que deve poder fazer o backup e a restauração. Os nomes da conta SAM são listados na saída de net user
ou net localgroup
(ignore o asterisco antes do nome do grupo). Substitua SeSomePrivilege
pelo ID do privilégio a ser concedido. Se você quiser revogar um privilégio mais tarde, execute o mesmo comando, mas com -r
em vez de +r
.
Note, no entanto, que somente softwares especialmente escritos poderão tirar proveito desses privilégios. Mesmo quando concedido, os privilégios devem ser ativados por processo antes que eles entrem em vigor, então o programa deve chamar APIs especiais de leitura / gravação que ignoram as verificações de segurança. Esses privilégios também são insuficientes para criar cópias de sombra; para fazer isso, um processo deve estar sendo executado como um membro do grupo Administradores - mesmo a participação no grupo real de Operadores de Backup não é suficiente para isso.