Grupo de operadores de backup do Windows para edição em família

0

Nas versões pro do Windows, há um grupo "Operadores de backup" que permite acessar todos os arquivos para fins de backup.

Na família do Windows 10, não vejo esse grupo (com o comando net localgroup ).
Eu quero criar um usuário dedicado a backups automatizados. Mas sem esse grupo, o usuário não pode fazer backup de arquivos localizados na casa de outros usuários (o que é o comportamento desejado, mesmo se o usuário de backup for administrador).

Provavelmente, existe uma maneira de atingir esse objetivo, porque softwares de backup comerciais fazem isso.
Alguém tem uma ideia?

    
por Gregory MOUSSAT 30.04.2018 / 17:44

2 respostas

2

A maneira mais simples de realizar o que você deseja é fazer com que o processo de backup seja executado como administrador. Os administradores têm acesso total às pastas de perfil de todos os usuários, mas devem ser elevados para que essa entrada de controle de acesso seja aplicada.

Se você não conseguir executar o backup como um todo, torne o usuário de backup um administrador, faça logon como ele e tente navegar nas pastas de perfil de outros usuários. O Windows Explorer informará que o acesso foi negado, mas fornecerá um botão que concede permanentemente o acesso do usuário atual a essa pasta. Depois disso, o usuário de backup poderá acessar o perfil do outro usuário mesmo sem elevação.

Informações sobre como replicar o efeito do grupo Operadores de backup seguem abaixo da linha.

Grande parte do que torna o grupo de operadores de backup especial é que, por padrão, ele recebe um punhado de privilégios :

  • SeBackupPrivilege , "fazer backup de arquivos e diretórios"
  • SeRestorePrivilege , "restaurar arquivos e diretórios"
  • SeShutdownPrivilege , "encerre o sistema"
  • SeBatchLogonRight , "faça o login como um trabalho em lote"

Os privilégios podem ser atribuídos usando a seção Atribuição de direitos de usuário da ferramenta Política de segurança local, secpol.msc . Essa ferramenta pode não existir em edições não Pro do Windows. Para ajustar privilégios em outras edições, você pode usar o utilitário NTRights do Windows Server 2003 Resource Kit . Apesar do nome, esse kit pode ser instalado em qualquer versão moderna do Windows. Você pode usar NTRights para conceder um privilégio abrindo um prompt de comando administrativo e executando um comando como este:

ntrights -u YourBackupUser +r SeSomePrivilege

Substitua YourBackupUser pelo nome da conta SAM do usuário / grupo que deve poder fazer o backup e a restauração. Os nomes da conta SAM são listados na saída de net user ou net localgroup (ignore o asterisco antes do nome do grupo). Substitua SeSomePrivilege pelo ID do privilégio a ser concedido. Se você quiser revogar um privilégio mais tarde, execute o mesmo comando, mas com -r em vez de +r .

Note, no entanto, que somente softwares especialmente escritos poderão tirar proveito desses privilégios. Mesmo quando concedido, os privilégios devem ser ativados por processo antes que eles entrem em vigor, então o programa deve chamar APIs especiais de leitura / gravação que ignoram as verificações de segurança. Esses privilégios também são insuficientes para criar cópias de sombra; para fazer isso, um processo deve estar sendo executado como um membro do grupo Administradores - mesmo a participação no grupo real de Operadores de Backup não é suficiente para isso.

    
por 15.05.2018 / 18:21
0

(Desculpe, eu não tenho representante suficiente para fazer um comentário para a resposta do @Ben N).

Sim, adicionar SeBackupPrivilege , etc a uma conta normal é suficiente para usar o FILE_FLAG_BACKUP_SEMANTICS flag para CreateFile e para usar a chamada da API BackupRead .

MAS não é suficiente tirar um instantâneo do VSS (algo que um programa de backup gostaria de fazer).

Para obter um instantâneo do VSS, o usuário deve seja

  • Sistema local ou
  • Serviço local / serviço de rede (Server 2003 ou posterior) ou
  • Um membro do grupo Administradores local ou
  • Um membro do grupo local Operadores de backup ou
  • Ter o programa na lista de permissões do registro de certa forma (embora isso não funcione no meu teste).
por 19.07.2018 / 03:18