decadent
29-09-2010, 17:47
Имеется домен на Windows 2003 Server.
Создал в домене нового пользователя Arch, специально для выполнения резервного копирования.
По-умолчанию, он оказался в группе "Пользователи домена" и я внёс его так же в группу "Операторы архива".
Операторы архива (Backup Operators) ≈ члены этой группы могут архивировать и восстанавливать файлы в системе независимо от того, какими правами эти файлы защищены. Кроме того, операторы архива могут входить в систему и завершать ее работу, но они не имеют права изменять настройки безопасности.
Попробовал запустить от имени этого пользователя задание в планировщике (бэкап папки \\server\docs, в которой лежат перенаправленные папки "Мои документы" пользователей домена) - ругается, что нет доступа к папкам (в разрешениях стоит полный доступ для System, Администратора и Хозяина папки).
Захожу на сервер локально с учеткой Arch - пробую через проводник зайти в папки с документами пользователей - опять нет доступа!
Пробовал и на контроллере домена и на рядовом сервере - везде Arch имеет права только "Пользователя домена".
Проверил на контроллере домена в "Политика безопасности домена" и в "Политика безопасности контроллера домена", а так же на рядовом сервере в "Локальная политика безопасности" значение: "Архивирование файлов и каталогов" стоит по умолчанию: "Администраторы" и "Операторы архива".
Пробовал добавлять туда вручную пользователя Arch- никакого эффекта.
При этом, если для папок вручную прописать разрешение на чтение для группы "Операторы архива" - доступ появляется.
Если добавить пользователя Arch в группу "Администраторы" - доступ есть везде.
Почему пользователь, входящий в группу "Операторы архива" не может получить доступ к любым папкам?
Создал в домене нового пользователя Arch, специально для выполнения резервного копирования.
По-умолчанию, он оказался в группе "Пользователи домена" и я внёс его так же в группу "Операторы архива".
Операторы архива (Backup Operators) ≈ члены этой группы могут архивировать и восстанавливать файлы в системе независимо от того, какими правами эти файлы защищены. Кроме того, операторы архива могут входить в систему и завершать ее работу, но они не имеют права изменять настройки безопасности.
Попробовал запустить от имени этого пользователя задание в планировщике (бэкап папки \\server\docs, в которой лежат перенаправленные папки "Мои документы" пользователей домена) - ругается, что нет доступа к папкам (в разрешениях стоит полный доступ для System, Администратора и Хозяина папки).
Захожу на сервер локально с учеткой Arch - пробую через проводник зайти в папки с документами пользователей - опять нет доступа!
Пробовал и на контроллере домена и на рядовом сервере - везде Arch имеет права только "Пользователя домена".
Проверил на контроллере домена в "Политика безопасности домена" и в "Политика безопасности контроллера домена", а так же на рядовом сервере в "Локальная политика безопасности" значение: "Архивирование файлов и каталогов" стоит по умолчанию: "Администраторы" и "Операторы архива".
Пробовал добавлять туда вручную пользователя Arch- никакого эффекта.
При этом, если для папок вручную прописать разрешение на чтение для группы "Операторы архива" - доступ появляется.
Если добавить пользователя Arch в группу "Администраторы" - доступ есть везде.
Почему пользователь, входящий в группу "Операторы архива" не может получить доступ к любым папкам?