Новости
Видео
Microsoft
Windows 10
Железо
Программы
Форум

Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Серверные продукты Microsoft » Microsoft Windows NT/2000/2003 » [решено] Пользователь в группе "Операторы архива" не может получить доступ к папкам

Ответить
Настройки темы
[решено] Пользователь в группе "Операторы архива" не может получить доступ к папкам

Пользователь


Сообщения: 62
Благодарности: 5

Профиль | Отправить PM | Цитировать

Имеется домен на Windows 2003 Server.
Создал в домене нового пользователя Arch, специально для выполнения резервного копирования.
По-умолчанию, он оказался в группе "Пользователи домена" и я внёс его так же в группу "Операторы архива".
Цитата:
Операторы архива (Backup Operators) ≈ члены этой группы могут архивировать и восстанавливать файлы в системе независимо от того, какими правами эти файлы защищены. Кроме того, операторы архива могут входить в систему и завершать ее работу, но они не имеют права изменять настройки безопасности.
Попробовал запустить от имени этого пользователя задание в планировщике (бэкап папки \\server\docs, в которой лежат перенаправленные папки "Мои документы" пользователей домена) - ругается, что нет доступа к папкам (в разрешениях стоит полный доступ для System, Администратора и Хозяина папки).

Захожу на сервер локально с учеткой Arch - пробую через проводник зайти в папки с документами пользователей - опять нет доступа!

Пробовал и на контроллере домена и на рядовом сервере - везде Arch имеет права только "Пользователя домена".
Проверил на контроллере домена в "Политика безопасности домена" и в "Политика безопасности контроллера домена", а так же на рядовом сервере в "Локальная политика безопасности" значение: "Архивирование файлов и каталогов" стоит по умолчанию: "Администраторы" и "Операторы архива".

Пробовал добавлять туда вручную пользователя Arch- никакого эффекта.
При этом, если для папок вручную прописать разрешение на чтение для группы "Операторы архива" - доступ появляется.
Если добавить пользователя Arch в группу "Администраторы" - доступ есть везде.

Почему пользователь, входящий в группу "Операторы архива" не может получить доступ к любым папкам?

Отправлено: 17:47, 29-09-2010

 

Ветеран


Сообщения: 1001
Благодарности: 226

Профиль | Отправить PM | Цитировать

Цитата decadent:
Почему пользователь, входящий в группу "Операторы архива" не может получить доступ к любым папкам? »
он и не должен этот доступ иметь.
Смысл этой привилегии в том, что обходя DACL члены этой группы могут архивировать и восстанавливать файлы - больше ничего. Просмотреть их содержимое или содержимое дерева папок - не подразумевается

Отправлено: 20:00, 29-09-2010 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.

QRS QRS вне форума

Ветеран


Сообщения: 630
Благодарности: 111

Профиль | Отправить PM | Цитировать

Цитата decadent:
Попробовал запустить от имени этого пользователя задание в планировщике »
Не уверен, что эти права работают при доступе к расшаренной папке - скорее (не уверен) только для локального ПК, на котором запускается приложение резервного копирования. В любом случае для указанного сервера эта учетная запись должна быть в группе "Операторы архива". И эта привелегия работает только для систем резервного копирования, в частности, для программы ntbackup. Кроме того, эта привилегия не распространяется на разрешения Share-доступа, т.е. здесь как минимум необходимо указать разрешения Full.

Самый простой способ проверить - запустите Ntbackup под соответствующей учетной записью и в ручном режиме через вкладку резервного копирования попробуйте посмотреть содержимое каких-нибудь закрытых папок.

Цитата Ivan Bardeen:
Просмотреть их содержимое или содержимое дерева папок - не подразумевается »
Здесь Вы не совсем правы.
Если вы сможете включить под учетной запись Arch проводнику или любому другому файловому менеджеру привилегию SeBackupPrivilege (по умолчанию она не включена, хотя и доступна процессу), то он сможет заходить в папки игнорируя ACL, но просматривать файлы все равно не сумеет, хотя информацию о размере, времени создания и редактирования будет показывать.
(Я писал под себя программу для обхода ACL в целях поиска запрещенных файлов на ПК особо грамотных пользователей, которые закрывались от админа разрешениями NTFS).
Это сообщение посчитали полезным следующие участники:

Отправлено: 20:21, 29-09-2010 | #3


Пользователь


Сообщения: 62
Благодарности: 5

Профиль | Отправить PM | Цитировать

Спасибо за наводку, будем изучать.
http://www.rsdn.ru/article/baseserv/privileges.xml

Отправлено: 21:31, 29-09-2010 | #4



Компьютерный форум OSzone.net » Серверные продукты Microsoft » Microsoft Windows NT/2000/2003 » [решено] Пользователь в группе "Операторы архива" не может получить доступ к папкам

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Система - [решено] Ошибка "Eror 1606. Не удалось получить доступ к размещению в сети" Wel1der Программное обеспечение Windows 4 04-07-2010 17:03
2008 - Ограниченный доступ к папкам на Server 2008 SE SP1 если только "рабочая группа" zvezdochet Windows Server 2008/2008 R2 16 03-09-2009 17:38
Новый пользователь домена не может подключиться к папке "Мои документы" ANR Microsoft Windows NT/2000/2003 20 11-10-2007 20:13
[решено] Как получить доступ к "Поиску беспроводных сетей" в Win 2003 для WI-FI? Xtorn Microsoft Windows NT/2000/2003 6 20-09-2005 19:16
"общий доступ к папкам" - не пашет... rnd67 Сетевые технологии 3 25-09-2004 23:48


« Предыдущая тема | Следующая тема »


 
Переход