NTFS Berechtigungen hinzufügen

[Felix94 0]

Hallo Leute, 

 

ich versuche schon seit Tagen einem Backup-User Lese Berechtigung zu erteilen.

Das Problem dabei ist wohl das mir selbst die dazugehörigen Rechte fehlen. Gehe ich auf einen übergeordneten Ordner, füge den Backup-User hinzu und aktiviere die Vererbung so hagelt es unverzüglich "acces denied" Meldungen. Ich habe auch schon versucht mir mit einem Script und takeown den Besitz der Dateien zu verschaffen, leider ohne erfolgt. Auch ein hinzufügen des Backup-Users mittels cacls und icacls brachte keine endgültige Lösung. Angemeldet war ich jeweils als " Domain Administrator" sowie " Lokaler Administrator" des File-Servers. Hat noch jemand eine Idee was ich testen könnte? 

 

Viele Grüße und vielen Dank im vorhinein! 

Felix 

[DocData 85]

Warum willst du dem Backupuser Berechtigungen geben? Das ist doch total unsicher. Zugriff auf die Files bekommt die Applikation über die Backup API.

[Felix94 0]

Ich möchte den File-Server auf einem Linux Rechner mittels Tar Sichern und eine Incrementelle Sicherung der Datein zu gewährleisten. 

Dabei ist der Filer mittels SMB eingebunden und benötigt einen Backup-User. 

[NilsK 2.795]

Moin,

 

der Backup-User braucht das Backup-Recht, dann können die Berechtigungen so bleiben, wie sie sind. Die Software, die die Daten sichert, arbeitet im Kontext dieses Users und fordert das Backup-Recht an. Alles andere ist Murks.

 

Geeignet wäre z.B. Robocopy, wenn nichts anderes zur Verfügung steht, das kann mit dem Backup-Recht arbeiten. Dann sichert man eben in die andere Richtung, vom Windows-Server auf einen Share des Linux-Rechners.

 

Gruß, Nils

[Felix94 0]

Moin, 

 

danke für die schnelle Antwort! Entschuldigt meine Verspätete Rückmeldung aber mir ist noch ein Migrationsprojekt dazwischen gekommen weshalb ich mich erst jetzt wieder mit diesem Thema beschäftige. Das mit dem Backup-Recht klingt sehr gut, das werde ich jetzt auch so umsetzten! Dazu habe ich den Backup-User der AD-Gruppe der "Sicherungs-Operatoren" hinzugefügt und mir folgenden robocopy Befehl ausgedacht: robocopy \\quelle\ \\ziel\ /E /v /fp /np /r:5 /MIR /B /COPYALL.

Dabei erhalte ich Folgende Fehlermeldung:  ERROR : You do not have the Manage Auditing user right.

Wenn ich den Backup-User als Lokalen Administrator eintrage erhalte ich diese zwar nicht mehr aber:  Copying NTFS Security to Destination Directory ... Access is denied

was mich darauf schließen lässt das er sich nicht so wirklich mit dem Backup-Recht anmeldet, oder? 

Als Alternative zu dem /B Schalter habe ich auch schon den /ZB Schalter Probiert, leider ohne Verbesserung.

Ich habe auch schon einen Hinweis auf einen Bug in robocopy erhalten der auf Server 2008 R2 auftritt und diesen habe ich im Einsatz, beim einspielen des Hotfixes weißt mich aber ein Hinweisfenster darauf hin das dieser Hotfix nicht für meine Version gedacht ist. 

 

Hat jemand noch eine Idee

 

Viele Grüße, 

Felix

[daabm 1.199]

seBackup ist was anderes als seAudit... Wozu brauchst Du /copyall ? Das versucht auf der Zielseite alle (!) ACL-Einträge der Quelle zu setzen inkl. Owner, und dazu braucht man Vollzugriff.

[Felix94 0]

Ah alles klar ich verstehe. Ich brauche die ACL-Einträge nicht zwingend deswegen habe ich meinen robocopy befehl mal dem entsprechend angepasst: 

robocopy "Quelle" "\\Ziel\ /E /v /fp /np /LOG+:"C:\robocopy\Copy_Filer_to_Backup.log" /r:10 /MIR /B /copy:DAT /XJD /XJF  

Leider bekomme ich noch bei einigen Dateien ein "Access is denied." was mich vermuten lässt das mein User nicht das Backup Recht hat. Also habe ich meinen 

User einmal explizit in die Lokale Polcy´s "Back up files and directorys" und "Restore files and directorys" hinzugefügt. Der Fehler blieb gleich... 

 

Viele Grüße, 
Felix

[daabm 1.199]

Kann es sein, daß da offene Handles sind? Process Monitor kann Dir das sagen, der erklärt Dir genau, welchen Zugriff Robocopy haben wollte. Und Process Explorer liefert Dir ggf. offene Handles.

[Dunkelmann 96]

Moin,

 

versuchs mal mit dem Switch /ZB

 

/z

Copies files in Restart mode.

/b

Copies files in Backup mode.

/zb

Uses Restart mode. If access is denied, this option uses Backup mode.

https://technet.microsoft.com/de-de/library/cc733145%28v=ws.10%29.aspx

[daabm 1.199]

Hm ich mag mich irren, aber mit /b sollte es doch direkt mit Backup Mode laufen? :-)

[Dunkelmann 96]

Gerade beim Kopieren übers Netzwerk kann /Z nützlich sein.

Bei einem Aussetzer im Netz wird an der Stelle weitergemacht, wo der Aussetzer stattfand, anstatt die gesamte Datei neu zu kopieren. Besonders bei großen Dateien sehr nützlich

[Felix94 0]

Danke für die Hilfe! Den /ZB Schalter habe ich auch schon getestet, leider hat er nicht zum gewünschten Ziel geführt. Ich werde mal mit dem Process Monitor die Zugriffe von Robocopy checken und euch dann noch einmal berichten. 

ok nach dem ich den Process Monitor benutzt habe, konnte ich herausfinden, dass das Problem wohl nicht die Dateien an sich sind sonder der dazugehörige Zone Identifier. Er versucht den wohl auch zu kopieren und bekommt als Ergebniss: NAME NOT FOUND. Also begebe ich mich jetzt auf die Suche nach einer Möglichkeit diese beim kopieren zu überspringen, oder habt ihr noch andere Vorschläge? 

[daabm 1.199]

Heute irgendwo gelesen: VSS auf Shares geht erst mit 2016 - also hilft /b bzw. /zb hier nicht