使用恢复权限进行文件复制

使用恢复权限进行文件复制

我们有一个 Windows 备份包,它将虚拟机备份文件系统显示为 iSCSI 挂载。帮助台用户需要执行恢复操作,这是通过将文件从挂载的时间点文件系统复制回生产系统来完成的。有各种文件是帮助台人员无权访问的,因此无法恢复。我们的安全人员不会让帮助台获得更多访问权限。

我认为一个可能的解决方案是让帮助台使用 Windows 备份/恢复权限来复制文件,但我不知道他们有什么方法可以浏览、选择文件,然后将其移动到目标。是否有某种 Windows 资源管理器类型的程序可以设置为使用备份 API?我在网上搜索了好久,还是找不到任何东西。

答案1

您必须使用带有 /MIR 开关的 Robocopy,因为它将保留所有 NTFS 权限。

https://blogs.technet.microsoft.com/filecab/2008/07/31/robocopy-mir-switch-mirroring-file-permissions/

Robocopy 可以通过 PowerShell 轻松编写脚本,并且现在具有一些不错的 GUI。

https://gallery.technet.microsoft.com/scriptcenter/PowerShell-Robocopy-GUI-08c9cacb

https://technet.microsoft.com/en-us/library/2006.11.utilityspotlight.aspx

答案2

您的帮助台工作人员不需要直接被授予对正在恢复的数据的 NTFS 权限。相反,它们需要成为内置备份操作员组。根据科技网

此组的成员可以备份和恢复计算机上的文件,无论保护这些文件的权限如何。这是因为执行备份的权限优先于所有文件权限。此组的成员无法更改安全设置。

该组的成员身份授予用户以下用户权限分配:

  • 从网络访问此计算机
  • 允许本地登录
  • 备份文件和目录
  • 绕过遍历检查
  • 作为批处理作业登录
  • 恢复文件和目录
  • 关闭系统

换句话说,没有必要授予帮助台员工对数据的 NTFS 权限。但是,如果他们拥有数据权限的用户,一旦将数据还原到磁盘,他们将无法访问数据,除非备份软件允许他们将其还原到他们有权更改还原数据的 NTFS 权限的位置。备份操作员组的成员身份是不是足以授予他们更改 NTFS 权限的权限。

如果您的 IT 部门不愿意让帮助台工作人员成为备份操作员组的成员,那么请考虑解除帮助台的数据恢复责任,因为执行文件恢复需要这些用户权限,而不需要更多(即管理员)权限。

相关内容