我们有一个 Windows 备份包,它将虚拟机备份文件系统显示为 iSCSI 挂载。帮助台用户需要执行恢复操作,这是通过将文件从挂载的时间点文件系统复制回生产系统来完成的。有各种文件是帮助台人员无权访问的,因此无法恢复。我们的安全人员不会让帮助台获得更多访问权限。
我认为一个可能的解决方案是让帮助台使用 Windows 备份/恢复权限来复制文件,但我不知道他们有什么方法可以浏览、选择文件,然后将其移动到目标。是否有某种 Windows 资源管理器类型的程序可以设置为使用备份 API?我在网上搜索了好久,还是找不到任何东西。
答案1
您必须使用带有 /MIR 开关的 Robocopy,因为它将保留所有 NTFS 权限。
Robocopy 可以通过 PowerShell 轻松编写脚本,并且现在具有一些不错的 GUI。
https://gallery.technet.microsoft.com/scriptcenter/PowerShell-Robocopy-GUI-08c9cacb
https://technet.microsoft.com/en-us/library/2006.11.utilityspotlight.aspx
答案2
您的帮助台工作人员不需要直接被授予对正在恢复的数据的 NTFS 权限。相反,它们需要成为内置备份操作员组。根据科技网:
此组的成员可以备份和恢复计算机上的文件,无论保护这些文件的权限如何。这是因为执行备份的权限优先于所有文件权限。此组的成员无法更改安全设置。
该组的成员身份授予用户以下用户权限分配:
- 从网络访问此计算机
- 允许本地登录
- 备份文件和目录
- 绕过遍历检查
- 作为批处理作业登录
- 恢复文件和目录
- 关闭系统
换句话说,没有必要授予帮助台员工对数据的 NTFS 权限。但是,如果他们不拥有数据权限的用户,一旦将数据还原到磁盘,他们将无法访问数据,除非备份软件允许他们将其还原到他们有权更改还原数据的 NTFS 权限的位置。备份操作员组的成员身份是不是足以授予他们更改 NTFS 权限的权限。
如果您的 IT 部门不愿意让帮助台工作人员成为备份操作员组的成员,那么请考虑解除帮助台的数据恢复责任,因为执行文件恢复需要这些用户权限,而不需要更多(即管理员)权限。