none
Backup operator Windows 7 RRS feed

  • Domanda

  • Buongiorno a tutti,

    ho un problema di grant che riguarda l'esecuzione del backup e/o della migrazione dati utente. L'ambiente di riferimento è Windows 7 in dominio Windows Server e utenti con i soli privilegi di utente standard. In pratica non sembra che sia possibile eseguire backup o trasferimento file senza le grant di local admin, nemmeno se inserisco l'utente che utilizza il pc nel gruppo Backup Operators.

    Sbaglio qualcosa o il comportamento è "by design"? Mi sembra strano che un utente non possa salvarsi i propri dati, anche solo per archiviarli.

    Ho frugato quà e là ma, a parte i suggerimenti procedurali su come seguire un backup (che presupponevano le grant di local admin), non ho trovato informazioni utili.

    Grazie per la pazienza

    Giuseppe

    • Spostato Vincenzo Di RussoMVP martedì 29 giugno 2010 12:09 Spostato nel Forum Microsoft Windows Server per una migliore assistenza (Da:Microsoft Windows 7 Forum)
    • Modificato Anca Popa martedì 29 giugno 2010 13:29 format title
    martedì 29 giugno 2010 11:54

Risposte

  • Ciao Giuseppe, hai provato effettivamente a dare i privilegi all'utente di administrator della macchina e vedere se così funziona? Dai vari post non mi pare che questa prova sia stata fatta e non vorrei che anche con questi privilegi non funzionasse.

    Ciao,

    ho appena finito le prove su un Win7 installato di fresco (su virtualbox), senza antivirus ne' altri programmi aziendali o configurazioni particolari del disco. Ho creato due utenze: una amministrativa (quella richiesta in fase di installazione) ed una std. Output del backup su share di rete accessibile in rw all'utente std. Ho inserito l'utente std in tutti i gruppi locali tranne che su Guest, IIS_IURS (IIS), Power Users (non utilizzato da Win7).

    La situazione rimane la stessa: il backup non si avvia generando lo stesso errore. Se, invece, alla richiesta di credenziali da parte dell'UAC fornisco quelle dell'utente local admin sono riuscito a configurare il backup (settare l'origine, lo share di rete e le credenziali per accedervi) e ad eseguirlo.

    Durante l'esecuzione ho verificato i processi con il procexplorer, come suggerito da Benussi, e il processo sdclt.exe ha "pasato la palla" a wbengine.exe. Probabilmente l'sdclt.exe ha il compito di verificare/configurare il backup mentre il motore vero e proprio è il wbengine.exe.

    Dal nome dell'eseguibile ho sospettato si strattasse di un servizio ed infatti c'è il servizio SDRSVC (Windows Backup) che viene eseguito nel contesto dell'account di sistema locale. Non credo che se modifico questo account risolvo il problema (potrei pure provare) perchè in realtà il win7 mi blocca prima.

    Ho messo sdclt.exe sotto traccia con l'ACT e fra le remediation proposte c'è l'applicazione della folder redirection di alcuni file di impostazione ma, purtroppo, anche della System Volume Information: evidentemente il backup vuole scrivere li se gli chiedo di fare un'immagine del sistema.

    A questo punto mi sa che non c'è via d'uscita ...

    Giuseppe

     

     

     

    giovedì 1 luglio 2010 09:19
  • Ciao,

    con il process explorer ho trovato che win7, dopo il click su Start\Manutenzione\Backup e Ripristino , esegue in sequenza:

    1. Explorer.exe - visualizza la maschera del pannello di controllo\Sistema e Sicurezza\Backup e Ripristino

    2. Consent.exe- La maschera UAC con la richiesta di credenziali. Appare quando fai click su una voce che esegue il backup, ad es. Configura backup oppure Crea un'immagine del sistema

    3. sdclt.exe - Maschera di errore che informa della impossibilità di avviare il backup perchè è necessario fare l'accesso come amministratore (codice =0x81000010). Non genera sotto-processi.

    Mi sembra proprio strano che non sia possibile per un utente autorizzato (lo inserisco nel gruppo Backup Users) farsi un backup, almeno delle sue impostazioni e dei suoi documenti (anche se in linea di principio se un amministratore autorizza un utente come operatore di backup dovrebbe essere in grado di fare backup e restore dell'intero pc e non solo dei suoi dati).

     

    dalle prove che hai fatto e da quanto si trova in internet credo proprio che invece non sia possibile fare questa operazione senza diritti amministrativi per cui credo che dovrai accontentarti di qualche workaround.

    ciao.

     


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    giovedì 1 luglio 2010 10:39
    Moderatore

Tutte le risposte

  • Prova con questa soluzione :

    1. Add the standard user to AppLocker.

     

    Type Secpol.msc in Search box in Start menu> Application Control Policies > AppLocker > Executable Rules > New hash rule for Backup Operators to allow them to use sdclt.exe

     

    2. Try to add user in the following GPO:

     

    Computer Configuration>Windows settings>Security settings> Local policies>User rights assignements> Back up files and directories

     

    3. Plug an external hard drive and try to back up information to the driver for a test.

     

    http://social.technet.microsoft.com/Forums/en/w7itprosecurity/thread/1273013f-3900-4285-bd5c-fac52177b6d7


    -- Fabrizio Volpe MCSE (NT4) (2000) (2003) , MCSA (2003) , MCTS (SQL 2005) (Exchange 2007) (Windows 2008) Fortinet Certified Network Security Administrator (FCNSA)
    • Proposto come risposta Fabrizio Volpe martedì 29 giugno 2010 12:22
    • Proposta come risposta annullata Giuseppe Mameli martedì 29 giugno 2010 14:07
    martedì 29 giugno 2010 12:22
  • non mi è chiaro il problema: non risce a fare il backup o a scrivere i file nella cartella che hai scelto come destinazione? (che non specifichi se sul server...)

    I provilegi possono consentire l'esecuzione del backup ma non i permessi di scrittura nella cartella di destinazione che dovresti verificare in scrittura (sia quelli di condivisione che i NTFS)

     


    Adriano Mariolini MCITP Server Administrator MCTS Windows Server 2008 Applications Infrastructure, Configuration adriano.mariolini[at]my.sysadmin.it
    martedì 29 giugno 2010 12:35
  • Grazie mille della risposta.

    Ho provato i tuoi suggerimenti, ma purtroppo senza esito.

    A posteriori ho fatto una piccola riflessione. Il passo 1 abilita l'utente std ad avviare il backup restore di windows, il quale utente però è già in grado di avviare un qualunque programma della cartella c:\windows e c:\windows\system32. Tant'è che per non causare problemi con gli altri programmi, quando si fa la prima definizione della regola per sdclt.exe, applocker aggiunge di default le regole per consentire ad "Everyone" l'esecuzione dei programmi su %windir% e su %programmi%.

    Il secondo passo assegna all'utente std le grant per poter eseguire le funzioni di backup. Di default le grant sono concesse a Administrators ed a Backup Operators e nel mio caso avevo già inserito l'utente nel gruppo Backup Operators.

    In ogni caso, fra sapere e non sapere, ho seguito i passi definento l'utente in modo esplicito ma, come dicevo sopra, senza esito.

    Ho trovato che Windows backup utilizza i servizi COM per cui ho fatto un controllo anche su dcomcnfg\Servizi componenti\computer\computer locale\proprietà\Sicurezza Com ed ho visto che il gruppo Everyone ha i permessi di Esecuzione ed Attivazione locale, per cui anche il mio "std user" dovrebbe averli.

    Se hai qualche altra idea ... Sto frugando anche nel technet ma, per ora, non trovo nulla di utile.

    Giuseppe

     

    martedì 29 giugno 2010 14:23
  • Ciao,

    il problema riguarda l'esecuzione del programma di backup e restore di windows. All'avvio l'UAC chiede le credenziali di un utente che deve essere local admin. Se non lo è risponde con questo messaggio:

    Impossibile avviare l'applicazione a causa di un errore interno: Per eseguire questa attività, è necessario effettuare l'accesso come amministratore. (0x81000010).

    Grazie

     Giuseppe

    martedì 29 giugno 2010 14:27
  • non puoi schedulare ul processo con un diverso utente con i privilegi corretti ho lanciare il winbackup con il runas?
    Adriano Mariolini MCITP Server Administrator MCTS Windows Server 2008 Applications Infrastructure, Configuration adriano.mariolini[at]my.sysadmin.it
    martedì 29 giugno 2010 14:34
  • Però, riflettendoci meglio, il runas richiede l'interimento della password che non può essere data allo user...

    mentre la schedulazione potrebbe essere una soluzione valida.

     


    Adriano Mariolini MCITP Server Administrator MCTS Windows Server 2008 Applications Infrastructure, Configuration adriano.mariolini[at]my.sysadmin.it
    martedì 29 giugno 2010 14:36
  • perchè non provi ad usare Process Explorer

    http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx

    per monitorare cosa sia negato al normale user mentre tenta di fare un backup ?


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    mercoledì 30 giugno 2010 14:11
    Moderatore
  • Ciao,

    con il process explorer ho trovato che win7, dopo il click su Start\Manutenzione\Backup e Ripristino , esegue in sequenza:

    1. Explorer.exe - visualizza la maschera del pannello di controllo\Sistema e Sicurezza\Backup e Ripristino

    2. Consent.exe- La maschera UAC con la richiesta di credenziali. Appare quando fai click su una voce che esegue il backup, ad es. Configura backup oppure Crea un'immagine del sistema

    3. sdclt.exe - Maschera di errore che informa della impossibilità di avviare il backup perchè è necessario fare l'accesso come amministratore (codice =0x81000010). Non genera sotto-processi.

    Mi sembra proprio strano che non sia possibile per un utente autorizzato (lo inserisco nel gruppo Backup Users) farsi un backup, almeno delle sue impostazioni e dei suoi documenti (anche se in linea di principio se un amministratore autorizza un utente come operatore di backup dovrebbe essere in grado di fare backup e restore dell'intero pc e non solo dei suoi dati).

    Potrei fare un'ulteriore prova utilizzando il Windows ACT.

    Grazie

     Giuseppe

    PS: Ho lo stesso problema anche utilizzando l'USMT4 da riga di comando. Questo devo però rivederlo meglio perchè la doc su technet dice che bisogna essere amministratori solo per salvare lo stato  di tutti gli utenti, e non è il mio caso. Mi basta che un utente salvi il suo.

     

    mercoledì 30 giugno 2010 17:24
  • Il secondo passo assegna all'utente std le grant per poter eseguire le funzioni di backup. Di default le grant sono concesse a Administrators ed a Backup Operators e nel mio caso avevo già inserito l'utente nel gruppo Backup Operators.

    Ciao Giuseppe, hai provato effettivamente a dare i privilegi all'utente di administrator della macchina e vedere se così funziona? Dai vari post non mi pare che questa prova sia stata fatta e non vorrei che anche con questi privilegi non funzionasse.
    Adriano Mariolini MCITP Server Administrator MCTS Windows Server 2008 Applications Infrastructure, Configuration adriano.mariolini[at]my.sysadmin.it
    mercoledì 30 giugno 2010 23:19
  • Ciao Giuseppe, hai provato effettivamente a dare i privilegi all'utente di administrator della macchina e vedere se così funziona? Dai vari post non mi pare che questa prova sia stata fatta e non vorrei che anche con questi privilegi non funzionasse.

    Ciao,

    ho appena finito le prove su un Win7 installato di fresco (su virtualbox), senza antivirus ne' altri programmi aziendali o configurazioni particolari del disco. Ho creato due utenze: una amministrativa (quella richiesta in fase di installazione) ed una std. Output del backup su share di rete accessibile in rw all'utente std. Ho inserito l'utente std in tutti i gruppi locali tranne che su Guest, IIS_IURS (IIS), Power Users (non utilizzato da Win7).

    La situazione rimane la stessa: il backup non si avvia generando lo stesso errore. Se, invece, alla richiesta di credenziali da parte dell'UAC fornisco quelle dell'utente local admin sono riuscito a configurare il backup (settare l'origine, lo share di rete e le credenziali per accedervi) e ad eseguirlo.

    Durante l'esecuzione ho verificato i processi con il procexplorer, come suggerito da Benussi, e il processo sdclt.exe ha "pasato la palla" a wbengine.exe. Probabilmente l'sdclt.exe ha il compito di verificare/configurare il backup mentre il motore vero e proprio è il wbengine.exe.

    Dal nome dell'eseguibile ho sospettato si strattasse di un servizio ed infatti c'è il servizio SDRSVC (Windows Backup) che viene eseguito nel contesto dell'account di sistema locale. Non credo che se modifico questo account risolvo il problema (potrei pure provare) perchè in realtà il win7 mi blocca prima.

    Ho messo sdclt.exe sotto traccia con l'ACT e fra le remediation proposte c'è l'applicazione della folder redirection di alcuni file di impostazione ma, purtroppo, anche della System Volume Information: evidentemente il backup vuole scrivere li se gli chiedo di fare un'immagine del sistema.

    A questo punto mi sa che non c'è via d'uscita ...

    Giuseppe

     

     

     

    giovedì 1 luglio 2010 09:19
  • Ciao,

    con il process explorer ho trovato che win7, dopo il click su Start\Manutenzione\Backup e Ripristino , esegue in sequenza:

    1. Explorer.exe - visualizza la maschera del pannello di controllo\Sistema e Sicurezza\Backup e Ripristino

    2. Consent.exe- La maschera UAC con la richiesta di credenziali. Appare quando fai click su una voce che esegue il backup, ad es. Configura backup oppure Crea un'immagine del sistema

    3. sdclt.exe - Maschera di errore che informa della impossibilità di avviare il backup perchè è necessario fare l'accesso come amministratore (codice =0x81000010). Non genera sotto-processi.

    Mi sembra proprio strano che non sia possibile per un utente autorizzato (lo inserisco nel gruppo Backup Users) farsi un backup, almeno delle sue impostazioni e dei suoi documenti (anche se in linea di principio se un amministratore autorizza un utente come operatore di backup dovrebbe essere in grado di fare backup e restore dell'intero pc e non solo dei suoi dati).

     

    dalle prove che hai fatto e da quanto si trova in internet credo proprio che invece non sia possibile fare questa operazione senza diritti amministrativi per cui credo che dovrai accontentarti di qualche workaround.

    ciao.

     


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    giovedì 1 luglio 2010 10:39
    Moderatore