以 Backup Operators 組中的使用者身份執行 ntbackup 時的事件 10016
我創建了一個 Windows 2003 AD 使用者,並通過預設域策略上的受限組將該使用者部署到本地 Backup Operators 組。然後我重新啟動了一個客戶端,以確保該使用者已添加到該組中。
但是,當我嘗試以該使用者身份執行 ntbackup 作業時,我收到事件 10016:
Event Type: Error Event Source: DCOM Event Category: None Event ID: 10016 Date: 8/26/2009 Time: 9:58:28 AM User: myDomain\foobackup Computer: BRANDT-VM Description: The machine-default permission settings do not grant Local Activation permission for the COM Server application with CLSID {D61A27C.....} to the user myDomain\foobackup SID (S-1-5-21.....). This security permission can be modified using the Component Services administrative tool.
我已經在幾個不同的 XP 客戶端上嘗試過這個並且有同樣的問題。ntbackup 作業似乎無限期地執行,而沒有寫入錯誤日誌或在網路共享上創建 bkf 文件。
該 GUID 可能是 {D61A27C1-8F53-11D0-BFA0-00A024151983},它是可移動儲存管理器的 AppID。
雖然“備份操作員”確實授予了“SeBackupPrivilege”特權,但顯然微軟並沒有打擾(至少在 Windows XP Professional 中)授予他們對實際執行基於計劃任務的備份所需的 DCOM 應用程序的明確權限工作。
你有幾個選擇。您可以只授予該使用者“管理員”權限,然後一切都會“正常工作”。
我還經歷了確定哪些 DCOM 對象需要更改其權限才能與僅是“使用者”和“備份操作員”成員的使用者一起工作的考驗。要對其進行測試,請使用“組件服務”管理控制台管理單元,導航到“組件服務”、“電腦”、“我的電腦”和“DCOM 配置”。修改以下每個對象的“啟動和啟動權限”,將設置從“使用預設”更改為“自定義”,並為每個對象添加具有“本地啟動”和“本地啟動”權限的“備份操作員”。
- 可移動儲存管理器
- 可移動儲存匯層
- 卷影複製服務
更改這些權限後,我發現我能夠在只有“使用者”和“備份操作員”組成員資格功能的使用者上下文下,將備份作業作為計劃任務執行,正如我預期的那樣。
Microsoft 已意識到此問題(請參閱http://support.microsoft.com/kb/311866),但他們的文章沒有提供正確的解決方案。(這也是 2002 年 4 月的一篇文章……它顯然沒有針對 Windows XP SP2 中對 DCOM 所做的更改進行更新。http: //technet.microsoft.com/en-us/library/bb457148.aspx)
DCOM 權限作為 REG_BINARY 鍵儲存在系統資料庫中。我所知道的庫存組策略中沒有用於操縱它們的機制。應該可以通過簡單的系統資料庫合併在不同電腦之間複製 LaunchPermission 值(例如,在更改啟動權限後,請參見 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID{56BE716B-2F76-4dfa-8702-67AE10044F0B} 下的值),因為我們放置在資源上的 ACL 只命名眾所周知的 SID,而不是機器或特定於域的 SID。
我只是授予使用者“管理員”權限並完成它,但如果你想這樣做,肯定還有另一種選擇。