Событие 10016 при запуске ntbackup от имени пользователя в группе "Операторы архива"

Question

Событие 10016 при запуске ntbackup от имени пользователя в группе "Операторы архива"

Я создал пользователя Windows 2003 AD и развернул его в локальной группе операторов резервного копирования через группу с ограниченным доступом по умолчанию для политики домена. Затем я перезапустил клиент, чтобы убедиться, что этот пользователь был добавлен в группу, которой он был.

Однако, когда я пытаюсь запустить задание ntbackup от имени этого пользователя, я получаю событие 10016:

Event Type: Error
Event Source:   DCOM
Event Category: None
Event ID:   10016
Date:       8/26/2009
Time:       9:58:28 AM
User:       myDomain\foobackup
Computer:   BRANDT-VM
Description:
The machine-default permission settings do not grant Local Activation permission for the COM Server application with CLSID 
{D61A27C.....}
 to the user myDomain\foobackup SID (S-1-5-21.....).  This security permission can be modified using the Component Services administrative tool.

Я пробовал это на нескольких разных клиентах XP и у меня та же проблема. Кажется, что задание ntbackup выполняется бесконечно без записи журнала ошибок или создания файла bkf на сетевом ресурсе.

0

windows active-directory windows-event-log ntbackup

Источник

Kyle Brandt 26 авг '09 в 14:08

1 ответ

Решение

Другие вопросы по тегам windows active-directory windows-event-log ntbackup

Evan Anderson 26 авг '09 в 15:02 2009-08-26 15:02 · Accepted Answer · 2009-08-26 15:02

Этот GUID, вероятно, является {D61A27C1-8F53-11D0-BFA0-00A024151983}, который является AppID для диспетчера съемных носителей.

Несмотря на то, что "Операторы резервного копирования" имеют привилегию "SeBackupPrivilege", очевидно, что Microsoft не удосужилась (по крайней мере, в Windows XP Professional) предоставить им явное разрешение на приложения DCOM, необходимые для фактического выполнения резервного копирования на основе запланированных задач. Работа.

У вас есть пара вариантов. Вы можете просто дать этому пользователю права "Администратор", и тогда все будет "просто работать".

Я также прошел испытание, чтобы выяснить, для каких объектов DCOM необходимо изменить свои разрешения, чтобы это работало с пользователем, который является членом "Пользователей" и "Операторов резервного копирования". Чтобы проверить это, с помощью оснастки консоли управления "Службы компонентов" перейдите к "Службы компонентов", "Компьютеры", "Мой компьютер" и "Конфигурация DCOM". Измените "Разрешения на запуск и активацию" для каждого из названных ниже объектов, изменив настройку с "Использовать по умолчанию" на "Настройка" и добавив "Операторы резервного копирования" с разрешениями "Местный запуск" и "Локальная активация" для каждого.

Диспетчер съемных носителей
Съемный слой для хранения
Служба теневого копирования томов

После изменения этих разрешений я обнаружил, что смог создать задание резервного копирования, выполняемое как запланированное задание в контексте пользователя, в котором функции членства в группе "Пользователи" и "Операторы резервного копирования" были только такими, как я ожидал.

Microsoft знает об этой проблеме (см. http://support.microsoft.com/kb/311866), но их статья не дает правильного решения. (Это тоже статья за апрель 2002 года... Она явно не обновлялась для изменений DCOM, сделанных в Windows XP SP2. http://technet.microsoft.com/en-us/library/bb457148.aspx)

Разрешения DCOM хранятся в реестре как ключи REG_BINARY. На складе нет группового механизма для манипулирования ими. Должна быть возможность реплицировать значение LaunchPermission (см. Его в HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID{56BE716B-2F76-4dfa-8702-67AE10044F0B} после изменения разрешений на запуск, например) между различными компьютерами с простым объединением реестра, поскольку ACL, который мы размещаем на ресурсе, называет только общеизвестные идентификаторы безопасности, а не компьютерные или доменные SID.

Я бы просто предоставил пользователю права "Администратор" и покончил бы с этим, но, безусловно, есть другой вариант, если вы хотите это сделать.