Há duas coisas não relacionadas acontecendo aqui.
Normalmente, as permissões NTFS impedem que outros usuários leiam seus arquivos. Para que alguém possa ler arquivos no seu perfil, você precisa modificar a "Lista de Controle de Acesso" (ACL) para conceder permissão de leitura:
Mas isso significa que, para fazer backup de todos os arquivos em um computador, o usuário que está executando o backup precisa ter Read
permissão:
- para todo arquivo
- em todas as pastas
- em todo perfil
Isso é apenas uma dor; e não algo que você realmente queira fazer.
Digite o privilégio de backup
Felizmente, o Windows NT criou uma maneira de certos usuários serem capazes de ignorar todas essas verificações de segurança da NTFS ACL, lendo arquivos que eles não têm permissão para ler, para que possam fazer backup deles.
É um "privilégio" especial chamadoSeBackupPrivilege
SE_BACKUP_NAME
Necessário para executar operações de backup. Esse privilégio faz com que o sistema conceda todo o controle de acesso de leitura a qualquer arquivo, independentemente da lista de controle de acesso (ACL) especificada para o arquivo. Qualquer solicitação de acesso que não seja de leitura ainda é avaliada com a ACL. Esse privilégio é exigido pelos RegSaveKey e RegSaveKeyEx funções. Os seguintes direitos de acesso são concedidos se esse privilégio for mantido:
- READ_CONTROL
- ACCESS_SYSTEM_SECURITY
- FILE_GENERIC_READ
- FILE_TRAVERSE
Direito do usuário: Faça backup de arquivos e diretórios.
Se você tiver esse privilégio, ignore todas as verificações de segurança do NTFS se tentar abrir um arquivo no "modo de backup" . Quando o software de backup tenta abrir um arquivo, ele inclui o FILE_FLAG_BACKUP_SEMANTICS
sinalizador:
FILE_FLAG_BACKUP_SEMANTICS
O arquivo está sendo aberto ou criado para uma operação de backup ou restauração. O sistema garante que o processo de chamada substitua as verificações de segurança de arquivo quando o processo tiver privilégios SE_BACKUP_NAME e SE_RESTORE_NAME .
Concedendo o privilégio de backup de arquivos e diretórios
Privilégios são concedidos a usuários ou grupos. O Windows é enviado com um grupo que já possui o privilégio SeBackupPrivilege
(também conhecido como "arquivos e diretórios de backup" ) ativado:
- Nome do grupo : Operadores de Backup
- SID :
S-1-5-32-551
- Descrição: um grupo interno. Por padrão, o grupo não tem membros. Os operadores de backup podem fazer backup e restaurar todos os arquivos em um computador, independentemente das permissões que protegem esses arquivos. Os operadores de backup também podem fazer logon no computador e desligá-lo.
Você pode ver esse privilégio atribuído a esse grupo executando secpol.msc
e navegando para:
- Configurações de segurança
- Políticas locais
- Atribuições de direitos de usuário
- Fazer backup de arquivos e diretórios
O privilégio é poderoso o suficiente para que você não queira concedê-lo à vontade aos usuários; é por isso que é concedido apenas ao grupo de operadores de backup .
E agora, se você estiver executando um software de backup, verifique se o software está sendo executado como usuário com o grupo SeBackupPrivilege
(isto é, um membro do Operadores de Backup ). E então o seu software de backup pode fazer o trabalho de fazer backup de arquivos.
Mas você ainda precisa executá-lo
A maioria dos softwares de backup você simplesmente executa. Ou você pode executá-lo em uma tarefa agendada.
Mas o Backup do Windows não é apenas um programa que você executa; é um serviço . E, para iniciar, interromper ou configurar serviços, você (geralmente) precisa ser membro do grupo Administradores .
É isso que está te impedindo aqui. Você está olhando para um software de backup particular, que aconteceu a decidir instalar-se como um serviço, e aconteceu para decidir que você precisa ser um administrador para configurar.
E os operadores de backup não têm permissões de ACL para iniciar / parar serviços.
É isso que está enganando você.
- Os operadores de backup podem ignorar apenas as verificações de NTFS ACL
- eles não podem iniciar / parar / configurar serviços
Log on as a batch job
é dado aAdministrators
,Backup Operators
ePerformance Log Users
. Enquanto isso dá implicitamente o direito à minhaBackupUser5
utilizador, dei explicitamente que este direito, desconectado, conectado no de volta, e repetiu o procedimento, sem sucesso :(