Я создал пользователя Windows 2003 AD и развернул его в локальной группе операторов резервного копирования через группу с ограничениями в политике домена по умолчанию. Затем я перезапустил клиента, чтобы убедиться, что этот пользователь был добавлен в группу, что и было.
Однако, когда я пытаюсь запустить задание ntbackup от имени этого пользователя, я получаю событие 10016:
Event Type: Error
Event Source: DCOM
Event Category: None
Event ID: 10016
Date: 8/26/2009
Time: 9:58:28 AM
User: myDomain\foobackup
Computer: BRANDT-VM
Description:
The machine-default permission settings do not grant Local Activation permission for the COM Server application with CLSID
{D61A27C.....}
to the user myDomain\foobackup SID (S-1-5-21.....). This security permission can be modified using the Component Services administrative tool.
Я пробовал это на паре разных клиентов XP и столкнулся с той же проблемой. Кажется, что задание ntbackup выполняется бесконечно без записи журнала ошибок или создания файла bkf в общей сетевой папке.
Вероятно, этот GUID - это {D61A27C1-8F53-11D0-BFA0-00A024151983}, который является AppID для диспетчера съемных носителей.
Хотя верно, что «Операторам резервного копирования» предоставлена привилегия «SeBackupPrivilege», очевидно, что Microsoft не потрудилась (по крайней мере, в Windows XP Professional) предоставить им явное разрешение на приложения DCOM, необходимые для фактического выполнения резервного копирования на основе запланированных задач. работай.
У вас есть несколько вариантов. Вы можете просто дать этому пользователю права «Администратор», и тогда все будет «просто работать».
Я также прошел через испытание, пытаясь выяснить, для каких объектов DCOM необходимо изменить разрешения, чтобы эта работа работала с пользователем, который является только членом «Пользователи» и «Операторы резервного копирования». Чтобы проверить это, с помощью оснастки консоли управления «Службы компонентов» перейдите в «Службы компонентов», «Компьютеры», «Мой компьютер» и «Конфигурация DCOM». Измените «Разрешения на запуск и активацию» для каждого из названных ниже объектов, изменив параметр с «Использовать по умолчанию» на «Настроить» и добавив «Операторы резервного копирования» с разрешениями «Локальный запуск» и «Локальная активация» для каждого из них.
После изменения этих разрешений я обнаружил, что могу запустить задание резервного копирования как запланированное в контексте пользователя, у которого, как я и ожидал, были только функции членства в группах «Пользователи» и «Операторы резервного копирования».
Microsoft знает об этой проблеме (см. http://support.microsoft.com/kb/311866), но в их статье нет правильного решения. (Это тоже статья за апрель 2002 года ... Она явно не обновлялась с учетом изменений в DCOM, сделанных в Windows XP SP2. http://technet.microsoft.com/en-us/library/bb457148.aspx)
Разрешения DCOM хранятся в реестре как ключи REG_BINARY. Нет никакого известного мне механизма в стандартной групповой политике для управления ими. Должна быть возможность реплицировать значение LaunchPermission (например, см. Его в HKEY_LOCAL_MACHINE \ SOFTWARE \ Classes \ AppID {56BE716B-2F76-4dfa-8702-67AE10044F0B}) между разными компьютерами с помощью простого слияния реестра, потому что ACL, который мы размещаем для ресурса, называет только известные идентификаторы безопасности, а не идентификаторы безопасности компьютера или домена.
Я бы просто дал пользователю права «Администратор» и покончил с этим, но, безусловно, есть и другой вариант, если вы хотите это сделать.