Назад | Перейти на главную страницу

Событие 10016 при запуске ntbackup от имени пользователя в группе «Операторы архива»

Я создал пользователя Windows 2003 AD и развернул его в локальной группе операторов резервного копирования через группу с ограничениями в политике домена по умолчанию. Затем я перезапустил клиента, чтобы убедиться, что этот пользователь был добавлен в группу, что и было.

Однако, когда я пытаюсь запустить задание ntbackup от имени этого пользователя, я получаю событие 10016:

Event Type: Error
Event Source:   DCOM
Event Category: None
Event ID:   10016
Date:       8/26/2009
Time:       9:58:28 AM
User:       myDomain\foobackup
Computer:   BRANDT-VM
Description:
The machine-default permission settings do not grant Local Activation permission for the COM Server application with CLSID 
{D61A27C.....}
 to the user myDomain\foobackup SID (S-1-5-21.....).  This security permission can be modified using the Component Services administrative tool.

Я пробовал это на паре разных клиентов XP и столкнулся с той же проблемой. Кажется, что задание ntbackup выполняется бесконечно без записи журнала ошибок или создания файла bkf в общей сетевой папке.

Вероятно, этот GUID - это {D61A27C1-8F53-11D0-BFA0-00A024151983}, который является AppID для диспетчера съемных носителей.

Хотя верно, что «Операторам резервного копирования» предоставлена ​​привилегия «SeBackupPrivilege», очевидно, что Microsoft не потрудилась (по крайней мере, в Windows XP Professional) предоставить им явное разрешение на приложения DCOM, необходимые для фактического выполнения резервного копирования на основе запланированных задач. работай.

У вас есть несколько вариантов. Вы можете просто дать этому пользователю права «Администратор», и тогда все будет «просто работать».

Я также прошел через испытание, пытаясь выяснить, для каких объектов DCOM необходимо изменить разрешения, чтобы эта работа работала с пользователем, который является только членом «Пользователи» и «Операторы резервного копирования». Чтобы проверить это, с помощью оснастки консоли управления «Службы компонентов» перейдите в «Службы компонентов», «Компьютеры», «Мой компьютер» и «Конфигурация DCOM». Измените «Разрешения на запуск и активацию» для каждого из названных ниже объектов, изменив параметр с «Использовать по умолчанию» на «Настроить» и добавив «Операторы резервного копирования» с разрешениями «Локальный запуск» и «Локальная активация» для каждого из них.

  • Съемный диспетчер хранилища
  • Съемный слой раковины хранения
  • Служба теневого копирования тома

После изменения этих разрешений я обнаружил, что могу запустить задание резервного копирования как запланированное в контексте пользователя, у которого, как я и ожидал, были только функции членства в группах «Пользователи» и «Операторы резервного копирования».

Microsoft знает об этой проблеме (см. http://support.microsoft.com/kb/311866), но в их статье нет правильного решения. (Это тоже статья за апрель 2002 года ... Она явно не обновлялась с учетом изменений в DCOM, сделанных в Windows XP SP2. http://technet.microsoft.com/en-us/library/bb457148.aspx)

Разрешения DCOM хранятся в реестре как ключи REG_BINARY. Нет никакого известного мне механизма в стандартной групповой политике для управления ими. Должна быть возможность реплицировать значение LaunchPermission (например, см. Его в HKEY_LOCAL_MACHINE \ SOFTWARE \ Classes \ AppID {56BE716B-2F76-4dfa-8702-67AE10044F0B}) между разными компьютерами с помощью простого слияния реестра, потому что ACL, который мы размещаем для ресурса, называет только известные идентификаторы безопасности, а не идентификаторы безопасности компьютера или домена.

Я бы просто дал пользователю права «Администратор» и покончил с этим, но, безусловно, есть и другой вариант, если вы хотите это сделать.