У нас есть пакет резервного копирования Windows, который представляет файловые системы резервных копий виртуальных машин в виде подключений iSCSI. Пользователи службы поддержки должны выполнять операции восстановления, которые выполняются путем копирования файлов из смонтированной файловой системы на определенный момент времени обратно в производственную систему. Существуют различные файлы, к которым сотрудники службы поддержки не имеют доступа и поэтому не могут восстановить. Наши сотрудники службы безопасности не позволят службе поддержки получить более широкий доступ.
Я думаю, что возможное решение для службы поддержки - использовать привилегию резервного копирования / восстановления Windows для копирования файлов, но я не знаю, как они могут просмотреть, выбрать файл и затем переместить его в цель. Есть ли какая-то программа типа Windows Explorer, которую можно настроить на использование API резервного копирования? Я ничего не могу найти, выполнив довольно обширные поиски в Интернете.
Вы должны использовать Robocopy с переключателем / MIR, поскольку он сохранит все разрешения NTFS.
Robocopy легко запускается с помощью сценариев с помощью PowerShell и теперь имеет приятный графический интерфейс.
https://gallery.technet.microsoft.com/scriptcenter/PowerShell-Robocopy-GUI-08c9cacb
https://technet.microsoft.com/en-us/library/2006.11.utilityspotlight.aspx
Персоналу службы поддержки не нужно предоставлять разрешения NTFS непосредственно для восстанавливаемых данных. Вместо этого они должны быть членами встроенной Операторы резервного копирования группа. В соответствии с TechNet:
Члены этой группы могут создавать резервные копии и восстанавливать файлы на компьютере независимо от каких-либо разрешений, которые защищают эти файлы. Это связано с тем, что право на выполнение резервного копирования имеет приоритет над всеми разрешениями для файлов. Члены этой группы не могут изменять настройки безопасности.
Членство в этой группе дает пользователю следующие права пользователя:
Другими словами, нет необходимости предоставлять персоналу службы поддержки NTFS разрешения на доступ к данным. Однако если они не имеют разрешение на данные, после их восстановления на диск они не смогут получить к ним доступ, если только программное обеспечение резервного копирования не позволит им восстановить их в место, где у них есть права на изменение разрешений NTFS для восстановленных данных. Членство в группе «Операторы резервного копирования» не достаточно, чтобы предоставить им разрешение на изменение разрешений NTFS.
Если ваш ИТ-отдел не желает сделать сотрудников службы поддержки членами группы операторов резервного копирования, рассмотрите возможность снятия со службы поддержки ответственности за восстановление данных, поскольку эти права пользователя необходимы для выполнения восстановления файлов без дополнительных действий (например, администратора). разрешения.