我创build了Windows 2003 AD用户,并通过默认域策略上的受限制组将用户部署到本地Backup Operators组。 然后,我重新启动了一个客户端,以确保该用户被添加到组中。
但是,当我尝试以该用户身份运行ntbackup作业时,我得到事件10016:
Event Type: Error Event Source: DCOM Event Category: None Event ID: 10016 Date: 8/26/2009 Time: 9:58:28 AM User: myDomain\foobackup Computer: BRANDT-VM Description: The machine-default permission settings do not grant Local Activation permission for the COM Server application with CLSID {D61A27C.....} to the user myDomain\foobackup SID (S-1-5-21.....). This security permission can be modified using the Component Services administrative tool. 我已经在几个不同的XP客户端上尝试过,并且有同样的问题。 ntbackup作业似乎无限期运行,无需编写错误日志或在networking共享上创buildbkf文件。
该GUID可能是{D61A27C1-8F53-11D0-BFA0-00A024151983},它是可移动存储pipe理器的AppID。
虽然“Backup Operators”确实授予了“SeBackupPrivilege”权限,但显然Microsoft并没有打扰(至less在Windows XP Professional中)授予他们实际运行基于Scheduled Task的备份所需的DCOM应用程序的明确权限工作。
你有几个select。 你可以给这个用户“pipe理员”的权利,然后一切将“只是工作”。
我也经历了考虑哪些DCOM对象需要更改其权限的考验,以使其只与“用户”和“备份操作员”的成员一起工作。 要testing它,使用“组件服务”pipe理控制台pipe理单元,导航到“组件服务”,“计算机”,“我的电脑”和“DCOMconfiguration”。 修改下面命名的每个对象的“启动和激活权限”,将设置从“使用默认值”更改为“自定义”,并添加“备份操作员”同时具有“本地启动”和“本地激活”权限。
在更改这些权限之后,我发现我能够在一个用户环境下作为一个计划任务运行备份作业,而这个用户环境只有“用户”和“备份操作员”组成员的function。
Microsoft知道这个问题(请参阅http://support.microsoft.com/kb/311866 ),但他们的文章不提供正确的解决scheme。 (这也是2002年4月的一篇文章…显然,它没有更新Windows XP SP2中对DCOM的更改。http: //technet.microsoft.com/zh-cn/library/bb457148.aspx )
DCOM权限作为REG_BINARY键存储在registry中。 我没有意识到股票组策略中操纵它们的机制。 应该可以通过简单的registry合并来复制LaunchPermission值(例如,在更改启动权限后,在HKEY_LOCAL_MACHINE \ SOFTWARE \ Classes \ AppID {56BE716B-2F76-4dfa-8702-67AE10044F0B}我们在资源上放置的ACL只命名众所周知的SID,没有机器或域特定的SID。
我只是授予用户“pipe理员”的权利,并完成它,但肯定有另一种select,如果你想这样做。