我们有一个Windows备份软件包,将虚拟机备份文件系统显示为iSCSI挂载。 帮助台用户需要执行恢复操作,这是通过将文件从安装的时间点文件系统复制回生产系统来完成的。 有帮助台人员无法访问的各种文件,因此无法恢复。 我们的安全人员不会让帮助台增加访问。
我认为一个可能的解决scheme是帮助台使用Windows备份/恢复权限复制文件,但我不知道有任何方式让他们浏览,select文件,然后将其移动到目标。 是否有某种Windows资源pipe理器types的程序可以设置为使用备份API? 我找不到任何东西,进行了相当广泛的互联网search。
您必须将Robocopy与/ MIR开关一起使用,因为它将保留所有的NTFS权限。
Robocopy很容易用PowerShell编写,现在有了一些不错的GUI。
https://gallery.technet.microsoft.com/scriptcenter/PowerShell-Robocopy-GUI-08c9cacb
https://technet.microsoft.com/en-us/library/2006.11.utilityspotlight.aspx
您的帮助台人员不需要直接向正在恢复的数据授予NTFS权限。 相反,他们需要成为内置Backup Operators组的成员。 根据TechNet :
无论保护这些文件的权限如何,该组的成员都可以备份和还原计算机上的文件。 这是因为执行备份的权利优先于所有文件权限。 该组的成员不能更改安全设置。
该组中的成员授予用户以下用户权限分配:
换句话说,没有必要授予服务台人员对数据的NTFS权限。 但是,如果他们没有数据的权限,一旦它恢复到磁盘上,他们将无法访问它,除非备份软件允许他们将其恢复到他们有权修改NTFS权限的位置恢复的数据。 备份操作员组中的成员身份不足以授予他们更改NTFS权限的权限。
如果您的IT部门不愿意成为备份操作员组的帮助台成员,那么请考虑帮助台免除了恢复数据的责任,因为这些用户权限需要执行文件恢复而不需要更多(即pipe理员)权限。