Имеется DC на Windows 2000 AS SP4 английский.
Требуется по расписанию запускать на нём ntbackup.
Создал специального пользователя (DOMAIN\bu), включил его во встроенную в домене группу "Операторы архива".
Создал задание, которое запускает ntbackup под пользователем DOMAIN\bu. При попытке запуска задания, ntbakcup возникает в памяти, но не начинает выполнять своё задание. В security-логи возникает запись:
Event Type: Failure Audit
Event Source: Security
Event Category: Object Access
Event ID: 560
Date: 31.08.2004
Time: 18:00:40
User: DOMAIN\bu
Computer: SERVER
Description:
Object Open:
Object Server: SC Manager
Object Type: SC_MANAGER OBJECT
Object Name: ServicesActive
New Handle ID: -
Operation ID: {0,1814094}
Process ID: 256
Primary User Name: SERVER$
Primary Domain: DOMAIN
Primary Logon ID: (0x0,0x3E7)
Client User Name: bu
Client Domain: DOMAIN
Client Logon ID: (0x0,0x1BA71C)
Accesses DELETE
READ_CONTROL
WRITE_DAC
WRITE_OWNER
Connect to service controller
Create a new service
Enumerate services
Lock service database for exclusive access
Query service database lock state
Set last-known-good state of service database
Privileges -
Соответстенно, ntbackup продолжает висеть в памяти и ничего не делает.
Если включить DOMAIN\bu в группу доменных админов, то всё выполняется отлично.
Мне кажется, что ntbackup пытается законнектиться с сервисом Removable Storage.
В интернете и у микрософта искал.
Что делать?
Попробуй для службы Removable Storage выставить соответствующий ACL. Могу помочь с утилитой.01.09.04 07:26 Автор: HandleX <Александр М.> Статус: The Elderman
Выставил Everyone - Full Control для этой службы. Результат такой же. Из текста ошибки видно, что доступ нужен не на Removable Storage, a на некий объект ActiveServices.
Кстати, когда я пытаюсь просто сделать Runas ntbackup из-под DOMAIN\bu, он запускается, но выдаёт сообщение, что не смог соединиться со службой Removable Storage.
Ещё идеи?
Не знаю с чего бы это...01.09.04 22:06 Автор: Deviator <n/a> Статус: Member
но во всех примерах конфигурации бэкапа по расписанию которые я видел на сайте MS, учётка, из под которой это делалось входила и в группу админов и в бэкап операторов.
Как вариант - сделай эту учётку членом домайн админов и зарежь ей всё, что не надо через ГПО.
А учетной записи system даны права на то, что бэкапишь?31.08.04 19:22 Автор: Den <Денис Т.> Статус: The Elderman
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
