Robocopy копирует файлы из источника в пункт назначения в режиме резервного копирования с сохранением разрешений безопасности файлов.

На чтение 3 мин Опубликовано 10.01.2025

Вопрос или проблема

Мне нужно использовать Robocopy для копирования файлов и папок из одного общего сетевого расположения в другое в режиме перезапускаемого резервного копирования с учётом разрешений безопасности.

Моя текущая команда:

robocopy \\sourceServer\src \\destinationServer\dest /E /XO /Z /R:5 /W:30 /MIR

Я планирую использовать флаги /zb и /SEC, для которых пользователю необходимо предоставить следующие привилегии:

 Управление аудитом и журналом безопасности   SeSecurityPrivilege 
 Резервное копирование файлов и каталогов     SeBackupPrivilege

Пользователь, от имени которого будет выполнена команда, имеет разрешения на чтение и запись на обоих общих дисках. Мне нужно знать, нужно ли предоставлять вышеупомянутые привилегии моему пользователю:

На исходной машине
На целевой машине
На клиентской машине, где я выполняю эту команду.
На всех машинах

Вариант 4 – но сделайте это через GPO на уровне домена.

Создайте новый объект групповой политики (или отредактируйте существующий, если предпочитаете) и добавьте пользователя к этим двум привилегиям в Конфигурация компьютера --> Параметры Windows --> Параметры безопасности --> Локальные политики --> Назначение прав пользователя. Примените GPO к соответствующему OU и перезагрузите postра4енные машины, чтобы изменения вступили в силу.

Ответ или решение

Рассмотрим задачу настройки команды Robocopy для зеркалирования файлов и папок с одного сетевого ресурса на другой с использованием режима резервного копирования и с сохранением прав доступа к файлам. Ваша текущая команда выглядит следующим образом:

robocopy \\sourceServer\src \\destinationServer\dest /E /XO /Z /R:5 /W:30 /MIR

Для достижения цели вы планируете использовать флаги /zb и /SEC. Эти флаги обеспечивают выполнение команды Robocopy в режиме перезапуска и с переносом всех прав безопасности. Однако для использования этих флагов необходимы определенные привилегии:

SeSecurityPrivilege — управление аудитом и ведение журнала безопасности.
SeBackupPrivilege — резервное копирование файлов и каталогов.

Теперь рассмотрим необходимость предоставления вышеуказанных привилегий на разных машинах:

На исходной машине:
Пользователь должен обладать привилегией SeBackupPrivilege, чтобы иметь возможность копировать файлы в режиме резервного копирования, особенно если файлы защищены.
На целевой машине:
Для успешного применения атрибутов безопасности (/SEC), пользователь должен иметь привилегию SeRestorePrivilege.
На клиентской машине, где выполняется команда:
Привилегии должны быть предоставлены, так как именно здесь команда выполняется и определяется контекст работы.
На всех машинах:
Наиболее целесообразным является предоставление всех необходимых привилегий на всех взаимообменных машинах (исходной, целевой и клиентской). Это обеспечит корректную работу команды Robocopy в любых обстоятельствах.

Для оптимизации процесса и удобства управления правами, рекомендуется использовать Групповую политику (GPO) на уровне домена. Это следует сделать следующим образом:

Создайте новый объект групповой политики или измените существующий.
Добавьте необходимые привилегии для пользователя, выполнив переход к:
Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> User Rights Assignment.
Привяжите GPO к соответствующему организационному подразделению (OU).
Перезагрузите затронутые машины для применения изменений.

Таким образом, предоставив необходимые права через GPO, вы создадите централизованное управление доступом, что обеспечит корректную и безопасную работу Robocopy и сохранение всех необходимых прав безопасности файлов.

Помните, что корректное управление правами доступа имеет решающее значение, особенно в корпоративной среде, для предотвращения несанкционированного доступа к данным и обеспечения их целостности.