Windows Server 2008 verweigert wiederherstellung von Schattenkopien
Hallo,
Ich hoffe es kann mir jemand helfen. Auf einem Windows Server 2008 R2 werden regelmäßig Schattenkopien erstellt. Ich bin zwar der Administrator, jedoch scheinen einige Dateien andere Rechte bekommen zu haben. Wie auch immer das geschehen sein mag, ich kann es mir nicht erklären. Nun muss ich die Dateien Wiederherstellen und es klappt nicht.
Die Dateien sind natürlich Schreibgeschützt und ich kann den Schutz nicht aufheben. Auch den "Administrator" als "Besitzer" der Dateien zu setzen klappt nicht, kein Zugriff.
Ich verzweifle langsam an dieser Stelle. VSSadmin hat mir leider auch nichts gebracht.
Hat jemand eine Idee wie ich die Dateien retten kann?
Es klappte nicht mit "Netzwerk Admin" und auch nicht mit "Localadmin" Rechten
Danke und Gruß
Ich hoffe es kann mir jemand helfen. Auf einem Windows Server 2008 R2 werden regelmäßig Schattenkopien erstellt. Ich bin zwar der Administrator, jedoch scheinen einige Dateien andere Rechte bekommen zu haben. Wie auch immer das geschehen sein mag, ich kann es mir nicht erklären. Nun muss ich die Dateien Wiederherstellen und es klappt nicht.
Die Dateien sind natürlich Schreibgeschützt und ich kann den Schutz nicht aufheben. Auch den "Administrator" als "Besitzer" der Dateien zu setzen klappt nicht, kein Zugriff.
Ich verzweifle langsam an dieser Stelle. VSSadmin hat mir leider auch nichts gebracht.
Hat jemand eine Idee wie ich die Dateien retten kann?
Es klappte nicht mit "Netzwerk Admin" und auch nicht mit "Localadmin" Rechten
Danke und Gruß
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 239556
Url: https://administrator.de/contentid/239556
Ausgedruckt am: 24.11.2024 um 12:11 Uhr
21 Kommentare
Neuester Kommentar
Moin Jacksoney,
Wenn selbst das in Besitz nehmen der Dateien nicht geht, stimmt bei dir aber was gehörig nicht. Ich würde in diesem Fall mal ein chkdsk c: /f über die Platte laufen lassen um die Konsistenz der Security-Descriptors sicherzustellen.
Was bekommst du denn für Fehlermeldungen beim Versuch die Sicherheitseinstellungen zu ändern bzw. was sagen die Eventlogs über das Verhalten insbesondere das Security Eventlog?
Hat der Ordner noch weitere übergeordnete Ordner, und haben dort die Admins genügend Rechte rekursiv auf alle Unterordner ?
Grüße Uwe
Die Dateien sind natürlich Schreibgeschützt
mit Dateien meinst du die normalen Userdaten und nicht die Schattenkopien selbst oder ?Wenn selbst das in Besitz nehmen der Dateien nicht geht, stimmt bei dir aber was gehörig nicht. Ich würde in diesem Fall mal ein chkdsk c: /f über die Platte laufen lassen um die Konsistenz der Security-Descriptors sicherzustellen.
Was bekommst du denn für Fehlermeldungen beim Versuch die Sicherheitseinstellungen zu ändern bzw. was sagen die Eventlogs über das Verhalten insbesondere das Security Eventlog?
Hat der Ordner noch weitere übergeordnete Ordner, und haben dort die Admins genügend Rechte rekursiv auf alle Unterordner ?
Grüße Uwe
Ist das Verständlich?
noch immer nicht ganz.Was hantierst du mit den Rechten in den Schattenkopien herum ? Da solltest du unbedingt die Finger von lassen das macht der VSS von selber.
Welche Dateien sind nun weg ? Dateien in den Schattenkopien oder "normale" Dateien im Dateisystem ?
Du verlässt dich auf die Schattenkopien als Backup ? Diese ersetzen kein "richtiges" Backup was du selbstverständlich zur Hand haben solltest.
http://www.shadowexplorer.com/
Files aus den Schattenkopien holen, rechte überprüfen bzw. entsprechend zuweisen, oder Backup zurückspielen, feddich
ist die Laube.
Grüße Uwe
Du kannst dir auf der Kommandozeile die Snapshots einees Laufwerks vom VSS anzeigen lassen (natürlich alles in einer administrativen Konsole):
Für die Anzeige alle VSS Snapshots z.B. für das Laufwerk D:\ gibst du folgendes ein
In dieser Liste wählst du deinen gewünschten Snapshot raus und kopierst dir den Pfad hinter : Schattenkopievolume:. Zu diesem Pfad kannst du dir einen Symbolischen Link erzeugen den du dann über den Explorer ansprechen kannst: (WICHTIG an den Pfad musst du einen abschließenden Backslash anhängen)
Jetzt kannst du die VSS-Kopie unter D:\VSSKopie ansprechen. Noch ein Hinweis, den Ordner D:\VSSKopie darfst du nicht selber im Explorer anlegen, das macht mklink von selbst.
Prüfe auch zusätzlich nochmal nach ob der "System"-Account Vollzugriff auf den Root-Ordner des Laufwerks besitzt !
Noch mehr dazu steht hier: http://encase-forensic-blog.guidancesoftware.com/2012/06/examining-volu ...
Grüße Uwe
Für die Anzeige alle VSS Snapshots z.B. für das Laufwerk D:\ gibst du folgendes ein
vssadmin list shadows /for=D:
mklink /d D:\VSSKopie \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy36\
Prüfe auch zusätzlich nochmal nach ob der "System"-Account Vollzugriff auf den Root-Ordner des Laufwerks besitzt !
Noch mehr dazu steht hier: http://encase-forensic-blog.guidancesoftware.com/2012/06/examining-volu ...
Grüße Uwe
der Pfad einer Schattenkopie aus vssadmin list shadows sollte eher in dieser Art aussehen : \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy29. Ich weiß nicht woher du diesen Pfad hast. Irgendwas machst du da falsch, ich seh's nur nicht
Grüße Uwe
Falls die eine bessere Lösung einfällt
denke hier hilft ansonsten nur noch Teamviewer ...Grüße Uwe
Öffne mal eine Konsole mit Systemrechten via Sysinternals PSEXEC: und mounte darin die Shadow-Copy.
Dann solltest du in der Konsole eventuell auf die Files zugreifen können.
psexec.exe \\localhost /s cmd.exe
Hi,
@colinardo
Dieses Verfahren mit dem Symlink auf eine VSS-Copy ist ne coole Sache! Danke für den Tipp. Das teste ich mal.
@Jacksoney
Wenn das mit den Symlink so funktioniert, dann solltest Du mit einem Backup Operator (i.A. ist der lokale Admin einer) die Dateien auch mit Robocopy und Oprion /B kopieren können.
mfg
E.
@colinardo
Dieses Verfahren mit dem Symlink auf eine VSS-Copy ist ne coole Sache! Danke für den Tipp. Das teste ich mal.
@Jacksoney
Wenn das mit den Symlink so funktioniert, dann solltest Du mit einem Backup Operator (i.A. ist der lokale Admin einer) die Dateien auch mit Robocopy und Oprion /B kopieren können.
mfg
E.
Und da bin ich schon wieder.
@colinardo
Den Symlink kann ich erstellen. Aber wenn ich den dann öffnen wil, dann kommt
"Der Pfad ist nicht verfügbar.
Auf C:\VSStest kann nicht zugegriffen werden.
Falscher Parameter."
Egal ob im Explorer oder CMD. Egal ob als Administrator oder als Local System.
Habe ich noch was vergessen?
E.
C:\>vssadmin list shadows /for=C:
vssadmin 1.1 - Verwaltungsbefehlszeilenprogramm des Volumeschattenkopie-Dienstes
(C) Copyright 2001-2005 Microsoft Corp.
Inhalte der Schattenkopiesatzkennung: {a33bf6bf-b01b-44c9-93fe-e56ce1cddc27}
1 Schattenkopie(n) war(en) enthalten bei der Erstellungszeit: 30.05.2014 13:02:16
Schattenkopienkennung: {1a2af1ee-4b3c-463b-8060-4c5dbe241343}
Ursprüngliches Volume: (C\\?\Volume{07c19102-ae54-11e1-80aa-806e6f6e6963}\
Schattenkopievolume: \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1
Quellcomputer: XXXXX
Dienstcomputer: XXXXX
Anbieter: "Microsoft Software Shadow Copy provider 1.0"
Typ: ClientAccessible
Attribute: Permanent, Clientzugänglich, Keine automatische Freigabe, Keine Verfasser, Differenziell
C:\>mklink /d C:\VSStest \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1
symbolische Verknüpfung erstellt für C:\VSStest <<===>> \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1
C:\>cd vsstest
Falscher Parameter.
@colinardo
Den Symlink kann ich erstellen. Aber wenn ich den dann öffnen wil, dann kommt
"Der Pfad ist nicht verfügbar.
Auf C:\VSStest kann nicht zugegriffen werden.
Falscher Parameter."
Egal ob im Explorer oder CMD. Egal ob als Administrator oder als Local System.
Habe ich noch was vergessen?
E.
C:\>vssadmin list shadows /for=C:
vssadmin 1.1 - Verwaltungsbefehlszeilenprogramm des Volumeschattenkopie-Dienstes
(C) Copyright 2001-2005 Microsoft Corp.
Inhalte der Schattenkopiesatzkennung: {a33bf6bf-b01b-44c9-93fe-e56ce1cddc27}
1 Schattenkopie(n) war(en) enthalten bei der Erstellungszeit: 30.05.2014 13:02:16
Schattenkopienkennung: {1a2af1ee-4b3c-463b-8060-4c5dbe241343}
Ursprüngliches Volume: (C\\?\Volume{07c19102-ae54-11e1-80aa-806e6f6e6963}\
Schattenkopievolume: \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1
Quellcomputer: XXXXX
Dienstcomputer: XXXXX
Anbieter: "Microsoft Software Shadow Copy provider 1.0"
Typ: ClientAccessible
Attribute: Permanent, Clientzugänglich, Keine automatische Freigabe, Keine Verfasser, Differenziell
C:\>mklink /d C:\VSStest \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1
symbolische Verknüpfung erstellt für C:\VSStest <<===>> \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1
C:\>cd vsstest
Falscher Parameter.
Danke schon mal für die Hilfe bis her, ein Frage noch. unter welchem Pfad finde ich die "Schattenkopien" unter Linux?
http://www.epyxforensics.com/node/46
Ist zwar schon älter der Thread, aber für alle die hier noch mit dem selben Problem vorbei kommen sollten... Eine Schritt für Schritt Anleitung gibt's in diesem Thread mit der selben Fragestellung:
Schattenkopien - Besitzer - Profilordner
Grüße Uwe
Schattenkopien - Besitzer - Profilordner
Grüße Uwe