3
Windows - Zugriff auf VSS ohne Admin-Rechte
Hi,
weiß jemand zufällig, welche Rechte man einem Windows Benutzer erteilen muss, damit dieser auf die Eigenschaften des Volume Shadow Copy Storage zugreifen kann, ohne dass dieser dabei lokaler Administrator sein zu muss?
Hintergrund:
Ich frage die Fileserver in den Domänen remote ab und werte aus, welche Einstellungen für den VSS-Speicher gelten, wieviel VSS Kopien z.Z. für ein Volume existieren und wievel HDD- und VSS-Speicher z.Z. noch frei sind. Das Ganze erfolgt per Powershell und der WMI Klassen Win32_ShadowStorage, Win32_ShadowCopy und Win32_Volume. Also kein Hexenwerk. Der Haken: Das Script kommt (bisher) nur dann an die Daten ran, wenn der Benutzer, unter welchem das Script ausgeführt wird, Mitglied der lokalen Administratoren des abgefragten Computers ist. Da das Script als Geplante Aufgabe laufen soll und auch noch andere Admins Zugriff auf diesen Computer haben (dort wo der Task läuft), will ich den Task unter einem Konto laufen lassen, welches nur über die wirklich benötigten Rechte verfügt.
Ich habe es schon über die Mitgliedschaften in den Standardgruppen versucht:
Auch über Anpassen der Berechtigungen im WMI über wmimgmt.msc.
Root\CimV2 --> Den betreffenden Benutzer berechtigt (erst nur "Konto aktivieren" + "Remoteaktivierung", später auch mit vollen Rechten)
Das hat bisher alles nichts gebracht.
E.
weiß jemand zufällig, welche Rechte man einem Windows Benutzer erteilen muss, damit dieser auf die Eigenschaften des Volume Shadow Copy Storage zugreifen kann, ohne dass dieser dabei lokaler Administrator sein zu muss?
Hintergrund:
Ich frage die Fileserver in den Domänen remote ab und werte aus, welche Einstellungen für den VSS-Speicher gelten, wieviel VSS Kopien z.Z. für ein Volume existieren und wievel HDD- und VSS-Speicher z.Z. noch frei sind. Das Ganze erfolgt per Powershell und der WMI Klassen Win32_ShadowStorage, Win32_ShadowCopy und Win32_Volume. Also kein Hexenwerk. Der Haken: Das Script kommt (bisher) nur dann an die Daten ran, wenn der Benutzer, unter welchem das Script ausgeführt wird, Mitglied der lokalen Administratoren des abgefragten Computers ist. Da das Script als Geplante Aufgabe laufen soll und auch noch andere Admins Zugriff auf diesen Computer haben (dort wo der Task läuft), will ich den Task unter einem Konto laufen lassen, welches nur über die wirklich benötigten Rechte verfügt.
Ich habe es schon über die Mitgliedschaften in den Standardgruppen versucht:
- Leistungsprotokollbenutzer
- Leistungsüberwachungsbenutzer
- Remoteverwaltungsbenutzer
- Hauptbenutzer
Auch über Anpassen der Berechtigungen im WMI über wmimgmt.msc.
Root\CimV2 --> Den betreffenden Benutzer berechtigt (erst nur "Konto aktivieren" + "Remoteaktivierung", später auch mit vollen Rechten)
Das hat bisher alles nichts gebracht.
E.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 352716
Url: https://administrator.de/contentid/352716
Printed on: April 24, 2024 at 18:04 o'clock
3 Comments
Latest comment
Bisher habe ich immer folgendes benutzt
Local Administrator rights on target
Kann ja ein Service Account sein den Du entsprechend berechtigst. Anders wird der VSS wohl nicht nutzbar sein.
Local Administrator rights on target
Kann ja ein Service Account sein den Du entsprechend berechtigst. Anders wird der VSS wohl nicht nutzbar sein.
Hi.
Warum nicht anders herum machen und die Server selbst regelmäßig irgendwo hinloggen lassen?
Warum nicht anders herum machen und die Server selbst regelmäßig irgendwo hinloggen lassen?
1
Hi DWW,
ja klar, das geht auch. Das ist mein Plan B. Das ist aber umständlicher. Man benötigt eine "Datenbank" und wenn es nur eine Freigabe ist.
E.
ja klar, das geht auch. Das ist mein Plan B. Das ist aber umständlicher. Man benötigt eine "Datenbank" und wenn es nur eine Freigabe ist.
E.
