21
Windows Server 2008 verweigert wiederherstellung von Schattenkopien
Hallo,
Ich hoffe es kann mir jemand helfen. Auf einem Windows Server 2008 R2 werden regelmäßig Schattenkopien erstellt. Ich bin zwar der Administrator, jedoch scheinen einige Dateien andere Rechte bekommen zu haben. Wie auch immer das geschehen sein mag, ich kann es mir nicht erklären. Nun muss ich die Dateien Wiederherstellen und es klappt nicht.
Die Dateien sind natürlich Schreibgeschützt und ich kann den Schutz nicht aufheben. Auch den "Administrator" als "Besitzer" der Dateien zu setzen klappt nicht, kein Zugriff.
Ich verzweifle langsam an dieser Stelle. VSSadmin hat mir leider auch nichts gebracht.
Hat jemand eine Idee wie ich die Dateien retten kann?
Es klappte nicht mit "Netzwerk Admin" und auch nicht mit "Localadmin" Rechten
Danke und Gruß
Ich hoffe es kann mir jemand helfen. Auf einem Windows Server 2008 R2 werden regelmäßig Schattenkopien erstellt. Ich bin zwar der Administrator, jedoch scheinen einige Dateien andere Rechte bekommen zu haben. Wie auch immer das geschehen sein mag, ich kann es mir nicht erklären. Nun muss ich die Dateien Wiederherstellen und es klappt nicht.
Die Dateien sind natürlich Schreibgeschützt und ich kann den Schutz nicht aufheben. Auch den "Administrator" als "Besitzer" der Dateien zu setzen klappt nicht, kein Zugriff.
Ich verzweifle langsam an dieser Stelle. VSSadmin hat mir leider auch nichts gebracht.
Hat jemand eine Idee wie ich die Dateien retten kann?
Es klappte nicht mit "Netzwerk Admin" und auch nicht mit "Localadmin" Rechten
Danke und Gruß
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 239556
Url: https://administrator.de/contentid/239556
Printed on: April 19, 2024 at 21:04 o'clock
21 Comments
Latest comment
Moin Jacksoney,
Wenn selbst das in Besitz nehmen der Dateien nicht geht, stimmt bei dir aber was gehörig nicht. Ich würde in diesem Fall mal ein chkdsk c: /f über die Platte laufen lassen um die Konsistenz der Security-Descriptors sicherzustellen.
Was bekommst du denn für Fehlermeldungen beim Versuch die Sicherheitseinstellungen zu ändern bzw. was sagen die Eventlogs über das Verhalten insbesondere das Security Eventlog?
Hat der Ordner noch weitere übergeordnete Ordner, und haben dort die Admins genügend Rechte rekursiv auf alle Unterordner ?
Grüße Uwe
Die Dateien sind natürlich Schreibgeschützt
mit Dateien meinst du die normalen Userdaten und nicht die Schattenkopien selbst oder ?Wenn selbst das in Besitz nehmen der Dateien nicht geht, stimmt bei dir aber was gehörig nicht. Ich würde in diesem Fall mal ein chkdsk c: /f über die Platte laufen lassen um die Konsistenz der Security-Descriptors sicherzustellen.
Was bekommst du denn für Fehlermeldungen beim Versuch die Sicherheitseinstellungen zu ändern bzw. was sagen die Eventlogs über das Verhalten insbesondere das Security Eventlog?
Hat der Ordner noch weitere übergeordnete Ordner, und haben dort die Admins genügend Rechte rekursiv auf alle Unterordner ?
Grüße Uwe
Hallo Uwe,
Danke schon mal für deinen Post. Die Dateien kann schon in Besitz nehmen bzw. zur Not erzwingen, jedoch nicht die Schattenkopien. D.H. die waren mal in einem Zustand, wo sie aus unerklärlichen Gründen andere Rechte hatten, wo der Admin nicht drin vorkam. Ich habe es nicht bemerkt, sonst hätte ich die Besitzrechte schon korrigiert. Nun sind die Dateien weg und ich kann die Rechte nicht mehr übertragen, da es sie nur noch als Schattenkopien gibt und diese Schreibgeschützt sind.
Ist das Verständlich?
Danke und Gruß
Kasra
Danke schon mal für deinen Post. Die Dateien kann schon in Besitz nehmen bzw. zur Not erzwingen, jedoch nicht die Schattenkopien. D.H. die waren mal in einem Zustand, wo sie aus unerklärlichen Gründen andere Rechte hatten, wo der Admin nicht drin vorkam. Ich habe es nicht bemerkt, sonst hätte ich die Besitzrechte schon korrigiert. Nun sind die Dateien weg und ich kann die Rechte nicht mehr übertragen, da es sie nur noch als Schattenkopien gibt und diese Schreibgeschützt sind.
Ist das Verständlich?
Danke und Gruß
Kasra
Ist das Verständlich?
noch immer nicht ganz.Was hantierst du mit den Rechten in den Schattenkopien herum ? Da solltest du unbedingt die Finger von lassen das macht der VSS von selber.
Welche Dateien sind nun weg ? Dateien in den Schattenkopien oder "normale" Dateien im Dateisystem ?
Du verlässt dich auf die Schattenkopien als Backup ? Diese ersetzen kein "richtiges" Backup was du selbstverständlich zur Hand haben solltest.
http://www.shadowexplorer.com/
Files aus den Schattenkopien holen, rechte überprüfen bzw. entsprechend zuweisen, oder Backup zurückspielen, feddich
ist die Laube.
Grüße Uwe
Danke,klappt aber auch nicht.."couldnt copy file". Ich nehme an, weil ich keine Berechtigung auf die Schattenkopie habe.
Gibt es keine Möglichkeit Rechte zu erzingen? Oder via CMD zu Kopieren?
Gibt es keine Möglichkeit Rechte zu erzingen? Oder via CMD zu Kopieren?
Du kannst dir auf der Kommandozeile die Snapshots einees Laufwerks vom VSS anzeigen lassen (natürlich alles in einer administrativen Konsole):
Für die Anzeige alle VSS Snapshots z.B. für das Laufwerk D:\ gibst du folgendes ein
In dieser Liste wählst du deinen gewünschten Snapshot raus und kopierst dir den Pfad hinter : Schattenkopievolume:. Zu diesem Pfad kannst du dir einen Symbolischen Link erzeugen den du dann über den Explorer ansprechen kannst: (WICHTIG an den Pfad musst du einen abschließenden Backslash anhängen)
Jetzt kannst du die VSS-Kopie unter D:\VSSKopie ansprechen. Noch ein Hinweis, den Ordner D:\VSSKopie darfst du nicht selber im Explorer anlegen, das macht mklink von selbst.
Prüfe auch zusätzlich nochmal nach ob der "System"-Account Vollzugriff auf den Root-Ordner des Laufwerks besitzt !
Noch mehr dazu steht hier: http://encase-forensic-blog.guidancesoftware.com/2012/06/examining-volu ...
Grüße Uwe
Für die Anzeige alle VSS Snapshots z.B. für das Laufwerk D:\ gibst du folgendes ein
vssadmin list shadows /for=D:
mklink /d D:\VSSKopie \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy36\
Prüfe auch zusätzlich nochmal nach ob der "System"-Account Vollzugriff auf den Root-Ordner des Laufwerks besitzt !
Noch mehr dazu steht hier: http://encase-forensic-blog.guidancesoftware.com/2012/06/examining-volu ...
Grüße Uwe
1
Ok Danke schon mal im Voraus..ich werde es morgen Früh probieren und berichten ob es geklappt hat und ob ich dann die Berechtigungen neu setzen kann.
Grundsätzlich müsste der Vollzugriff auf alles andere da sein. Von 3100 konnte nur 16 Dateien nicht zurückholen. Wie gesagt, ich habe keinen Schimmer wie so was überhaupt sein kann..also wie ein Client Dateien in einem Netzwerkordner kopieren kann und dabei die Vererbung des übergeordneten Ordner einfach ignoriert. Wirklich seltsam.
Grundsätzlich müsste der Vollzugriff auf alles andere da sein. Von 3100 konnte nur 16 Dateien nicht zurückholen. Wie gesagt, ich habe keinen Schimmer wie so was überhaupt sein kann..also wie ein Client Dateien in einem Netzwerkordner kopieren kann und dabei die Vererbung des übergeordneten Ordner einfach ignoriert. Wirklich seltsam.
Guten Morgen,
Das habe ich versucht aber leider kein Erfolg. Wenn ich versuche die Dateien im Besitz zu nehmen bekomme ich folgenden Fehler:
"Der neue Besitzer von ...pdf kann nicht eingerichtet werden. Das Medium ist Schreibgeschützt."
Ich glaube ein Verweis ist auf dem "Localhost" ändert nix daran, dass ich dort beschränkt Rechte habe. Ich müsste die Dateein irgendwie auf das Laufwerk "C" z.B. kopieren, um Besitz ergreifen zu können.
Gibt es dafür eine Möglichkeit? Oder hast du sonst noch eine Idee?
Danke und Gruß
Kasra
Das habe ich versucht aber leider kein Erfolg. Wenn ich versuche die Dateien im Besitz zu nehmen bekomme ich folgenden Fehler:
"Der neue Besitzer von ...pdf kann nicht eingerichtet werden. Das Medium ist Schreibgeschützt."
Ich glaube ein Verweis ist auf dem "Localhost" ändert nix daran, dass ich dort beschränkt Rechte habe. Ich müsste die Dateein irgendwie auf das Laufwerk "C" z.B. kopieren, um Besitz ergreifen zu können.
Gibt es dafür eine Möglichkeit? Oder hast du sonst noch eine Idee?
Danke und Gruß
Kasra
Wenn du die Files sehen kannst kannst du sie auch kopieren. Kopiere sie an einen sicheren Ort, feddich, ich sehe hier das Problem nicht !!! Sichere die Files und dann lösche alle Schattenkopien um einen konsistenten Zustand wiederherzustellen. Punkt.
Grüße Uwe
Grüße Uwe
Wie soll ich das tun? Über den Explorer ist es unmöglich, da steht immer Zugriff verweigert. Ich nehme an über dem Befehl "Copy" in DOS unter "Admin" oder? Nur hier findet er den Pfad "\\Localhost..." nicht und mit dem Pfad Schattenkopievolume geht es auch nicht. Welchen Pfad soll ich angeben?
Oder müsste ich einen anderen Befehl eingeben?
Oder müsste ich einen anderen Befehl eingeben?
äh woher kommt jetzt \\localhost ??. Du sprichst immer mehr in Rätseln.
Dann mach es halt über ein Live-Boot-Linux ... das kennt keine Berechtigungsprobleme beim Zugriff auf die Platte.
Dann mach es halt über ein Live-Boot-Linux ... das kennt keine Berechtigungsprobleme beim Zugriff auf die Platte.
Ja ok das wäre dann Wochenendarbeit, da es in der Woche in Gebrauch ist.
"Localhost.." ist der Ort wo die Dateien abgelegt werden bei Schattenkopien:
das ist der komplette Link:
"\\localhost\C$\@GMT-2014.05.29-05.00.02"
Falls die eine bessere Lösung einfällt dann lass es mich wissen sonst muss ich wohl mit Linux booten.
Gruß und Danke
"Localhost.." ist der Ort wo die Dateien abgelegt werden bei Schattenkopien:
das ist der komplette Link:
"\\localhost\C$\@GMT-2014.05.29-05.00.02"
Falls die eine bessere Lösung einfällt dann lass es mich wissen sonst muss ich wohl mit Linux booten.
Gruß und Danke
der Pfad einer Schattenkopie aus vssadmin list shadows sollte eher in dieser Art aussehen : \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy29. Ich weiß nicht woher du diesen Pfad hast. Irgendwas machst du da falsch, ich seh's nur nicht 
Grüße Uwe
Falls die eine bessere Lösung einfällt
denke hier hilft ansonsten nur noch Teamviewer ...Grüße Uwe
Öffne mal eine Konsole mit Systemrechten via Sysinternals PSEXEC: und mounte darin die Shadow-Copy.
Dann solltest du in der Konsole eventuell auf die Files zugreifen können.
psexec.exe \\localhost /s cmd.exe
Hi,
@colinardo
Dieses Verfahren mit dem Symlink auf eine VSS-Copy ist ne coole Sache! Danke für den Tipp. Das teste ich mal.
@Jacksoney
Wenn das mit den Symlink so funktioniert, dann solltest Du mit einem Backup Operator (i.A. ist der lokale Admin einer) die Dateien auch mit Robocopy und Oprion /B kopieren können.
mfg
E.
@colinardo
Dieses Verfahren mit dem Symlink auf eine VSS-Copy ist ne coole Sache! Danke für den Tipp. Das teste ich mal.
@Jacksoney
Wenn das mit den Symlink so funktioniert, dann solltest Du mit einem Backup Operator (i.A. ist der lokale Admin einer) die Dateien auch mit Robocopy und Oprion /B kopieren können.
mfg
E.
Und da bin ich schon wieder.
@colinardo
Den Symlink kann ich erstellen. Aber wenn ich den dann öffnen wil, dann kommt
"Der Pfad ist nicht verfügbar.
Auf C:\VSStest kann nicht zugegriffen werden.
Falscher Parameter."
Egal ob im Explorer oder CMD. Egal ob als Administrator oder als Local System.
Habe ich noch was vergessen?
E.
C:\>vssadmin list shadows /for=C:
vssadmin 1.1 - Verwaltungsbefehlszeilenprogramm des Volumeschattenkopie-Dienstes
(C) Copyright 2001-2005 Microsoft Corp.
Inhalte der Schattenkopiesatzkennung: {a33bf6bf-b01b-44c9-93fe-e56ce1cddc27}
1 Schattenkopie(n) war(en) enthalten bei der Erstellungszeit: 30.05.2014 13:02:16
Schattenkopienkennung: {1a2af1ee-4b3c-463b-8060-4c5dbe241343}
Ursprüngliches Volume: (C
\\?\Volume{07c19102-ae54-11e1-80aa-806e6f6e6963}\
Schattenkopievolume: \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1
Quellcomputer: XXXXX
Dienstcomputer: XXXXX
Anbieter: "Microsoft Software Shadow Copy provider 1.0"
Typ: ClientAccessible
Attribute: Permanent, Clientzugänglich, Keine automatische Freigabe, Keine Verfasser, Differenziell
C:\>mklink /d C:\VSStest \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1
symbolische Verknüpfung erstellt für C:\VSStest <<===>> \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1
C:\>cd vsstest
Falscher Parameter.
@colinardo
Den Symlink kann ich erstellen. Aber wenn ich den dann öffnen wil, dann kommt
"Der Pfad ist nicht verfügbar.
Auf C:\VSStest kann nicht zugegriffen werden.
Falscher Parameter."
Egal ob im Explorer oder CMD. Egal ob als Administrator oder als Local System.
Habe ich noch was vergessen?
E.
C:\>vssadmin list shadows /for=C:
vssadmin 1.1 - Verwaltungsbefehlszeilenprogramm des Volumeschattenkopie-Dienstes
(C) Copyright 2001-2005 Microsoft Corp.
Inhalte der Schattenkopiesatzkennung: {a33bf6bf-b01b-44c9-93fe-e56ce1cddc27}
1 Schattenkopie(n) war(en) enthalten bei der Erstellungszeit: 30.05.2014 13:02:16
Schattenkopienkennung: {1a2af1ee-4b3c-463b-8060-4c5dbe241343}
Ursprüngliches Volume: (C
\\?\Volume{07c19102-ae54-11e1-80aa-806e6f6e6963}\Schattenkopievolume: \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1
Quellcomputer: XXXXX
Dienstcomputer: XXXXX
Anbieter: "Microsoft Software Shadow Copy provider 1.0"
Typ: ClientAccessible
Attribute: Permanent, Clientzugänglich, Keine automatische Freigabe, Keine Verfasser, Differenziell
C:\>mklink /d C:\VSStest \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1
symbolische Verknüpfung erstellt für C:\VSStest <<===>> \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1
C:\>cd vsstest
Falscher Parameter.
Du musst wie oben geschrieben den abschließenden Backslash an den VSS-Pfad fügen !
und vor deinem erneuten versuch den Symlink vorher löschen
mklink /d C:\VSStest \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\
rd c:\vsstest
Bingo!
Danke!
E.
Danke!
E.
@ Emerics,
Bei mir hat es leider nicht geklappt. Es bleibt mir übrig am Wochenende, den Server mit Linux starten und die Dateien wo anders kopieren.
@ Uwe,
Danke schon mal für die Hilfe bis her, ein Frage noch. unter welchem Pfad finde ich die "Schattenkopien" unter Linux?
Gruß
Bei mir hat es leider nicht geklappt. Es bleibt mir übrig am Wochenende, den Server mit Linux starten und die Dateien wo anders kopieren.
@ Uwe,
Danke schon mal für die Hilfe bis her, ein Frage noch. unter welchem Pfad finde ich die "Schattenkopien" unter Linux?
Gruß
Danke schon mal für die Hilfe bis her, ein Frage noch. unter welchem Pfad finde ich die "Schattenkopien" unter Linux?
http://www.epyxforensics.com/node/46
Ist zwar schon älter der Thread, aber für alle die hier noch mit dem selben Problem vorbei kommen sollten... Eine Schritt für Schritt Anleitung gibt's in diesem Thread mit der selben Fragestellung:
Schattenkopien - Besitzer - Profilordner
Grüße Uwe
Schattenkopien - Besitzer - Profilordner
Grüße Uwe
Top!!danke! Ist eine sinnvolle Sache!
