Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Windows Server 2008 verweigert wiederherstellung von Schattenkopien

Frage Sicherheit Backup

Mitglied: Jacksoney

Jacksoney (Level 1) - Jetzt verbinden

29.05.2014, aktualisiert 05.05.2015, 4311 Aufrufe, 21 Kommentare, 1 Danke

Hallo,
Ich hoffe es kann mir jemand helfen. Auf einem Windows Server 2008 R2 werden regelmäßig Schattenkopien erstellt. Ich bin zwar der Administrator, jedoch scheinen einige Dateien andere Rechte bekommen zu haben. Wie auch immer das geschehen sein mag, ich kann es mir nicht erklären. Nun muss ich die Dateien Wiederherstellen und es klappt nicht.
Die Dateien sind natürlich Schreibgeschützt und ich kann den Schutz nicht aufheben. Auch den "Administrator" als "Besitzer" der Dateien zu setzen klappt nicht, kein Zugriff.
Ich verzweifle langsam an dieser Stelle. VSSadmin hat mir leider auch nichts gebracht.
Hat jemand eine Idee wie ich die Dateien retten kann?
Es klappte nicht mit "Netzwerk Admin" und auch nicht mit "Localadmin" Rechten
Danke und Gruß
Mitglied: colinardo
29.05.2014, aktualisiert um 16:03 Uhr
Moin Jacksoney,
Die Dateien sind natürlich Schreibgeschützt
mit Dateien meinst du die normalen Userdaten und nicht die Schattenkopien selbst oder ?
Wenn selbst das in Besitz nehmen der Dateien nicht geht, stimmt bei dir aber was gehörig nicht. Ich würde in diesem Fall mal ein chkdsk c: /f über die Platte laufen lassen um die Konsistenz der Security-Descriptors sicherzustellen.

Was bekommst du denn für Fehlermeldungen beim Versuch die Sicherheitseinstellungen zu ändern bzw. was sagen die Eventlogs über das Verhalten insbesondere das Security Eventlog?

Hat der Ordner noch weitere übergeordnete Ordner, und haben dort die Admins genügend Rechte rekursiv auf alle Unterordner ?

Grüße Uwe
Bitte warten ..
Mitglied: Jacksoney
29.05.2014 um 16:17 Uhr
Hallo Uwe,
Danke schon mal für deinen Post. Die Dateien kann schon in Besitz nehmen bzw. zur Not erzwingen, jedoch nicht die Schattenkopien. D.H. die waren mal in einem Zustand, wo sie aus unerklärlichen Gründen andere Rechte hatten, wo der Admin nicht drin vorkam. Ich habe es nicht bemerkt, sonst hätte ich die Besitzrechte schon korrigiert. Nun sind die Dateien weg und ich kann die Rechte nicht mehr übertragen, da es sie nur noch als Schattenkopien gibt und diese Schreibgeschützt sind.
Ist das Verständlich?
Danke und Gruß
Kasra
Bitte warten ..
Mitglied: colinardo
29.05.2014, aktualisiert um 16:39 Uhr
Ist das Verständlich?
noch immer nicht ganz.
Was hantierst du mit den Rechten in den Schattenkopien herum ? Da solltest du unbedingt die Finger von lassen das macht der VSS von selber.

Welche Dateien sind nun weg ? Dateien in den Schattenkopien oder "normale" Dateien im Dateisystem ?

Du verlässt dich auf die Schattenkopien als Backup ? Diese ersetzen kein "richtiges" Backup was du selbstverständlich zur Hand haben solltest.

http://www.shadowexplorer.com/
Files aus den Schattenkopien holen, rechte überprüfen bzw. entsprechend zuweisen, oder Backup zurückspielen, feddich
ist die Laube.

Grüße Uwe
Bitte warten ..
Mitglied: Jacksoney
29.05.2014 um 16:57 Uhr
Danke,klappt aber auch nicht.."couldnt copy file". Ich nehme an, weil ich keine Berechtigung auf die Schattenkopie habe.
Gibt es keine Möglichkeit Rechte zu erzingen? Oder via CMD zu Kopieren?
Bitte warten ..
Mitglied: colinardo
29.05.2014, aktualisiert um 17:49 Uhr
Du kannst dir auf der Kommandozeile die Snapshots einees Laufwerks vom VSS anzeigen lassen (natürlich alles in einer administrativen Konsole):
Für die Anzeige alle VSS Snapshots z.B. für das Laufwerk D:\ gibst du folgendes ein
vssadmin list shadows /for=D:
In dieser Liste wählst du deinen gewünschten Snapshot raus und kopierst dir den Pfad hinter : Schattenkopievolume:. Zu diesem Pfad kannst du dir einen Symbolischen Link erzeugen den du dann über den Explorer ansprechen kannst: (WICHTIG an den Pfad musst du einen abschließenden Backslash anhängen)
mklink /d D:\VSSKopie \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy36\
Jetzt kannst du die VSS-Kopie unter D:\VSSKopie ansprechen. Noch ein Hinweis, den Ordner D:\VSSKopie darfst du nicht selber im Explorer anlegen, das macht mklink von selbst.

Prüfe auch zusätzlich nochmal nach ob der "System"-Account Vollzugriff auf den Root-Ordner des Laufwerks besitzt !

Noch mehr dazu steht hier: http://encase-forensic-blog.guidancesoftware.com/2012/06/examining-volu ...

Grüße Uwe
Bitte warten ..
Mitglied: Jacksoney
29.05.2014 um 18:46 Uhr
Ok Danke schon mal im Voraus..ich werde es morgen Früh probieren und berichten ob es geklappt hat und ob ich dann die Berechtigungen neu setzen kann.
Grundsätzlich müsste der Vollzugriff auf alles andere da sein. Von 3100 konnte nur 16 Dateien nicht zurückholen. Wie gesagt, ich habe keinen Schimmer wie so was überhaupt sein kann..also wie ein Client Dateien in einem Netzwerkordner kopieren kann und dabei die Vererbung des übergeordneten Ordner einfach ignoriert. Wirklich seltsam.
Bitte warten ..
Mitglied: Jacksoney
30.05.2014 um 09:04 Uhr
Guten Morgen,

Das habe ich versucht aber leider kein Erfolg. Wenn ich versuche die Dateien im Besitz zu nehmen bekomme ich folgenden Fehler:

"Der neue Besitzer von ...pdf kann nicht eingerichtet werden. Das Medium ist Schreibgeschützt."

Ich glaube ein Verweis ist auf dem "Localhost" ändert nix daran, dass ich dort beschränkt Rechte habe. Ich müsste die Dateein irgendwie auf das Laufwerk "C" z.B. kopieren, um Besitz ergreifen zu können.

Gibt es dafür eine Möglichkeit? Oder hast du sonst noch eine Idee?

Danke und Gruß
Kasra
Bitte warten ..
Mitglied: colinardo
30.05.2014, aktualisiert um 10:46 Uhr
Wenn du die Files sehen kannst kannst du sie auch kopieren. Kopiere sie an einen sicheren Ort, feddich, ich sehe hier das Problem nicht !!! Sichere die Files und dann lösche alle Schattenkopien um einen konsistenten Zustand wiederherzustellen. Punkt.

Grüße Uwe
Bitte warten ..
Mitglied: Jacksoney
30.05.2014 um 10:54 Uhr
Wie soll ich das tun? Über den Explorer ist es unmöglich, da steht immer Zugriff verweigert. Ich nehme an über dem Befehl "Copy" in DOS unter "Admin" oder? Nur hier findet er den Pfad "\\Localhost..." nicht und mit dem Pfad Schattenkopievolume geht es auch nicht. Welchen Pfad soll ich angeben?
Oder müsste ich einen anderen Befehl eingeben?
Bitte warten ..
Mitglied: colinardo
30.05.2014, aktualisiert um 11:00 Uhr
äh woher kommt jetzt \\localhost ??. Du sprichst immer mehr in Rätseln.
Dann mach es halt über ein Live-Boot-Linux ... das kennt keine Berechtigungsprobleme beim Zugriff auf die Platte.
Bitte warten ..
Mitglied: Jacksoney
30.05.2014 um 11:08 Uhr
Ja ok das wäre dann Wochenendarbeit, da es in der Woche in Gebrauch ist.

"Localhost.." ist der Ort wo die Dateien abgelegt werden bei Schattenkopien:

das ist der komplette Link:

"\\localhost\C$\@GMT-2014.05.29-05.00.02"

Falls die eine bessere Lösung einfällt dann lass es mich wissen sonst muss ich wohl mit Linux booten.

Gruß und Danke
Bitte warten ..
Mitglied: colinardo
30.05.2014, aktualisiert um 11:16 Uhr
Zitat von Jacksoney:
das ist der komplette Link:
"\\localhost\C$\@GMT-2014.05.29-05.00.02"
der Pfad einer Schattenkopie aus vssadmin list shadows sollte eher in dieser Art aussehen : \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy29. Ich weiß nicht woher du diesen Pfad hast. Irgendwas machst du da falsch, ich seh's nur nicht

Falls die eine bessere Lösung einfällt
denke hier hilft ansonsten nur noch Teamviewer ...

Grüße Uwe
Bitte warten ..
Mitglied: colinardo
30.05.2014, aktualisiert um 12:11 Uhr
Öffne mal eine Konsole mit Systemrechten via Sysinternals PSEXEC: und mounte darin die Shadow-Copy.
psexec.exe \\localhost /s cmd.exe
Dann solltest du in der Konsole eventuell auf die Files zugreifen können.

Bitte warten ..
Mitglied: emeriks
30.05.2014 um 13:05 Uhr
Hi,
@colinardo
Dieses Verfahren mit dem Symlink auf eine VSS-Copy ist ne coole Sache! Danke für den Tipp. Das teste ich mal.

@Jacksoney
Wenn das mit den Symlink so funktioniert, dann solltest Du mit einem Backup Operator (i.A. ist der lokale Admin einer) die Dateien auch mit Robocopy und Oprion /B kopieren können.

Mit freundlichen Grüßen
E.
Bitte warten ..
Mitglied: emeriks
30.05.2014 um 13:12 Uhr
Und da bin ich schon wieder.

@colinardo
Den Symlink kann ich erstellen. Aber wenn ich den dann öffnen wil, dann kommt

"Der Pfad ist nicht verfügbar.
Auf C:\VSStest kann nicht zugegriffen werden.
Falscher Parameter."

Egal ob im Explorer oder CMD. Egal ob als Administrator oder als Local System.

Habe ich noch was vergessen?

E.

C:\>vssadmin list shadows /for=C:
vssadmin 1.1 - Verwaltungsbefehlszeilenprogramm des Volumeschattenkopie-Dienstes
(C) Copyright 2001-2005 Microsoft Corp.

Inhalte der Schattenkopiesatzkennung: {a33bf6bf-b01b-44c9-93fe-e56ce1cddc27}
1 Schattenkopie(n) war(en) enthalten bei der Erstellungszeit: 30.05.2014 13:02:16
Schattenkopienkennung: {1a2af1ee-4b3c-463b-8060-4c5dbe241343}
Ursprüngliches Volume: (C\\?\Volume{07c19102-ae54-11e1-80aa-806e6f6e6963}\
Schattenkopievolume: \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1
Quellcomputer: XXXXX
Dienstcomputer: XXXXX
Anbieter: "Microsoft Software Shadow Copy provider 1.0"
Typ: ClientAccessible
Attribute: Permanent, Clientzugänglich, Keine automatische Freigabe, Keine Verfasser, Differenziell

C:\>mklink /d C:\VSStest \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1
symbolische Verknüpfung erstellt für C:\VSStest <<===>> \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1

C:\>cd vsstest
Falscher Parameter.
Bitte warten ..
Mitglied: colinardo
30.05.2014, aktualisiert 05.05.2015
Du musst wie oben geschrieben den abschließenden Backslash an den VSS-Pfad fügen !
mklink /d C:\VSStest \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\
und vor deinem erneuten versuch den Symlink vorher löschen
rd c:\vsstest
Bitte warten ..
Mitglied: emeriks
30.05.2014 um 13:17 Uhr
Bingo!
Danke!

E.
Bitte warten ..
Mitglied: Jacksoney
30.05.2014, aktualisiert um 14:18 Uhr
@ Emerics,
Bei mir hat es leider nicht geklappt. Es bleibt mir übrig am Wochenende, den Server mit Linux starten und die Dateien wo anders kopieren.

@ Uwe,
Danke schon mal für die Hilfe bis her, ein Frage noch. unter welchem Pfad finde ich die "Schattenkopien" unter Linux?
Gruß
Bitte warten ..
Mitglied: colinardo
30.05.2014, aktualisiert um 14:25 Uhr
Danke schon mal für die Hilfe bis her, ein Frage noch. unter welchem Pfad finde ich die "Schattenkopien" unter Linux?
http://www.epyxforensics.com/node/46
Bitte warten ..
Mitglied: colinardo
LÖSUNG 05.05.2015, aktualisiert um 20:06 Uhr
Ist zwar schon älter der Thread, aber für alle die hier noch mit dem selben Problem vorbei kommen sollten... Eine Schritt für Schritt Anleitung gibt's in diesem Thread mit der selben Fragestellung:
http://www.administrator.de/frage/schattenkopien-besitzer-profilordner- ...

Grüße Uwe
Bitte warten ..
Mitglied: Jacksoney
05.05.2015 um 20:07 Uhr
Top!!danke! Ist eine sinnvolle Sache!
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Heiß diskutierte Inhalte
LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (18)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...

Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...