Windows BackupRead / BackupWrite 和 ACL

Question

我一直在尝试了解使用 BackupRead 和 BackupWrite 在计算机上备份数据的正确方法，尤其是可靠地恢复数据。

现在我明白了如何使用API​​并且已经成功了。然而，有一件事困扰着我。 除了文件内容本身之外，您还可以备份任何备用数据流以及安全信息 (ACL)。

现在，如果我要存储 ACL 数据进行备份，然后，一旦需要在另一台计算机或新设置的计算机上恢复数据，我应该如何处理与 ACL 相关的 SID？ SID 很可能对机器不再有效，应该如何选择正确的用户？ 现在我正在更大的范围内看待这个问题，假设这是一台具有多个用户和数百或数千个具有不同设置的对象的计算机，如果再次应用安全设置来恢复数据，将会很混乱。

如果软件的用户希望备份安全设置，那么用户必须采取哪些措施并相应地更新它们，或者什么？

另外，BackupRead 和 BackupWrite 将为我提供这些项目的原始二进制数据，这些数据并不是很难使用，但显然这个 API 甚至不打算面对这个问题。

任何人都知道备份应用程序应如何处理这种情况？您的想法是什么，或者对这个特定主题的指导方针有什么建议吗？

多谢。

Answer 1

我认为您正确地理解了数据备份和恢复的问题。我认为正确认识问题就解决了问题的一半。我想您和 stackoverflow 网站的大多数用户一样，大多是软件开发人员，而不是大型网络的管理员。因此，您可以从软件开发人员的另一面而不是管理员的角度来看待问题。管理员了解 ACL 备份和恢复的限制并且已经使用它。

一般来说，您应该了解备份的主要目的是保存数据并稍后在同一台计算机或服务器上恢复数据。另一种标准情况是：更换硬件后从一台服务器恢复备份到另一台服务器。在这种情况下，旧服务器将不再存在。大多数情况下，人们会备份服务器并组织在客户端上工作，这样客户端计算机上不会保存任何重要数据。

在大多数情况下，备份的数据具有域组 SID、域用户 SID、众所周知的 SID或安全描述符中 BUILTIN 域中的 SID 别名。在这种情况下，根本不需要更改 SID。如果管理员确实要对 ACL 进行一些更改，他可以使用不同的现有实用程序，例如 SubInACL.exe。

如果您编写了要用于移动数据的备份/恢复软件以及安全信息，您可以在备份中包含一些有关保存的安全性中使用的帐户/组的本地 SID 的附加元信息描述符。在恢复软件中，您可以提供从保存的安全描述符中替换 SID 的可能性。许多年前，我为一位大客户编写了一些实用程序，用于在域迁移后清除文件系统、注册表和服务中 SD 中的 SID。事情并没有那么复杂。因此，我建议您可以在备份/恢复软件中实现相同的功能。

Answer 2

我确实相信 Backup* API 主要用于在同一台计算机上进行备份和恢复，这将使 SID 问题变得无关紧要。但是，假设您需要在新安装上恢复备份，以下是我对解决方案的想法。

对于众所周知的 SID（如Everyone、Creator Owner 等）来说，实际上没有任何问题。

对于依赖于域的 SID，您可以按原样存储它们，并且在恢复时您可以根据需要修复域部分。您可能还应该存储此类 SID 的域名。

对于本地用户和组，您至少应该存储每个 SID 的用户/组名称。恢复修复可以根据这些名称部分自动进行，也可以手动进行（假设应用程序的用户界面），您询问用户是否希望将此用户映射到新的本地用户，将这些 SID 转换为众所周知的 SID ，或保持原样。

与此类 SID 相关的大多数问题都可以（并且可能通常会）自动处理。我当然希望有一个足够智能的备份应用程序来完成我要求的恢复，并找出旧机器上的“Erik”在新机器上也一定是“Erik”。

附带说明一下，如果您确实决定采用这样的解决方案，请记住，为了返回到弹出窗口上 5% 完成的阻塞而启动过夜数据传输是多么烦人，它也可以轻松推迟:)