Robocopy – это консольная утилита Windows для копирования файлов, которую можно использовать для синхронизации/репликации файлов и каталогов, и в сценариях резервного копирования. Robocopy (Robust File Copy) доступна начиная с Windows NT 4.0 Resource Kit, но по умолчанию эта функция появилась только в Windows Vista и Windows Server 2008. Robocopy заменяет Xcopy и copy, как более функциональная.
Содержание:
- Основные возможности Robocopy
- Синтаксис и параметры robocopy
- Использование robocopy для зеркалирования каталогов
- Инкрементальное копирование с помощью robocopy
- Robocopy: перемещение файлов
- Пример использование robocopy в планировщике задач
- Отслеживание изменений в каталогах с помощью robocopy
- Коды возврата (ошибки) robocopy
Основные возможности Robocopy
Кроме обычного копирования файлов и папок из папки источника в каталог назначения, в Robocopy есть множество очень полезных функций:
- Устойчивость к обрывам сети (robocopy может продолжить копирования после восстановления сетевого доступа);
- Корректное копирование файлов с их атрибутами и NTFS правами доступа;
- Копирование с сохранением исходной временной метки;
- Возможность копирования файлов и директорий, запрещенных для доступа даже администратору, с помощью ключа /B (ключ позволяет игнорировать проверку прав доступа, ключ доступен только для участников группы Администраторы или Операторы архива);
- Возможность задать количество попыток копирования файла, если файл недоступен;
- Режим полного зеркалирования директорий;
- Пропуск уже существующих файлов (с одинаковым размером или временной меткой timestamp);
- Индикатор прогресса копирования;
- Корректная работа с длинными путями (более 260 символов);
- Эффективные алгоритмы и многопоточность позволяют выполнять копирование файлов намного быстрее, чем обычное копирование средствами Windows;
- Поддержка коды возврата (что позволяет использовать robocopy в различных внешних скриптах и утилитах).
Официальной графической версии robocopy (c GUI) от Microsoft нет. Существуют пользовательские версии, но их поддержка прекращена. Список неофициальных GUI для robocopy (это сторонние программы):
- EazyCopy
- RoboMirror
- RichCopy
Синтаксис и параметры robocopy
Robocopy имеет много параметров, которые на первый взгляд могут показаться сложными, но имея под рукой документацию, вы с легкостью разберетесь и сможете править скрипты под себя.
Официальная документация: https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/robocopy
Синтаксис robocopy состоит из двух обязательных параметров (исходный и целевой каталог) и двух необязательных (фильтр файлов и параметры):
robocopy <source> <dest> [фильтр файлов] [параметры]
Поддерживаются как локальные пути, так и UNC, например, \\server\directory
Полный синтаксис утилиты robocopy (все параметры и их описания) доступны по команде:
robocopy /?
Исполняемы файл robocopy.exe находится в каталоге C:\Windows\System32.
Поскольку ключей в robocopy много, мы будем рассматривать их на практике, в готовых командах. Мы не будем рассматривать самые простые примеры использования robocopy, т.к. обычно они не вызывают вопросов. Ниже представлены готовые к применению более сложные команды robocopy, которые можно использовать в реальных сценариях.
Для тестирование различных команд robocopy без выполнения операций (копирования, перемещения или удаления) с файлами используется параметр
/L
. Данный параметр вернет список файлов и папок, которые будут скопированы вашей командой.
Использование robocopy для зеркалирования каталогов
Вы можете зеркалировать (синхронизировать) содержимое двух каталог с помощью следующей команды robocopy (под зеркалированием понимается копирование файлов из целевой папки с удалением файлов в целевом каталоге, если они удалены в источнике).
robocopy \\testnode1\C$\source\ \\testnode2\c$\dest\ *.txt /MIR /COPYALL /Z /B /J /R:3 /W:1 /REG /TEE /LOG+:%appdata%\robocopy.log
-
\\testnode1\C$\source\
— исходный каталог, откуда копируются файлы -
\\testnode2\C$\dest\
— каталог назначения, куда скопируются файлы -
*.txt
– фильтр файлов. Синхронизируются только .txt файл и директории. -
/MIR
– полное зеркалирование данных в source и dest директориях. Файлы, удаленные из source директории или не присутствующие в ней, также будут удалены из dest. Если вы хотите, чтобы удаленные из source файлы оставались в dest, то поменяйте параметр /MIR на /E -
/COPYALL
– копирует всю информацию о файле (Атрибуты, параметры безопасности и т.д.). Как альтернатива, можно применять флаг /COPY:DT для копирования timestamp, а не всей информации. /COPALL требует прав администратора -
/Z
– robocopy продолжит копирование файла при обрыве. Полезно при копировании больших файлов (неплохая альтернатива копированию файлов по BITS) -
/B
– позволяет robocopy избегать ошибки access denied error. В этом режиме robocopy игнорирует все права на файлы, которые могли бы помешать прочитать/записать файл. Этот режим требует прав администратора либо участие в группе Операторы архива -
/J
– Копирование без буфера (файлового кэша, оперативной памяти). Эффективно для больших файлов. -
/R:3
– количество попыток скопировать недоступный файл. Значение по умолчанию – миллион, поэтому необходимо его сменить. -
/W:1
– секунды между попытками скопировать недоступный файл. Значение по умолчанию – 30 секунд. -
/REG
– сохранить текущие значения ключей /R и /W в реестр как стандартные, для будущих вызовов robocopy. -
/TEE
– разделение вывода работы команды и в лог файл, и в консоль. При фоновом вызове robocopy (например, из планировщика задача) этот параметр можно убрать, оставив только /LOG -
/LOG
– путь к файлу лога
Обратите внимание на ключ /Z даже если вы копируете небольшие файлы по устойчивому каналу. Он не несёт дополнительных расходов при использовании, но в случае обрыва, вы сможете продолжить копирование просто повторно запустив скрипт.
При копировании больших файлов (более 2 Гб) с некоторых iSCSI/SAN томов, процесс robocopy может существенно использовать оперативную память сервера. Проблем обычно связано с тем, что для данного LUN в настройках RAID используется write-through кэширование вместо write-back.
Инкрементальное копирование с помощью robocopy
Сам по себе robocopy не может полностью обеспечить инкрементальное резервное копирование каталога (копирование новых и измененных файлов), для этого мы будем использовать небольшой bat скрипт:
@echo off set date_=%date:/=-% set source=C:\source set dest=\\testnode2\C$\dest\%date_% mkdir %dest% robocopy "%source%" "%dest%" /maxage:1 /E /COPYALL /Z /B /J /R:3 /W:1 /REG /LOG+: /LOG+:%appdata%\robocopy.log @echo on
-
set date_=%date:/=-%
— эта строчка присваивает значение переменной date_ в формате DD.MM.YYYY -
/maxage:1
— Максимальный возраст файла. Исключает файлы старше N дней или даты. Дата указывается в формате YYMMDD, например, /maxage:20200421 -
/E
– копирует подпапки, без ограничения уровня вложенности. Для контроля уровня вложенности директорий можно использовать параметр /lev, например, /lev:3
Инкрементальность осуществляется за счёт параметра /maxage:1 — файлы старше суток копироваться не будут. Для первого, “базового” копирования, можно выполнить этот скрипт без параметра /maxage.
Заметка. Если файловые системы source или dest не являются NTFS, используйте ключ
/FFT
, так как на других файловых системах (включая эмулированные NTFS) может возникнуть ошибка, из-за которой robocopy будет видеть старые файлы как измененные, из-за отличий в метке времени.
Robocopy: перемещение файлов
С помощью ключа
/mov
или
/move
вы можете переместить файлы (а точнее удалить успешно скопированные файлы из исходной директории):
robocopy C:\source\ F:\dest\ /MOVE /E /COPYALL /Z /B /J /R:3 /W:1 /REG /TEE /LOG+:%appdata%\robocopy.log
-
/MOVE
– удалить файлы и директории из исходной папки, после того как они были скопированы. Имейте в виду, что этот ключ нужно использовать вместе с /E или /S, в противном случае вы перенесете только файлы, но не директории. Если вы хотите перенести только файлы, используйте ключ /MOV
Примечание. Поведение robocopy при использовании ключей
/MOVE
и
/MOV
не интуитивно.
- Если вы используете ключ /MOVE с ключом /E, то вы перенесете все файлы, директории (включая файлы внутри них) и пустые директории. Файлы и директории удалятся из исходной папки. /MOVE с /S даст такой же результат, но пустые директории не перенесутся и будут удалены.
- Если вы используете ключ /MOV с ключом /E, то вы перенесете все файлы, включая те, которые находятся в директориях и поддиректориях, также скопируются все директории (включая пустые), но они не будут удалены из исходного каталога, в отличие от файлов. Используя /MOV с /S, вы получите такой же результат, но пустые директории не будут скопированы.
Пример использование robocopy в планировщике задач
Для примера возьмём задачу: нам необходимо с помощью robocopy регулярно синхронизировать содержимое сетевой папки между двумя серверами с ведением логов.
- Исходный путь — \\testnode1\C$\source
- Целевая директория- \\testnode2\C$\source
Запустите командную строку с правами администратора и введите: compmgmt.msc
Перейдите в System Tools -> Task Scheduler Library. Создайте новое задание планировщика (Create task).
Укажите имя задания, и выберите пользователя из-под которого будет выполняться задание. Пользователь должен иметь доступ на чтению и запись в обоих каталогах (при копировании по сети между серверами домена можно использовать аккаунт System, в этом случае нужно предоставить на целевой каталог права RW для объекта computer сервера-источника) .
Выберите опцию Run whether user is logged on or not, для того чтобы задание выполнялось в фоновом режиме. Также отметьте Run with highest privileges. Эта опция сработает если аккаунт из-под которого выполняется задание, будет иметь права администратора.
Перейдите на вкладку Triggers и создайте новый триггер.
Выберите параметр On a schedule (по расписанию), выберите время начала и отметьте Repeat task every, указав интервал выполнения. В моём случае это 5 минут – каждые 5 минут, начиная с часа дня 22 апреля (обязательно измените эту дату на ту, которая нужна вам), директории будут синхронизированы. В for a duration of поставьте Indefinitely (бесконечно)
Перейдите во вкладку Actions и нажмите New…
Выберите Start a program, и укажите путь к .bat скрипту.
Содержание robocopy-mirror.bat:
@echo off robocopy \\testnode1\C$\source\ \\testnode2\c$\dest\ /MIR /COPYALL /Z /B /J /R:3 /W:1 /REG /LOG+:C:\robocopy.log @echo on
Помимо журнала выполнения задания планировщика, robocopy будет писать собственный лог файл копирования в C:\robocopy.log. Если аккаунт из-под которого будет выполняться скрипт не имеет прав администратора, смените C:\robocopy.log на нужный вам путь.
Остальные настройки заполнять не надо. После нажатия на кнопку ОК, вас попросит ввести пароль от учетной записи, которую вы выбрали для запуска задания.
Если вы всё настроили правильно, директории должны начать синхронизироваться.
Если у вас возникли проблемы с выполнением скрипта, то обязательно проверьте вкладку History вашей задачи
Отслеживание изменений в каталогах с помощью robocopy
В robocopy есть встроенный механизм отслеживания изменений в исходном каталоге (и их последующего копирования) и встроенный планировщик – параметры
/mon
и
/mot
.
-
/mon:N
– проверяет исходную директорию на предмет изменений каждую 1 минуту, и если изменений в директории больше чем N, то будет произведено копирование в целевую директорию. Если задан параметр /mot:Y, то изменения будут проверяться каждые Y минут. -
/mot:N
– проверяет исходную директорию на предмет изменений каждые N минут. Минимальное значение N = 1, в минутах. Если параметр /mon не задан, то будет считаться что /mon:1
.bat скрипт для зеркалирования с отслеживанием изменений с интервалом в 1 минуту. Этот скрипт нужно запускать из-под аккаунта с правами администратора.
@echo off robocopy \\testnode1\C$\source\ \\testnode2\c$\dest\ /MIR /COPYALL /Z /B /J /R:3 /W:1 /REG /LOG+:%appdata%\robocopy.log /mon:1 /mot:1
Плюсы:
- Не нужно создавать задание в планировщике задач
- Подходит для непостоянного выполнения. Например, в течение нескольких часов, в таком случае запустить скрипт руками через CMD проще, чем создавать задание в планировщике
Минусы:
- Чтобы запустить .bat скрипт в фоновом режиме, нужно либо использовать VBS скрипт, либо стороннее ПО, например, NirCmd.
- Минимальный интервал поиска изменений и копирования – 1 минута. Для меньшего интервала нужно использовать PowerShell или bat скрипт.
Коды возврата (ошибки) robocopy
Ниже приведены стандартные коды возврата robocopy, которые можно использовать для обработки различных ошибок, которые возвращает утилита после выполнения действия копирования (кот возврата эта битовая маска).
| Hex | Decimal | Meaning if set |
| 0x00 | 0 | No errors occurred, and no copying was done. The source and destination directory trees are completely synchronized. |
| 0x01 | 1 | One or more files were copied successfully (that is, new files have arrived). |
| 0x02 | 2 | Some Extra files or directories were detected. No files were copied Examine the output log for details. |
| 0x04 | 4 | Some Mismatched files or directories were detected. Examine the output log. Housekeeping might be required. |
| 0x08 | 8 | Some files or directories could not be copied (copy errors occurred and the retry limit was exceeded). Check these errors further. |
| 0x10 | 16 | Serious error. Robocopy did not copy any files. Either a usage error or an error due to insufficient access privileges on the source or destination directories. |
| Коды возврата могут комбинироваться: | ||
| 0x03 | 3 | (2+1) Some files were copied. Additional files were present. No failure was encountered. |
| 0x05 | 5 | (4+1) Some files were copied. Some files were mismatched. No failure was encountered. |
| 0x06 | 6 | (4+2) Additional files and mismatched files exist. No files were copied and no failures were encountered. This means that the files already exist in the destination directory |
| 0x07 | 7 | (4+1+2) Files were copied, a file mismatch was present, and additional files were present. |
Любое значение больше 7 говорит о том, что при копировании через robocopy возникла ошибка. Вы можете обрабатывать эти ошибки в bat файле:
if %ERRORLEVEL% EQU 16 echo ***FATAL ERROR*** & goto end
if %ERRORLEVEL% EQU 15 echo OKCOPY + FAIL + MISMATCHES + XTRA & goto end
if %ERRORLEVEL% EQU 14 echo FAIL + MISMATCHES + XTRA & goto end
if %ERRORLEVEL% EQU 13 echo OKCOPY + FAIL + MISMATCHES & goto end
if %ERRORLEVEL% EQU 12 echo FAIL + MISMATCHES& goto end
if %ERRORLEVEL% EQU 11 echo OKCOPY + FAIL + XTRA & goto end
if %ERRORLEVEL% EQU 10 echo FAIL + XTRA & goto end
if %ERRORLEVEL% EQU 9 echo OKCOPY + FAIL & goto end
if %ERRORLEVEL% EQU 8 echo FAIL & goto end
if %ERRORLEVEL% EQU 7 echo OKCOPY + MISMATCHES + XTRA & goto end
if %ERRORLEVEL% EQU 6 echo MISMATCHES + XTRA & goto end
if %ERRORLEVEL% EQU 5 echo OKCOPY + MISMATCHES & goto end
if %ERRORLEVEL% EQU 4 echo MISMATCHES & goto end
if %ERRORLEVEL% EQU 3 echo OKCOPY + XTRA & goto end
if %ERRORLEVEL% EQU 2 echo XTRA & goto end
if %ERRORLEVEL% EQU 1 echo OKCOPY & goto end
if %ERRORLEVEL% EQU 0 echo No Change & goto end
:end
Утилита robocopy имеет огромный функционал и позволяет гибко настроить операции копирования. Как альтернативу robocopy в PowerShell можно использовать командлет Copy-Item, который хоть и менее функционален, но работает с объектной моделью PowerShell, что может быть важно, если вы часто используете PowerShell или используете цепочки автоматизации с другими языками программирования.
antonvn, очень понравился ваш вопрос!
Более того, я проверил кучу различных способов, и выяснил, что xcopy /o РАБОТАЕТ, возможно,
потому что предварительно был применён фикс реестра вот отсюда support.microsoft.com/kb/310316
который ForceCopyAclwithFile 
вот логи, я работаю с сервером COMP (OS Win2003), под пользователем user, с администраторскими правами.
C:\test>dir /Q
Volume in drive C has no label.
Volume Serial Number is XXXX-XXXX
Directory of C:\test
21.06.2012 23:22 COMP\user.
21.06.2012 23:22 BUILTIN\Administrators…
21.06.2012 23:22 1 COMP\dmitriy test.txt
C:\test>md d:\test
C:\test>d:
D:\>dir /Q test
Volume in drive D is install
Volume Serial Number is 7846-2FFA
Directory of D:\test
21.06.2012 23:24 COMP\user.
21.06.2012 23:24 BUILTIN\Administrators…
owner папки, как видите я.
D:\>xcopy /o c:\test\test.txt d:\test\
C:\test\test.txt
1 File(s) copied
D:\test>dir /Q
Volume in drive D is install
Volume Serial Number is 7846-2FFA
Directory of D:\test
21.06.2012 23:25 COMP\user.
21.06.2012 23:25 BUILTIN\Administrators…
21.06.2012 23:22 1 COMP\dmitriy test.txt
owner успешно скопирован!
а вот для сравнения БЕЗ /o
D:\test>xcopy c:\test\test.txt d:\test2\
C:\test\test.txt
1 File(s) copied
D:\test>dir /Q d:\test2\
Volume in drive D is install
Volume Serial Number is 7846-2FFA
Directory of d:\test2
21.06.2012 23:27 COMP\user.
21.06.2012 23:27 BUILTIN\Administrators…
21.06.2012 23:22 1 COMP\user test.txt
Ещё раз спасибо за интересный и полезный вопрос!
Для копирования файлов и папок (в том числе по сети) с сохранением прав, в Windows имеется встроенная программа Robocopy. Использовать данную программу довольно просто, достаточно в командной строке написать:
robocopy \\computer\src c:\dst /e /zb /copyall /w:5
Справку по синтаксису и параметрам, можно посмотреть прямо в командной строке. Но есть следующие интересные моменты:
/Z — включает поддержку докачки, без которой, в случае обрыва связи при копировании через сеть, хэш-сумма скопированного файла может не сойтись с источником;
/M — копирует файлы с атрибутом «Архивный» и сбрасывает его, т.е. копирует только файлы, которые были изменены, и чтобы не измененные файлы в следующий раз не копировать, сбрасывает атрибут «Архивный»;
/B — копирует файлы, для которых NTFS разрешения для данного пользователя отсутствуют (при этом пользователь должен быть либо в группе Администраторы, либо в группе Операторы архива);
/sec — копирует только основную информацию о файлах (Данные, Атрибуты, Метки времени),
/copyall — копирует всю информацию о файлах (Данные, Атрибуты, Метки времени, Список контроля доступа NTFS (ACL), Сведения о владельце, Сведения аудита);
параметры /R и /W лучше всегда задавать вручную, так как по умолчанию они очень велики, и в процессе копирования, robocopy может просто надолго застрять на каком-либо файле.
Вступление
Мне кажется, что при проектировании системы прав доступа к файлам в NTFS сознательно заложили логическую ошибку. Система, где нет (привычного для Unix) пользователя с полными и абсолютными правами ко всему, существовать не может. И если администратору системы чтобы провести какие-либо манипуляции с файлами нужно предварительно отобрать права на файл у пользователя — это самая странная логика, какую только можно было заложить в систему.
Что же использовать
Для начала нужно разобраться, чем и как лучше скопировать файловую систему. После всего потраченного мной времени, я могу совершенно авторитетно заявить: если у вас есть возможность использовать блочное копирование, вместо файлового — используйте его. С вероятностью в 99% вы потратите меньше времени, даже при условии, что вам придется перезагрузиться в какой-нибудь LiveCD (например замечательный и горячо мной любимый CloneZilla).
Точно так же, если ваш раздел с данными больше 1 ТБ — тоже смотрите в сторону блочных методов. Почти наверняка на разделе такого объема вам попадется не один и не два файлами с неправильными правами. А сидеть более 5 часов ожидая очередную ошибку — очень неприятное занятие.
Всё описанное ниже относится только к небольшим (до 1 ТБ) объемам данных.
xcopy
Утилита xcopy — это copy для каталогов и деревьев каталогов. Зачем нужна была отдельная утилита — известно только Microsoft. С ключами всё очень просто:
xcopy C:\sourcedir C:\targetdir /E /V /H /R /K /O /X /Y
Приводить расшифровку ключей здесь я не буду — всё есть в мануале. Но это, пожалуй, минимальный набор, чтобы получить полную копию, со всеми правами и правильными владельцами.
robocopy
Утилиту robocopy позиционируют как замену для xcopy, которая теперь считается deprecated. Два главных её преимущества перед конкурентами это во-первых достаточно большой набор разнообразных ключей, а во-вторых, натыкаясь на ошибку, она не падает и не заставляет начинать всё с нуля, а начинает периодически переобращаться к файлу, давая вам что-нибудь пофиксить и продолжить.
Для себя я выбрал примерно такой набор ключей:
robocopy C:\sourcedir C:\targetdir /ZB /E /COPYALL /V
Отдельно стоит сказать, что ключ /B или /ZB предназначен для использования так называемого backup-режима (не буду показывать пальцем, где подсмотрено такое название) и главной целью несет якобы использование специальных методик сохранения всех атрибутов, даже если у администратора нет прав доступа к файлу. К сожалению это не работает примерно в половине случаев.
Возможные проблемы
А теперь поговорим о том, ради чего я всё это пишу. К сожалению проблем с файловой системой в Windows больше, чем даже можно себе представить. Например в этой статье рассказывается о том, как robocopy победил длинные пути к файлам, и хоть Explorer их и не видит — они по-крайней мере успешно скопировались.
Отсутствие прав доступа
Как я и писал выше, в Windows системах Администратор не всесилен и периодически приходится сталкиваться с тем, что если пользователь оставил в правах на файл только себя — придется забирать у него этот файл, чтобы что-то с ним сделать. Опять же, как я писал выше, решать эту проблему должен запуск robocopy /B, но в моем случае я всё равно получил ошибку:
2016/10/30 14:44:49 ERROR 5 (0x00000005) Copying File C:\sourcedir\filename Access is denied. Waiting 3 seconds... Retrying...
Первое, что нужно попробовать в таком случае — деликатно добавить себя (т.е. Администратора) в разрешения доступа к файлу:
icacls "C:\sourcedir" /T /grant Administrator:(OI)(CI)F /grant Administrators:(OI)(CI)F
Если вам повезло, и команда сообщит, что все файлы успешно обработаны — то robocopy в соседней консоли автоматически продолжит работу. Если же вам не повезло, то придется полностью забрать себе все права на директорию:
takeown /F "C:\sourcedir" /A /R /D Y
А после — снова выполнить команду icacls. В большинстве случаев это поможет, но есть еще один нюанс…
Отсутствие прав доступа у назначения
Удивительно, но да, может быть и такое. Возникает эта проблема из-за особенностей наследования прав доступа: когда вы копируете директорию A в директорию B, директория A\A1 имеет набор прав доступа, состоящих из её личных и наследованных от директории A, а при перемещении в директорию B наследованные права меняются. В результате, robocopy создает директорию-назначение и сам же теряет к ней доступ! Вы увидите ошибку идентичную предыдущей, начнете исправлять права на файл-источник, а на самом деле — исправлять права нужно на директории-назначении. Проблема, которую сложно представить для пользователя root, может забрать у вас не один десяток минут, особенно учитывая то, что она может снова и снова повторяться на протяжении копирования и предугадать её появление сложно. По-идее помочь может только изначальное полное соответствие прав на директории A и B — но мне оно не помогло.
Невалидные имена
Следующее, с чем я столкнулся, это неправильные имена файлов. Мне пришлось копировать сетевой том, доступный всему офису, куда складывались файлы не только с рабочих станций под управлением других Windows, но и с Linux. И вот здесь внезапно выяснилось, что пользователь никсов вполне может залить на сетевой диск по smb файл с невалидным именем, а вот сделать с ним на Windows системе ничего не получится. Причем невалидными являются такие совсем безобидные точка в конце названия каталога (напр. directory.) или даже пробел.
Что делать с таким файлом? Здесь нам придет на помощь другая фича семейства Windows: обращаться к файлам, к которым нельзя обращаться, можно используя специальную конструкцию: \\?\. Подробнее о ней написано здесь, а переименовать проблеммную директорию мы можем так:
move "\\?\C:\sourcedir\problemdir." "C:\sourcedir\problemdir"
Комбо
Ну и теперь самый интересный вариант. Представим (если бы…), что нам на сетевой диск не просто залили файл/директорию с невалидным именем, а еще и убрали с неё все права, позволяющие Администратору хоть что-то с ней сделать. Казалось бы — два примера выше использованные вместе должны полностью решать задачу. Однако это не так. И проблема в том, что ни takeown, ни icacls — не умеют работать с расширенными путями (\\?\). Вот и получается, что переименовать у нас нет прав, а выставить права мы не можем.
Остается только копаться в истории. Когда-то, во времена Windows XP и Server 2003, существовала замечательная утилита SubInACL. Сейчас она считается deprecated, но её по-прежнему можно скачать и даже установить в новые системы. Хороша она по двум причинам: работает почти безотказно и понимает расширенные пути:
subinacl "\\?\C:\sourcedir\problemdir." /setowner=Administrator /grant=Administrators
В файловой системе NTFS каждый объект (файл или папка) имеет свой список контроля доступа (Access Control List, ACL), в котором содержится информация о том, кто (или что) имеет доступ к объекту и какие операции разрешено (или запрещено) этому субъекту проводить над объектом. А что происходит с ACL при копировании или перемещении объекта? Попробуем это выяснить …
В качестве подопытного возьмем папку Temp в корне диска C. Откроем свойства папки и посмотрим ее разрешения. Как видите, в списке доступа есть только группа локальных администраторов и пользователь kirill (то есть я :)).
Теперь возьмем нашу папку.
И помощью Проводника скопируем ее на компьютер SRV1, также в корень диска C.
Если посмотреть разрешения скопированной папки, то мы увидим, что они полностью изменились.
Для того чтобы понять, откуда взялись новые разрешения, пройдем в дополнительные параметры безопасности папки (кнопка Advanced). Как видно из рисунка, все разрешения папки Temp унаследованы от диска С.
В этой ситуации нет ничего удивительного. По умолчанию разрешения NTFS сохраняются только при копировании\перемещении в пределах одного логического диска, или тома. Если же объект перемещается на другой диск того же (или другого) компьютера, то все разрешения заменяются наследуемыми от родительского объекта, которым в нашем случае и является диск C компьютера SRV1.
В нашем случае скопирована всего лишь одна папка с несколькими файлами, поэтому при необходимости восстановить утерянные разрешения несложно. А если подобное случиться при переносе серьезного файлового ресурса с высоким уровнем вложенности и сложной структурой разрешений NTFS, заданных вручную ?
К сожалению, проводник Windows не умеет копировать разрешения файловой системы, для этого нам придется воспользоваться альтернативными средствами.
Утилита Icacls
Эта утилита специально предназначена для работы с ACL. В числе прочего она может сохранить список доступа указанного объекта в файл, а затем применить этот список к указанному объекту.
Открываем командную консоль и сохраняем ACL исходного каталога Temp со всем его содержимым (подкаталоги и файлы) в файл tempACL командой:
Icacls C:\Temp\* /save tempACL /t
По умолчанию утилита сохраняет файл в профиле пользователя — C:\Users\Имя_пользователя. Это обычный текстовый файл, который при желании можно открыть в Блокноте.
Перенесем созданный файл tempACL на SRV1 и восстановим из него ACL каталога Temp командой:
Icacls C:\temp /restore C:\tempACL
Затем еще раз посмотрим разрешения скопированой папки Temp и увидим, что справедливость восторжествовала 🙂 и исходные разрешения восстановлены.
Утилита Xcopy
Xcopy является продвинутым вариантом команды Copy и в отличие от нее умеет работать с сетевыми путями, а также копировать сведения о владельце и данные ACL объекта.
В нашем случае для того, чтобы скопировать каталог Temp на SRV1 с сохранением списков доступа воспользуемся командой:
Xcopy C:\Temp \\SRV1\C$\Temp /E /O
Total Commander
Те, кто боится не любит работать в командной строке, могут воспользоваться файловым менеджером стороннего производителя, например Total Commander. В нем при копировании\переносе есть возможность скопировать разрешения NTFS, просто отметив галочкой чекбокс «Copy NTFS permissions».
И в завершение один важный момент, который учитывать при перемещении файловых ресурсов — разрешения NTFS можно свободно переносить только в пределах одного домена или леса доменов. Если к примеру скопировать папку со списком доступа на компьютер, не входящий в домен, то получим интересную ситуацию: ACL перенесен, но в локальной базе учетных записей нет такого пользователя. В этом случае при просмотре разрешений мы увидим примерно такую картину:
