Als welcher Benutzer sollte ein Sicherungsdienst ausgeführt werden?

8

Ich arbeite an einer Anwendung, die den Volume Shadow Copy Service verwendet, um eine bestimmte Datei in regelmäßigen Abständen zu sichern. Dies funktioniert, wenn ich als Administrator ausgeführt werde. Wenn ich den Dienst jedoch unter dem Konto "Netzwerkdienst" ausführe, von dem ich glaubte, dass es die richtige Wahl für eine Anwendung ist, kann ich das SE_BACKUP_NAME-Privileg nicht festlegen und daher VSS nicht verwenden.

Es scheint falsch zu sein, den Dienst als Administrator auszuführen, aber das scheint die einzige Option zu sein. Habe ich eine andere Wahl?

windows windows-service vss service-accounts JWood
quelle
2
Sie können einen Benutzer mit den erforderlichen Berechtigungen speziell für diesen Zweck erstellen
4
Gibt es die Gruppe "Sicherungsoperatoren" nicht mehr? Klingt nach einer guten Passform.
Cody Gray
Ja, die Backup-Operatoren könnten nur die Antwort sein. Ich habe mir integrierte Benutzerkonten angesehen und nicht bemerkt, dass es eine Gruppe von Sicherungsoperatoren gibt. Scheint, als sollte es das sein, was ich brauche.

Antworten:

5

Die Sicherungssoftware sollte als "Benutzer mit der niedrigsten erforderlichen Berechtigungsstufe ausgeführt werden, damit alle zu sichernden Dateien gelesen und gesichert werden können".

In der Regel bedeutet dies root(oder ein anderes UID 0-Konto) auf Unix-Systemen und ein Mitglied der Backup OperatorsGruppe in neueren Windows-Versionen.
Einige Windows-Sicherungssoftware, die die Backup OperatorsFunktionalität nicht nutzt, müssen möglicherweise entweder von einem lokalen Administrator- oder Domänenadministratorkonto ausgeführt werden. Diese sollten jedoch äußerst selten sein, und wenn Sie Sicherungssoftware speziell für Windows verwenden, sollte dies nicht der Fall sein geschehen...

voretaq7
quelle
2
Unter Windows ist dies nicht so selten, wie es sein sollte. Zum Beispiel erfordert Backup Exec, das so häufig ist wie Fliegen auf einer Kuh, das Konto, das es als Domain-Administrator verwendet.
John Gardeniers
1
@ John - Wir sprechen nicht von BackupExec in höflicher Gesellschaft. Du weißt es besser. Gehen Sie jetzt in den Serverraum, drehen Sie sich dreimal um, spucken Sie und fluchen Sie.
voretaq7
Es tut uns leid. Ich weiß nicht, was über mich gekommen ist. Ich habe getan, wie angewiesen, und einen Kreis aus Salz gemacht, nur um sicherzugehen.
John Gardeniers
Es ist in Ordnung - wir haben nur zweimal gesagt, dass es ein Name ist. Es kann nicht durch den Spiegel kommen, wenn wir es nicht dreimal sagen ...
voretaq7
Das Problem mit "Sicherungsoperatoren" besteht darin, dass genügend Berechtigungen zum Sichern und Wiederherstellen aller Dateien vorhanden sind. Ich wünschte wirklich, meine Backup-Software hätte nur Lesezugriff auf das Betriebssystem und die Möglichkeit, den Volume Shadow-Dienst aufzurufen. Die Wiederherstellung wird manuell vom Administrator durchgeführt. Wenn dies von einem Dämon durchgeführt werden muss, sollte dann sudo / UAC erfolgen.
Justin Dearing
-1

Normalerweise gewährt die Installation der Sicherungssoftware dem Benutzer, den SysAdmin zum Ausführen der Sicherung auswählt, die richtigen Berechtigungen.

Wenn dies nicht der Fall ist, sollten Sie die Softwaredokumentation überprüfen.

Wenn Sie kein Benutzermitglied der Administratorgruppe verwenden möchten, sollte der Benutzer im Allgemeinen in der Lage sein, eine Verbindung zum Netzwerk herzustellen (in Ihrem Fall) und die Sicherheit zu umgehen, um eine Sicherung durchzuführen. Sie können diese Berechtigungen im Sicherheitsrichtlinien-Editor gewähren.

lrosa
quelle
Ich werde Sie nicht markieren, aber Sie müssen klarstellen, was Sie unter "Sicherheit umgehen ... Privileg gewähren" verstehen. Es ist nicht klar, was Sie vorschlagen, und es klingt wie eine Sicherheitslücke.
Soße Gesicht
1
Ich bin nicht so nett wie @Gravyface.
Chris S
@gravyface, @Chris S: Haben Sie jemals eine Sicherungssoftware unter Windows installiert? Sagen Sie BackupExec. Haben Sie jemals das Popup gelesen, das direkt nach der Angabe des Benutzerkontos von BackupExec angezeigt wird? Haben Sie jemals gelesen, was einen "Backup-Benutzer" von einem normalen Benutzer in einer Windows-Umgebung unterscheidet?
Lrosa
1
Hier ist die Windows-Dokumentation: technet.microsoft.com/en-us/library/dd277311.aspx Sicherungsoperatoren: "Ermöglicht dem Benutzer, Datei- und Verzeichnisberechtigungen zum Sichern des Systems zu umgehen. Die Berechtigung wird nur ausgewählt, wenn die Anwendung versucht, über sie zuzugreifen die NTFS-Backup-Anwendungsschnittstelle. "
Lrosa
1
@Irosa: Sie müssen diesen Link / diese Erklärung zu Ihrer Antwort hinzufügen, und ich bin sicher, dass @Chris S und andere Sie abstimmen werden, da dies in der Tat richtig ist.
Soße Gesicht