Какие разрешения необходимы для резервного копирования в удаленную папку?
В настоящее время я работаю с Windows Server Backup и пытаюсь запустить запланированное резервное копирование с непривилегированной учетной записью.
Я хочу создать полную резервную копию сервера
exchange.dom.example.com,Я создал нового пользователя домена "Резервное копирование", который я хочу использовать для этой задачи.
Я создал хранилище DFS под названием
\\dom.example.com\Backup\Exchangeгде я хочу написать свою резервную копию.Это указывает на общий ресурс SMB на сервере
storage0.dom.example.comназванный\\storage0.dom.example.com\ExchangeЯ дал пользователю "Резервное копирование" права полного доступа к SMB-ресурсу.
\\storage0.dom.example.com\Exchange,
Вот тут-то и начинается путаница. Я добавил "Резервное копирование" в группу "Операторы архива" на контроллере домена, но Резервное копирование сервера не позволило мне создать задание резервного копирования. Поэтому я создал задание с собственной учетной записью пользователя и позже попытался изменить запланированное задание. Затем, когда я пытаюсь переключить пользователя на "Резервное копирование", он говорит мне, что "Резервное копирование" не разрешено входить в систему.
Итак, я добавил "Backup" в локальную группу "Backup-Operators". Теперь я могу создать задачу просто отлично. Но когда он запускается, он потерпит неудачу с кодом ошибки 2155348039, сказав мне, что он не смог написать в целевое местоположение.
Когда я добавляю "Резервное копирование" в группу "Администраторы", все работает отлично. Поэтому я должен предположить, что это проблема, связанная с разрешениями. Но какие еще разрешения я должен установить?
Я также дважды проверил ошибку с помощью Process Monitor. ACCESS_DENIED ошибка фиксируется из wbengine.exe при попытке записи в папку DFS \\dom.example.com\Backup\Exchange\TempFile.tmp,
Я также попытался просто настроить резервное копирование без DFS вообще (записав напрямую в общий ресурс SMB), что приводит к той же проблеме.
Я также запустил командную строку как "Резервное копирование" на exchange.dom.example.com а также pushd мой путь в \\storage0.dom.example.com\Exchange, Это единственное место, куда я не могу написать. Я могу написать в любую подпапку просто отлично. Просто не в Exchange,
1 ответ
Я благодарю вас за попытку придерживаться принципа наименьших привилегий. Но я думаю, что вижу, где вы сбились с пути. Где ты сказал:
Я добавил "Backup" в группу "Backup-Operators" на контроллере домена
Контейнер Builtin в AD содержит группы, которые по сути похожи на общие локальные группы для всех контроллеров домена. Добавление пользователя во встроенную группу "Операторы архива" в AD Users and Computers только дает этому пользователю права "Оператор архива" на контроллерах домена. Таким образом, это не повлияет на не-DC серверы в домене.
Источник: http://technet.microsoft.com/en-us/library/cc756898(v=ws.10).aspx
Например, член группы "Операторы архива" имеет право выполнять операции резервного копирования для всех контроллеров домена в домене.
Используемая вами учетная запись должна быть членом локальной группы "Операторы архива" на каждом сервере: резервная копия и сервер, на котором размещен общий ресурс, на котором будет храниться резервная копия. Согласно документации, это само по себе должно позволить учетной записи пользователя "Резервное копирование" получать доступ к файлам, необходимым для выполнения резервного копирования, независимо от его прав доступа к файлам, для которых выполняется резервное копирование.
Теперь членство в локальной группе "Операторы архива" на компьютере, на котором размещен общий файловый ресурс, вероятно, не даст ему разрешения на запись для записи резервной копии в общий ресурс, поэтому вы захотите назначить эти разрешения соответствующим образом. Я рекомендую предоставить пользователю Backup полный доступ к общим ресурсам, но только для чтения / записи на уровне NTFS.