Quais permissões são necessárias para fazer backup em uma pasta remota?

Navegue suas respostas
3

Atualmente, estou trabalhando com o Backup do Windows Server e estou tentando executar um backup agendado com uma conta sem privilégios.

  • Eu quero criar um backup completo do servidor exchange.dom.example.com .

  • Eu criei um novo usuário de domínio, "Backup", que desejo usar para esta tarefa.

  • Eu criei um local de armazenamento DFS chamado \dom.example.com\Backup\Exchange no qual desejo gravar meu backup.

  • Está apontando para um compartilhamento SMB no servidor storage0.dom.example.com named \storage0.dom.example.com\Exchange

  • Eu dei ao usuário "Backup" permissões de acesso total ao compartilhamento SMB \storage0.dom.example.com\Exchange .

Agora, é aqui que começa a confusão. Eu adicionei "Backup" ao grupo "Backup-Operators" em um controlador de domínio, mas o Server Backup não me permitiu criar o trabalho de backup. Então criei o trabalho com minha própria conta de usuário e tentei alterar a tarefa agendada mais tarde. Quando eu, então, tentar mudar o usuário para "Backup", ele me diz que "Backup" não tem permissão para entrar no sistema.

Então, adicionei "Backup" ao grupo local "Backup-Operators". Agora eu posso criar a tarefa muito bem. Mas quando for executado, ele falhará com o código de erro 2155348039 , informando que não foi possível gravar no local de destino.

Quando adiciono "Backup" ao grupo "Administradores", tudo corre perfeito. Então, devo supor que este é um problema relacionado a permissões. Mas que outras permissões eu tenho que definir?

Eu também verifiquei o erro com o Process Monitor. Um erro ACCESS_DENIED é capturado de wbengine.exe ao tentar gravar no local do DFS \dom.example.com\Backup\Exchange\TempFile.tmp .

Eu também tentei simplesmente configurar o backup sem o DFS (escrevendo diretamente no compartilhamento SMB), o que leva ao mesmo problema.

Eu também já iniciei um prompt de comando como "Backup" em exchange.dom.example.com e pushd my way into \storage0.dom.example.com\Exchange . Este é o único lugar onde não posso escrever. Eu posso escrever em qualquer subpasta bem. Só não no Exchange .

    
por Der Hochstapler 22.08.2012 / 00:22

1 resposta

5

Eu recomendo você por tentar manter o princípio do menor privilégio. Mas eu acho que vejo onde você saiu da pista. Onde você disse:

I added "Backup" to the "Backup-Operators" group on a domain controller

O contêiner Builtin no AD contém grupos que são essencialmente como grupos locais compartilhados para todos os controladores de domínio. A adição de um usuário ao grupo interno de Operadores de backup em Usuários e Computadores do AD fornece apenas privilégios de Operador de Backup aos controladores de domínio. Como tal, não terá efeito em servidores não-DC no domínio.

Fonte: link

For example, a member of the Backup Operators group has the right to perform backup operations for all domain controllers in the domain.

A conta que você usa deve ser um membro do grupo local Operadores de Backup em cada servidor - aquele que está sendo backup, e o servidor que hospeda o compartilhamento que armazenará o backup. De acordo com a documentação, somente isso deve permitir que a conta de usuário do Backup acesse os arquivos necessários para executar o backup, independentemente de suas permissões de arquivo nos arquivos que estão sendo armazenados em backup.

Agora, ser membro do grupo local Operadores de Backup no computador que hospeda o compartilhamento de arquivos provavelmente não concederá a ele permissões de gravação para gravar o backup no compartilhamento, portanto, você deverá conceder essas permissões de acordo. Recomendo que você conceda permissões de compartilhamento de controle total ao usuário do Backup, mas apenas permissões de leitura / gravação no nível do NTFS.

    
por 22.08.2012 / 01:03

Tags

Configuração Vhost do Symfony2 Listar todos os compartilhamentos em uma rede