Какому пользователю следует запускать службу резервного копирования?

8

Я работаю над приложением, которое использует службу теневого копирования томов для регулярного резервного копирования определенного файла. Это работает при запуске от имени администратора, но когда я запускаю службу под учетной записью «Сетевая служба», которую я считаю правильным выбором для приложения, я не могу установить привилегию SE_BACKUP_NAME и, следовательно, не могу использовать VSS.

Кажется неправильным запускать службу от имени администратора, но это, кажется, единственный вариант. У меня есть другой выбор?

windows  windows-service  vss  service-accounts 
JWood
источник
2
Вы можете создать пользователя с необходимыми разрешениями специально для этой цели
4
Группа «Операторы резервного копирования» больше не существует? Похоже, хорошо подходит.
Коди Грей,
Да, операторы резервного копирования могут быть просто ответом. Я просматривал встроенные учетные записи пользователей и не понимал, что существует резервная группа операторов. Похоже, это должно быть то, что мне нужно.

Ответы:

5

Программное обеспечение для резервного копирования должно запускаться как «пользователь с наименьшим уровнем привилегий, необходимым для того, чтобы он мог читать и создавать резервные копии всех файлов, для которых требуется создать резервную копию».

Обычно это означает root(или какую-либо другую учетную запись UID 0) в системах Unix, и член Backup Operatorsгруппы в последних версиях Windows.
Некоторое программное обеспечение для резервного копирования Windows, которое не использует преимущества этой Backup Operatorsфункциональности, может нуждаться в запуске из учетной записи локального администратора или администратора домена, но это должно происходить крайне редко, и если вы используете программное обеспечение для резервного копирования специально для Windows, которое не должно бывает ...

voretaq7
источник
2
В Windows это не так редко, как должно быть. Например, Backup Exec, который так же распространен, как мухи на корове, требует, чтобы используемая учетная запись была администратором домена.
Джон Гарденье
1
@ Джон - Мы не говорим о BackupExec в вежливой компании. Ты знаешь лучше. Теперь иди в серверную, обернись 3 раза, плюй и ругайся.
voretaq7
Извините. Я не знаю, что на меня нашло. Я сделал в соответствии с инструкциями, плюс сделал круг соли, просто чтобы быть уверенным.
Джон Гарденье
Все в порядке - мы только дважды сказали, что это имя. Оно не может пройти сквозь зеркало, если мы не скажем это 3 раза ...
voretaq7
Проблема с «Операторами резервного копирования» заключается в том, что у него достаточно привилегий для резервного копирования и восстановления всех файлов. Мне бы очень хотелось, чтобы мое ПО для резервного копирования имело доступ только для чтения к ОС и возможность вызывать службу томов теней. Восстановление выполняется администратором вручную, и если это необходимо демону, тогда должно произойти sudo / UAC.
Джастин Даринг
-1

Обычно установка программного обеспечения резервного копирования предоставляет правильные привилегии пользователю, который SysAdmin выбирает для запуска резервного копирования.

Если это не ваш случай, вам следует проверить документацию к программному обеспечению.

Как правило, если вы не хотите использовать пользователя, входящего в группу «Администраторы», пользователь должен иметь возможность подключиться к сети (в вашем случае) и обойти систему безопасности для создания резервной копии. Вы можете предоставить эти привилегии в редакторе политики безопасности.

lrosa
источник
Я не собираюсь вас отмечать, но вам нужно уточнить, что вы подразумеваете под «обходом безопасности ... предоставлением привилегий». Непонятно, что вы предлагаете, и звучит как дыра в безопасности.
gravyface
1
Я не так хорош, как @Gravyface.
Крис С
@gravyface, @Chris S: вы когда-нибудь устанавливали программное обеспечение для резервного копирования в Windows? Скажите BackupExec. Вы когда-нибудь читали всплывающее окно, которое появляется сразу после указания учетной записи пользователя BackupExec? Вы когда-нибудь читали, что отличает «резервного пользователя» от обычного пользователя в среде Windows?
Ироса
1
Вот документация Windows: technet.microsoft.com/en-us/library/dd277311.aspx Операторы резервного копирования: «Позволяет пользователю обходить разрешения на файлы и каталоги для резервного копирования системы. Эта привилегия выбирается только тогда, когда приложение пытается получить доступ через интерфейс приложения резервного копирования NTFS. "
Ироса
1
@Irosa: вам нужно добавить эту ссылку / объяснение к вашему ответу, и я уверен, что @Chris S и другие проголосуют за вас, поскольку это действительно правильно.
gravyface
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.