Quale utente dovrebbe eseguire un servizio di backup?

8

Sto lavorando a un'applicazione che utilizza Volume Shadow Copy Service per eseguire il backup di un determinato file a intervalli regolari. Funziona quando viene eseguito come amministratore ma quando eseguo il servizio con l'account "Servizio di rete" che ritengo essere la scelta corretta per tale applicazione, non riesco a impostare il privilegio SE_BACKUP_NAME e quindi non riesco a utilizzare VSS.

Sembra non corretto eseguire il servizio come amministratore ma sembra essere l'unica opzione. Ho altra scelta?

windows  windows-service  vss  service-accounts 
JWood
fonte
2
È possibile creare un utente con le autorizzazioni necessarie appositamente per questo scopo
4
Il gruppo "Operatori di backup" non è più presente? Sembra una buona misura.
Cody Gray,
Sì, gli operatori di backup potrebbero essere la risposta. Ho esaminato gli account utente integrati e non mi ero reso conto che esistesse un gruppo di operatori di backup. Sembra che dovrebbe essere quello di cui ho bisogno.

Risposte:

5

Il software di backup deve essere eseguito come "un utente con il livello di privilegio più basso richiesto per consentire la lettura e il backup di tutti i file di cui si desidera eseguire il backup".

In genere questo significa root(o qualche altro account UID 0) su sistemi Unix e un membro del Backup Operatorsgruppo su versioni recenti di Windows.
Alcuni software di backup di Windows che non sfruttano la Backup Operatorsfunzionalità potrebbero dover essere eseguiti da un account di amministratore locale o di amministratore di dominio, ma questi dovrebbero essere estremamente rari e se si utilizza un software di backup specifico per Windows che non dovrebbe accadere...

voretaq7
fonte
2
Su Windows non è così raro come dovrebbe essere. ad es. Backup Exec, che è comune come le mosche su una mucca, richiede che l'account utilizzato sia un amministratore di dominio.
John Gardeniers,
1
@John - Non parliamo di BackupExec in compagnia educata. Lo sai meglio. Ora vai nella stanza del server, gira 3 volte, sputa e impreca.
voretaq7,
scusa. Non so cosa mi sia venuto in mente. Ho fatto secondo le istruzioni, oltre a fare un cerchio di sale, per essere sicuro.
John Gardeniers,
Va bene, abbiamo solo detto due volte il nome. Non può passare attraverso lo specchio se non lo diciamo 3 volte ...
voretaq7,
Il problema con "Operatori di backup" è che ha sufficienti privilegi per il backup e il ripristino di tutti i file. Vorrei davvero che il mio software di backup avesse accesso in sola lettura al sistema operativo e la possibilità di richiamare il servizio Shadow del volume. Il ripristino viene eseguito manualmente dall'amministratore e, se necessario, deve essere eseguito da un demone, quindi sudo / UAC dovrebbe avvenire.
Justin Dearing il
-1

Normalmente l'installazione del software di backup garantisce i privilegi corretti all'utente che SysAdmin seleziona per eseguire il backup.

In caso contrario, consultare la documentazione del software.

In genere, se non si desidera utilizzare un membro utente del gruppo Amministratori, l'utente dovrebbe essere in grado di connettersi alla rete (nel tuo caso) e di bypassare la sicurezza per eseguire il backup. È possibile concedere questi privilegi nell'editor dei criteri di sicurezza.

lrosa
fonte
Non ti segnerò, ma devi chiarire cosa intendi con "bypassare la sicurezza ... concedi privilegio". Non è chiaro cosa stai suggerendo e sembra una falla di sicurezza.
gravyface,
1
Non sono carino come @Gravyface.
Chris S,
@gravyface, @Chris S: hai mai installato un software di backup su Windows? Di 'BackupExec. Hai mai letto il popup che appare subito dopo aver specificato l'utente accout di BackupExec? Hai mai letto cosa rende un "utente di backup" diverso dall'utente normale in un ambiente Windows?
lrosa,
1
Ecco la documentazione di Windows: technet.microsoft.com/en-us/library/dd277311.aspx Operatori di backup: "Consente all'utente di eludere le autorizzazioni di file e directory per eseguire il backup del sistema. Il privilegio viene selezionato solo quando l'applicazione tenta di accedere tramite l'interfaccia dell'applicazione di backup NTFS. "
lrosa,
1
@Irosa: devi aggiungere quel link / spiegazione alla tua risposta e sono sicuro che @Chris S e altri ti voteranno perché è davvero corretto.
gravyface,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.