Pengguna mana yang harus menjalankan layanan cadangan?

8

Saya sedang mengerjakan aplikasi yang menggunakan Volume Shadow Copy Service untuk membuat cadangan file tertentu secara berkala. Ini berfungsi ketika dijalankan sebagai admin tetapi ketika saya menjalankan layanan di bawah akun "Layanan Jaringan" yang saya yakini sebagai pilihan yang tepat untuk aplikasi seperti itu, saya tidak dapat menetapkan hak istimewa SE_BACKUP_NAME dan karena itu tidak dapat menggunakan VSS.

Tampaknya tidak benar untuk menjalankan layanan sebagai admin tetapi itu tampaknya menjadi satu-satunya pilihan. Apakah saya punya pilihan lain?

JWood
sumber
2
Anda dapat membuat pengguna dengan izin yang diperlukan khusus untuk tujuan ini
4
Apakah grup "Operator Cadangan" sudah tidak ada lagi? Kedengarannya cocok.
Cody Grey
Ya, operator cadangan mungkin saja jawabannya. Saya telah melihat akun pengguna bawaan dan tidak menyadari ada grup operator cadangan. Sepertinya itu yang aku butuhkan.

Jawaban:

5

Perangkat lunak cadangan harus dijalankan sebagai "pengguna dengan tingkat hak istimewa terendah yang diperlukan agar dapat membaca & mencadangkan semua file yang ingin Anda cadangkan".

Biasanya ini berarti root(atau akun UID 0 lainnya) pada sistem Unix, dan anggota Backup Operatorsgrup pada versi terbaru Windows.
Beberapa perangkat lunak cadangan Windows yang tidak memanfaatkan Backup Operatorsfungsionalitas mungkin perlu dijalankan dari Admin Lokal atau akun Domain Admin, tetapi ini harus sangat jarang, dan jika Anda menggunakan perangkat lunak cadangan khusus untuk Windows yang seharusnya tidak terjadi...

voretaq7
sumber
2
Di Windows ini tidak jarang seperti yang seharusnya. mis. Backup Exec, yang umum seperti terbang pada seekor sapi, mengharuskan akun yang digunakannya menjadi Admin Domain.
John Gardeniers
1
@ John - Kami tidak berbicara tentang BackupExec di perusahaan yang sopan. Anda lebih tahu. Sekarang masuk ke ruang server, berbalik 3 kali, meludah dan mengutuk.
voretaq7
Maaf. Saya tidak tahu apa yang merasuki saya. Saya sudah melakukan seperti yang diperintahkan, ditambah membuat lingkaran garam, hanya untuk memastikan.
John Gardeniers
Tidak apa-apa - kami hanya mengatakan namanya dua kali. Itu tidak bisa datang melalui cermin kecuali kita mengatakannya 3 kali ...
voretaq7
Masalah dengan "Operator Cadangan" adalah memiliki cukup hak untuk membuat cadangan dan memulihkan semua file. Saya benar-benar berharap perangkat lunak cadangan saya hanya memiliki akses hanya baca ke OS dan kemampuan untuk memanggil layanan bayangan volume. Pemulihan dilakukan secara manual oleh admin, dan jika perlu dilakukan oleh daemon, maka sudo / UAC harus terjadi kemudian.
Justin Dearing
-1

Biasanya instalasi perangkat lunak cadangan memberikan hak yang benar kepada pengguna yang SysAdmin pilih untuk menjalankan cadangan.

Jika ini bukan kasus Anda, Anda harus memeriksa dokumentasi perangkat lunak.

Secara umum, jika Anda tidak ingin menggunakan anggota pengguna grup Administrator, pengguna harus dapat terhubung ke jaringan (dalam kasus Anda) dan memintas keamanan untuk membuat cadangan. Anda dapat memberikan hak istimewa ini di editor Kebijakan Keamanan.

lrosa
sumber
Saya tidak akan menandai Anda, tetapi Anda perlu mengklarifikasi apa yang Anda maksud dengan "keamanan bypass ... berikan hak istimewa". Tidak jelas apa yang Anda sarankan dan terdengar seperti lubang keamanan.
gravyface
1
Saya tidak sebagus @Gravyface.
Chris S
@gravyface, @Chris S: apakah Anda pernah menginstal perangkat lunak cadangan pada Windows? Katakan BackupExec. Apakah Anda pernah membaca sembulan yang muncul tepat setelah Anda menentukan akun pengguna BackupExec? Apakah Anda pernah membaca apa yang membuat "Pengguna cadangan" berbeda dari pengguna normal di lingkungan Windows?
lrosa
1
Berikut dokumentasi Windows: technet.microsoft.com/en-us/library/dd277311.aspx Operator Cadangan: "Memungkinkan pengguna untuk menghindari izin file dan direktori untuk membackup sistem. Hak istimewa dipilih hanya ketika aplikasi mencoba mengakses melalui antarmuka aplikasi cadangan NTFS. "
lrosa
1
@Irosa: Anda perlu menambahkan tautan / penjelasan itu ke jawaban Anda dan saya yakin @Chris S dan yang lainnya akan memilih Anda karena itu memang benar.
gravyface