Приветствую
Мне было поручено создать автоматическую систему резервного копирования, которая будет выполнять резервное копирование домашнего диска пользователя на соответствующий сетевой диск, который у нас есть на файловом сервере. После долгих хлопот, чтобы заставить это работать, я наконец нашел хорошее решение с использованием robocopy. Единственная проблема заключается в том, что для выполнения операции требуется, чтобы пользователь был в локальной группе операторов резервного копирования. Я немного прочитал об ограниченных пользователях в объектах групповой политики, поэтому, используя ограниченных пользователей, я добавил группу «Пользователи домена» в локальную группу операторов резервного копирования на каждом компьютере. Он выполняет функции, которые мне нужны для robocopy, но я немного новичок в администрировании Windows / AD, и я не эксперт как таковой. Какие (если есть) риски безопасности я обнаружил, добавив группу «Пользователи домена» в группу операторов резервного копирования каждой машины?
Спасибо за любую помощь или совет, мы очень признательны.
Это определенно слишком широко. Операторы резервного копирования имеют большой доступ к вашему хосту. Пользователи домена - это все в вашем домене. Итак, теперь любой в вашем домене может получить доступ к большинству файлов на всех ваших хостах. Не самая лучшая поза безопасности.
Было бы лучше создать глобальную группу под названием «Пользователи Robocopy» и добавить пользователей домена (JohnC, MaryK), которым необходимо использовать robocopy для создания резервных копий, а затем добавить эту глобальную группу в группу «Операторы резервного копирования» с помощью GPO с ограниченными пользователями.
Просто идея, но если вы выполняете резервное копирование с локальных машин на файловый сервер, вы можете сделать это файловое хранилище администратором и владельцем-создателем с полным доступом, а затем предоставить прошедшим проверку пользователям возможность создавать папки. Это позволит им создать папку, владельцем которой они смогут стать, чтобы иметь полный доступ к этой папке и только к этой папке.