Я привык создавать выделенную учетную запись пользователя домена на уровне администратора, на которой выполняются процессы резервного копирования, а затем блокировать ее возможность входа в систему на станции, но я всегда думал, что это угроза безопасности.
Кто-нибудь может предложить лучшую практику, как это сделать?
Вы можете добавить пользователя в группу «Операторы резервного копирования», а не «Администраторы». Это предоставляет пользователю доступ на чтение к файлам и папкам, которые ему необходимы для резервного копирования, но без повышенных привилегий, предоставленных администратору. Вероятно, стоит запретить пользователю входить в систему на рабочих станциях, чтобы предотвратить доступ к файлам для любых целей, кроме резервного копирования.