В настоящее время я работаю с Windows Server Backup и пытаюсь запустить запланированное резервное копирование с непривилегированной учетной записью.
Я хочу создать полную резервную копию сервера exchange.dom.example.com
.
Я создал нового пользователя домена «Резервное копирование», которого хочу использовать для этой задачи.
Я создал хранилище DFS под названием \\dom.example.com\Backup\Exchange
куда я хочу записать свою резервную копию.
Он указывает на общий ресурс SMB на сервере storage0.dom.example.com
названный \\storage0.dom.example.com\Exchange
Я дал пользователю "Резервное копирование" права полного доступа к общему ресурсу SMB \\storage0.dom.example.com\Exchange
.
Вот где начинается путаница. Я добавил «Резервное копирование» в группу «Операторы резервного копирования» на контроллере домена, но резервное копирование сервера не позволило мне создать задание резервного копирования. Поэтому я создал задание со своей собственной учетной записью и попытался позже изменить запланированное задание. Когда я затем пытаюсь переключить пользователя на «Резервное копирование», он сообщает мне, что «Резервному копированию» не разрешено входить в систему.
Итак, я добавил "Резервное копирование" в местный Группа «Операторы резервного копирования». Теперь я могу создать задачу. Но когда он запустится, он выйдет из строя с кодом ошибки 2155348039
, сообщив мне, что не удалось записать в целевое расположение.
Когда я добавляю «Резервное копирование» в группу «Администраторы», все работает идеально. Поэтому я должен предположить, что это проблема, связанная с разрешениями. Но какие еще разрешения мне нужно установить?
Я также дважды проверил ошибку с помощью Process Monitor. An ACCESS_DENIED
ошибка захвачена из wbengine.exe
при попытке записи в расположение DFS \\dom.example.com\Backup\Exchange\TempFile.tmp
.
Я также попытался просто настроить резервное копирование без DFS (путем записи напрямую в общий ресурс SMB), что приводит к той же проблеме.
Я также запустил командную строку как «Резервное копирование» на exchange.dom.example.com
и pushd
мой путь в \\storage0.dom.example.com\Exchange
. Это единственное место, куда я не могу писать. Я могу писать в любую подпапку. Просто не в Exchange
.
Я рекомендую вам придерживаться принципа наименьших привилегий. Но я думаю, я вижу, где ты сбился с пути. Где вы сказали:
Я добавил "Backup" в группу "Backup-Operators" на контроллере домена
Контейнер Builtin в AD содержит группы, которые по сути похожи на общие локальные группы для всех контроллеров домена. Добавление пользователя во встроенную группу «Операторы резервного копирования» в AD «Пользователи и компьютеры» дает только этому пользователю права оператора резервного копирования на контроллерах домена. Таким образом, это не повлияет на серверы домена, отличные от DC.
Источник: http://technet.microsoft.com/en-us/library/cc756898(v=ws.10).aspx
Например, член группы Backup Operators имеет право выполнять операции резервного копирования для всех контроллеры домена в домене.
Учетная запись, которую вы используете, должна быть членом локальной группы «Операторы резервного копирования» на каждом сервере - на том сервере, на котором выполняется резервное копирование, и на сервере, на котором размещается общий ресурс, на котором будет храниться резервная копия. Согласно документации, только это должно позволить учетной записи пользователя резервного копирования получить доступ к файлам, необходимым для выполнения резервного копирования, независимо от его прав на файлы, для которых выполняется резервное копирование.
Теперь, когда он является членом локальной группы «Операторы резервного копирования» на компьютере, на котором размещен общий файловый ресурс, вероятно, он не получит разрешения на запись для записи резервной копии в общий ресурс, поэтому вы захотите предоставить эти разрешения соответствующим образом. Я рекомендую предоставить пользователю резервного копирования права полного доступа к общему ресурсу, но только права чтения / записи на уровне NTFS.