Назад | Перейти на главную страницу

Какие разрешения необходимы для резервного копирования в удаленную папку?

В настоящее время я работаю с Windows Server Backup и пытаюсь запустить запланированное резервное копирование с непривилегированной учетной записью.

Вот где начинается путаница. Я добавил «Резервное копирование» в группу «Операторы резервного копирования» на контроллере домена, но резервное копирование сервера не позволило мне создать задание резервного копирования. Поэтому я создал задание со своей собственной учетной записью и попытался позже изменить запланированное задание. Когда я затем пытаюсь переключить пользователя на «Резервное копирование», он сообщает мне, что «Резервному копированию» не разрешено входить в систему.

Итак, я добавил "Резервное копирование" в местный Группа «Операторы резервного копирования». Теперь я могу создать задачу. Но когда он запустится, он выйдет из строя с кодом ошибки 2155348039, сообщив мне, что не удалось записать в целевое расположение.

Когда я добавляю «Резервное копирование» в группу «Администраторы», все работает идеально. Поэтому я должен предположить, что это проблема, связанная с разрешениями. Но какие еще разрешения мне нужно установить?

Я также дважды проверил ошибку с помощью Process Monitor. An ACCESS_DENIED ошибка захвачена из wbengine.exe при попытке записи в расположение DFS \\dom.example.com\Backup\Exchange\TempFile.tmp.


Я также попытался просто настроить резервное копирование без DFS (путем записи напрямую в общий ресурс SMB), что приводит к той же проблеме.

Я также запустил командную строку как «Резервное копирование» на exchange.dom.example.com и pushd мой путь в \\storage0.dom.example.com\Exchange. Это единственное место, куда я не могу писать. Я могу писать в любую подпапку. Просто не в Exchange.

Я рекомендую вам придерживаться принципа наименьших привилегий. Но я думаю, я вижу, где ты сбился с пути. Где вы сказали:

Я добавил "Backup" в группу "Backup-Operators" на контроллере домена

Контейнер Builtin в AD содержит группы, которые по сути похожи на общие локальные группы для всех контроллеров домена. Добавление пользователя во встроенную группу «Операторы резервного копирования» в AD «Пользователи и компьютеры» дает только этому пользователю права оператора резервного копирования на контроллерах домена. Таким образом, это не повлияет на серверы домена, отличные от DC.

Источник: http://technet.microsoft.com/en-us/library/cc756898(v=ws.10).aspx

Например, член группы Backup Operators имеет право выполнять операции резервного копирования для всех контроллеры домена в домене.

Учетная запись, которую вы используете, должна быть членом локальной группы «Операторы резервного копирования» на каждом сервере - на том сервере, на котором выполняется резервное копирование, и на сервере, на котором размещается общий ресурс, на котором будет храниться резервная копия. Согласно документации, только это должно позволить учетной записи пользователя резервного копирования получить доступ к файлам, необходимым для выполнения резервного копирования, независимо от его прав на файлы, для которых выполняется резервное копирование.

Теперь, когда он является членом локальной группы «Операторы резервного копирования» на компьютере, на котором размещен общий файловый ресурс, вероятно, он не получит разрешения на запись для записи резервной копии в общий ресурс, поэтому вы захотите предоставить эти разрешения соответствующим образом. Я рекомендую предоставить пользователю резервного копирования права полного доступа к общему ресурсу, но только права чтения / записи на уровне NTFS.