Qual usuário deve executar um serviço de backup?

8

Estou trabalhando em um aplicativo que usa o Volume Shadow Copy Service para fazer backup de um arquivo específico em intervalos regulares. Isso funciona quando executado como administrador, mas quando eu executo o serviço na conta "Serviço de rede", que eu acreditava ser a escolha correta para aplicativos, não consigo definir o privilégio SE_BACKUP_NAME e, portanto, não consigo usar o VSS.

Parece incorreto executar o serviço como administrador, mas essa parece ser a única opção. Tenho outra escolha?

windows windows-service vss service-accounts JWood
fonte
2
Você pode criar um usuário com as permissões necessárias especificamente para esse fim
4
O grupo "Operadores de backup" não existe mais? Parece um bom ajuste.
Cody Gray
Sim, os operadores de backup podem ser apenas a resposta. Estive pesquisando contas de usuário integradas e não percebi que havia um grupo de operadores de backup. Parece que deve ser o que eu preciso.

Respostas:

5

O software de backup deve ser executado como "um usuário com o nível de privilégio mais baixo necessário para ler e fazer backup de todos os arquivos que você deseja fazer backup".

Normalmente, isso significa root(ou alguma outra conta UID 0) nos sistemas Unix e um membro do Backup Operatorsgrupo nas versões recentes do Windows.
Alguns softwares de backup do Windows que não tiram proveito da Backup Operatorsfuncionalidade podem precisar ser executados em uma conta de Administrador local ou Administrador de domínio, mas estes devem ser extremamente raros, e se você estiver usando um software de backup especificamente para o Windows, isso não deve acontecer. acontecer...

voretaq7
fonte
2
No Windows, isso não é tão raro quanto deveria ser. por exemplo, o Backup Exec, que é tão comum quanto uma mosca em uma vaca, exige que a conta usada seja um administrador de domínio.
John Gardeniers
1
@ John - Não falamos do BackupExec em uma empresa educada. Você sabe melhor. Agora entre na sala do servidor, vire 3 vezes, cuspa e xingue.
voretaq7
desculpa. Não sei o que aconteceu comigo. Eu fiz como instruído, além de fazer um círculo de sal, só para ter certeza.
precisa saber é o seguinte
Tudo bem - só dissemos o nome duas vezes. Ele não pode vir através do espelho, a menos que dizê-lo 3 vezes ...
voretaq7
O problema com "Operadores de backup" é que ele possui privilégios suficientes para fazer backup e restaurar todos os arquivos. Eu realmente gostaria que meu software de backup tivesse apenas acesso somente ao sistema operacional e a capacidade de chamar o serviço de sombra de volume. A restauração é feita manualmente pelo administrador e, se necessário, por um daemon, o sudo / UAC deve ocorrer.
Justin Dearing 06/06
-1

Normalmente, a instalação do software de backup concede os privilégios corretos ao usuário que o SysAdmin seleciona para executar o backup.

Caso contrário, verifique a documentação do software.

Geralmente, se você não quiser usar um membro do grupo Administradores, o usuário poderá se conectar à rede (no seu caso) e ignorar a segurança para fazer backup. Você pode conceder esses privilégios no editor de diretivas de segurança.

lrosa
fonte
Não vou marcar você para baixo, mas você precisa esclarecer o que você quer dizer com "ignorar segurança ... conceder privilégio". Não está claro o que você está sugerindo e parece uma falha de segurança.
Gravyface
1
Eu não sou tão legal quanto @Gravyface.
Chris S
@gravyface, @Chris S: você já instalou um software de backup no Windows? Diga BackupExec. Você já leu o pop-up que aparece logo após especificar a conta do usuário do BackupExec? Você já leu o que torna um "usuário de backup" diferente do usuário normal em um ambiente Windows?
Lrosa
1
Aqui está a documentação do Windows: technet.microsoft.com/en-us/library/dd277311.aspx Operadores de backup: "Permite ao usuário burlar as permissões de arquivo e diretório para fazer backup do sistema. O privilégio é selecionado apenas quando o aplicativo tenta acessar através de a interface do aplicativo de backup NTFS ".
Lrosa
1
@Irosa: você precisa adicionar esse link / explicação à sua resposta e tenho certeza que @Chris S e outras pessoas votarão em você, pois isso é realmente correto.
Gravyface