Avec quel utilisateur un service de sauvegarde doit-il s'exécuter?

8

Je travaille sur une application qui utilise le service de cliché instantané des volumes pour sauvegarder un fichier particulier à intervalles réguliers. Cela fonctionne lorsqu'il est exécuté en tant qu'administrateur mais lorsque j'exécute le service sous le compte "Service réseau" que je pensais être le bon choix pour une application telle que je ne peux pas définir le privilège SE_BACKUP_NAME et donc incapable d'utiliser VSS.

Il semble incorrect d'exécuter le service en tant qu'administrateur, mais cela semble être la seule option. Ai-je d'autre choix?

windows windows-service vss service-accounts JWood
la source
2
Vous pouvez créer un utilisateur avec les autorisations requises spécialement à cet effet
4
Le groupe "Opérateurs de sauvegarde" n'existe-t-il plus? Sonne comme un bon ajustement.
Cody Gray
Oui, les opérateurs de sauvegarde pourraient bien être la réponse. J'ai regardé les comptes d'utilisateurs intégrés et je ne savais pas qu'il y avait un groupe d'opérateurs de sauvegarde. On dirait que ce devrait être ce dont j'ai besoin.

Réponses:

5

Le logiciel de sauvegarde doit fonctionner en tant qu '«utilisateur avec le niveau de privilège le plus bas requis pour pouvoir lire et sauvegarder tous les fichiers que vous souhaitez sauvegarder».

Cela signifie généralement root(ou un autre compte UID 0) sur les systèmes Unix et un membre du Backup Operatorsgroupe sur les versions récentes de Windows.
Certains logiciels de sauvegarde Windows qui ne profitent pas de la Backup Operatorsfonctionnalité peuvent devoir être exécutés à partir d'un compte d'administrateur local ou d'administrateur de domaine, mais ceux-ci devraient être extrêmement rares, et si vous utilisez un logiciel de sauvegarde spécifiquement pour Windows, cela ne devrait pas se produire...

voretaq7
la source
2
Sous Windows, ce n'est pas aussi rare qu'il devrait l'être. Par exemple, Backup Exec, qui est aussi courant que les mouches sur une vache, nécessite que le compte qu'il utilise soit un administrateur de domaine.
John Gardeniers
1
@John - Nous ne parlons pas de BackupExec en compagnie polie. Tu sais mieux. Maintenant, allez dans la salle des serveurs, retournez-vous 3 fois, crachez et maudissez.
voretaq7
Désolé. Je ne sais pas ce qui m'a pris. J'ai fait comme indiqué, et j'ai fait un cercle de sel, juste pour être sûr.
John Gardeniers
C'est bon - nous avons seulement dit son nom deux fois. Il ne peut pas traverser le miroir à moins que nous ne le
disions
Le problème avec les "Opérateurs de sauvegarde" est qu'il a suffisamment de privilèges pour sauvegarder et restaurer tous les fichiers. Je souhaite vraiment que mon logiciel de sauvegarde ne dispose que d'un accès en lecture seule au système d'exploitation et de la possibilité d'invoquer le service fantôme de volume. La restauration est effectuée manuellement par l'administrateur, et si cela doit être fait par un démon, alors sudo / UAC devrait alors se produire.
Justin Dearing
-1

Normalement, l'installation du logiciel de sauvegarde accorde les privilèges appropriés à l'utilisateur sélectionné par SysAdmin pour exécuter la sauvegarde.

Si ce n'est pas votre cas, vous devriez vérifier la documentation du logiciel.

En règle générale, si vous ne souhaitez pas utiliser un utilisateur membre du groupe Administrateurs, l'utilisateur doit pouvoir se connecter au réseau (dans votre cas) et contourner la sécurité pour effectuer une sauvegarde. Vous pouvez accorder ces privilèges dans l'éditeur de stratégie de sécurité.

lrosa
la source
Je ne vais pas vous noter, mais vous devez clarifier ce que vous entendez par "contourner la sécurité ... accorder le privilège". Ce que vous proposez n'est pas clair et sonne comme une faille de sécurité.
gravyface
1
Je ne suis pas aussi gentil que @Gravyface.
Chris S
@gravyface, @Chris S: avez-vous déjà installé un logiciel de sauvegarde sur Windows? Dites BackupExec. Avez-vous déjà lu la fenêtre contextuelle qui apparaît juste après avoir spécifié le compte utilisateur de BackupExec? Avez-vous déjà lu ce qui rend un «utilisateur de sauvegarde» différent d'un utilisateur normal dans un environnement Windows?
lrosa
1
Voici la documentation Windows: technet.microsoft.com/en-us/library/dd277311.aspx Opérateurs de sauvegarde: "Permet à l'utilisateur de contourner les autorisations de fichier et de répertoire pour sauvegarder le système. Le privilège est sélectionné uniquement lorsque l'application tente d'accéder via l'interface de l'application de sauvegarde NTFS. "
lrosa
1
@Irosa: vous devez ajouter ce lien / explication à votre réponse et je suis sûr que @Chris S et d'autres voteront, car c'est en effet correct.
gravyface