Как сделать пользователя домена для резервного копирования обычным • Группа операторов резервного копирования на одном клиенте?
Я использую WBADMIN для резервного копирования нескольких клиентов в общий ресурс, опубликованный некоторыми Synology NAS с помощью SMB. Этот NAS интегрирован в мой Server 2019 AD, а резервные копии клиентов Windows являются частью того же домена. Мой подход состоит в том, чтобы создать одного специального пользователя резервного копирования для каждого клиента в AD и настроить доступ к общему ресурсу только для этого пользователя.После этого я создаю настраиваемую задачу в планировщике задач клиента Windows для выполнения сценария PowerShell, обертывающего выполнение WBADMIN с небольшим управлением журналами, отправкой писем и подобными мелочами.
Важной частью является то, что созданная задача выполняется с учетными данными специально созданного пользователя домена для резервного копирования только этого одного клиента. Итак, в конце у меня есть пользователи backup_host1_wib , backup_host2_wib и т. Д. В AD. Все эти пользователи уже являются частью операторов группового резервного копирования на контроллере домена, потому что им нужны специальные разрешения для выполнения планировщиком задач, вообще доступ к файлам для резервного копирования и т. Д. Проблема в том, что даже если эти пользователи содержатся в этой группе на контроллере домена планировщик задач на клиентах отказывается выполнять задачу из-за отсутствия разрешений на выполнение задачи.
Вместо этого мне нужно сделать каждого пользователя резервного копирования на каждом хосте дополнительно членом операторов резервного копирования локальной клиентской группы. После этого задача успешно выполняется, WBADMIN создает образ, и все работает как положено. Хотя, поскольку я уже добавил этих пользователей к операторам резервного копирования на контроллере домена, я ожидал, что это членство в группе также общается с отдельными клиентами, и мне не нужно было бы назначать членство в группе для каждого клиента вручную.
Итак, это поведение в особой группе не раскрывается индивидуальным клиентам, или я делаю что-то не так? Могло ли членство в группе в AD просто ЕЩЕ не опубликовано для моего тестового клиента, когда я тестировал? Хотя, кажется, я даже перезапустил его, и это ничего не изменило.
Действительно ли мне нужно создавать объект групповой политики вместо того, чтобы каждый специальный пользователь резервного копирования получал ожидаемые разрешения для соответствующего клиента, как описано в следующей статье?
Для меня это не имеет особого смысла, потому что упомянутые объекты групповой политики уже содержат операторы группового резервного копирования, и мне кажется, что добавить в эту одну группу проще.
Спасибо!
Да - хорошо известно и так и задумано, что группа "Backup Operators" домена не совпадает с группой "Backup Operators" каждой машины. Точно так же, как группа "Администраторы" домена или группа "Пользователи удаленного рабочего стола" не "синхронизируется" автоматически с соответствующими локальными группами. Это объекты с одним и тем же именем, существующие в разных диапазонах.
"Операторы резервного копирования" - это встроенная локальная группа на всех машинах. Поскольку контроллеры домена не имеют локальных групп, группа BUILTIN\Backup Operators, которая находится в домене, фактически является "локальной" группой Backup Operators для всех контроллеров домена. На самом деле, все группы в контейнере "BuiltIn" являются оригинальными локальными группами, которые существовали на первом контроллере домена в лесу при его первом продвижении. Значение по умолчанию в статье по ссылке относится к локальным группам, которые имеют указанное право пользователя из коробки.
Я бы пересмотрел ваш текущий подход. То, чего вы фактически достигли с помощью многочисленных учетных записей в группе операторов резервного копирования домена (из-за их привилегий резервного копирования) - это экспоненциальное расширение вектора атаки на ваш домен и конфиденциальные данные; каждая из этих учетных записей (чьи пароли теперь хранятся по всей вашей сети) имеет возможность удаленно подключиться к контроллеру домена, выполнить резервное копирование (получить копию ntds.dit для автономного анализа и взлома) и восстановить вашу Active Directory - или, возможно, поврежденную или взломанную копию.
Я бы рекомендовал немедленно удалить эти учетные записи из группы домена.
Можно добиться примерно следующего:
- Создайте новую группу безопасности "local-backup-operators" или что-то подобное
- Добавьте пользователя резервного копирования в эту новую доменную группу
- Используйте GPO (Restricted Groups) или предпочтение GP, которое гарантирует, что "local-backup-operators" является членом локальной группы "Backup Operators" на каждой машине.