¿A qué usuario debe ejecutarse un servicio de respaldo?

8

Estoy trabajando en una aplicación que utiliza el Servicio de instantáneas de volumen para hacer una copia de seguridad de un archivo en particular a intervalos regulares. Esto funciona cuando se ejecuta como administrador, pero cuando ejecuto el servicio en la cuenta "Servicio de red", que creo que es la opción correcta para la aplicación, no puedo establecer el privilegio SE_BACKUP_NAME y, por lo tanto, no puedo usar VSS.

Parece incorrecto ejecutar el servicio como administrador, pero esa parece ser la única opción. ¿Tengo alguna otra opción?

windows windows-service vss service-accounts JWood
fuente
2
Puede crear un usuario con los permisos necesarios específicamente para este propósito
44
¿Ya no está el grupo "Operadores de respaldo"? Suena como un buen ajuste.
Cody Gray
Sí, los operadores de respaldo podrían ser la respuesta. He estado buscando cuentas de usuario integradas y no me di cuenta de que había un grupo de operadores de respaldo. Parece que debería ser lo que necesito.

Respuestas:

5

El software de respaldo debe ejecutarse como "un usuario con el nivel de privilegio más bajo requerido para que pueda leer y hacer una copia de respaldo de todos los archivos que desea respaldar".

Por lo general, esto significa root(o alguna otra cuenta UID 0) en sistemas Unix y un miembro del Backup Operatorsgrupo en versiones recientes de Windows.
Es posible que algunos softwares de respaldo de Windows que no aprovechan la Backup Operatorsfuncionalidad necesiten ejecutarse desde una cuenta de administrador local o de administrador de dominio, pero esto debería ser extremadamente raro, y si está utilizando un software de respaldo específicamente para Windows, no debería suceder...

voretaq7
fuente
2
En Windows, esto no es tan raro como debería ser. por ejemplo, Backup Exec, que es tan común como volar sobre una vaca, requiere que la cuenta que utiliza sea un administrador de dominio.
John Gardeniers
1
@John: no hablamos de BackupExec en una compañía educada. Tu sabes mejor. Ahora entra en la sala de servidores, da la vuelta 3 veces, escupe y maldice.
voretaq7
lo siento. No sé lo que me pasó. Hice lo que me indicaron, y hice un círculo de sal, solo para estar seguro.
John Gardeniers
Está bien, solo dijimos su nombre dos veces. No puede pasar por el espejo a menos que lo digamos 3 veces ...
voretaq7
El problema con los "Operadores de respaldo" es que tiene suficientes privilegios para respaldar y restaurar todos los archivos. Realmente desearía que mi software de respaldo solo tuviera acceso de solo lectura al sistema operativo y la capacidad de invocar el servicio de instantáneas de volumen. El administrador realiza la restauración manualmente, y si es necesario que lo haga un demonio, entonces sudo / UAC debería suceder.
Justin Dearing
-1

Normalmente, la instalación del software de respaldo otorga los privilegios correctos al usuario que SysAdmin selecciona para ejecutar el respaldo.

Si no es su caso, debe consultar la documentación del software.

En general, si no desea utilizar un miembro usuario del grupo Administradores, el usuario debería poder conectarse a la red (en su caso) y omitir la seguridad para hacer una copia de seguridad. Puede otorgar estos privilegios en el editor de políticas de seguridad.

lrosa
fuente
No lo voy a marcar, pero necesita aclarar lo que quiere decir con "omitir la seguridad ... otorgar privilegios". No está claro lo que estás sugiriendo y suena como un agujero de seguridad.
gravyface
1
No soy tan amable como @Gravyface.
Chris S
@gravyface, @Chris S: ¿alguna vez instaló un software de respaldo en Windows? Diga BackupExec. ¿Alguna vez leyó la ventana emergente que aparece justo después de especificar la cuenta de usuario de BackupExec? ¿Alguna vez leyó lo que hace que un "Usuario de respaldo" sea diferente del usuario normal en un entorno Windows?
lrosa
1
Aquí está la documentación de Windows: technet.microsoft.com/en-us/library/dd277311.aspx Operadores de respaldo: "Permite al usuario eludir los permisos de archivos y directorios para respaldar el sistema. El privilegio se selecciona solo cuando la aplicación intenta acceder a través de la interfaz de la aplicación de respaldo NTFS ".
lrosa
1
@Irosa: debe agregar ese enlace / explicación a su respuesta y estoy seguro de que @Chris S y otros lo votarán, ya que eso es correcto.
gravyface