20
Auf einem Domänencontroller ein Programm unter einem anderen Benutzer ausführen
Hallo, alle zusammen!
Ich möchte auf einem Windows Server 2019 Domänencontroller ein bestimmtes Programm (Personal Backup) unter einem anderen, speziell zu diesem Zweck, angelegten Domänen-Benutzer ausführen, um Daten vom Domänencontroller auf ein in die Domäne integriertes NAS zu sichern. Wenn ich die entsprechende Verknüpfung mit der rechten Maustaste anklicke und "Als anderer Benutzer ausführen" auswähle und dann den Benutzernamen und das Passwort des angelegten Domänen-Benutzers eingebe, dann erhalte ich die Fehlermeldung:
Anmeldung fehlgeschlagen: Der Benutzer besitzt nicht den benötigten Anmeldetyp auf diesem Computer.
Ich habe dann den neu angelegten Domänen-Benutzer der Gruppe der Sicherungs-Operatoren hinzugefügt. Dann konnte ich zwar das Programm als dieser Domänen-Benutzer ausführen, hatte aber keinen Zugriff auf die zu sichernden Daten, auch dann nicht, wenn ich die Gruppe der Sicherungs-Operatoren dem zu sichernden Verzeichnis mit Leserechten hinzugefügt habe.
Kurz um, ich bin an irgendeiner Stelle auf dem Holzweg. Ich möchte gerne Personal Backup benutzen, weil ich es kenne und es sich gut konfigurieren lässt. Ich möchte es aber sowohl zur Konfiguration, als dann auch zur automatisierten Ausführung des Backups unter einem extra zu diesem Zweck eingerichteten Benutzer laufen lassen, der Zugriff auf das zu sichernde Verzeichnis und auf den Zielordner auf dem NAS hat. Für ein paar Tipps, wie ich das erreichen kann, oder wie man es besser macht, wäre ich sehr dankbar!
VG,
Indy
Ich möchte auf einem Windows Server 2019 Domänencontroller ein bestimmtes Programm (Personal Backup) unter einem anderen, speziell zu diesem Zweck, angelegten Domänen-Benutzer ausführen, um Daten vom Domänencontroller auf ein in die Domäne integriertes NAS zu sichern. Wenn ich die entsprechende Verknüpfung mit der rechten Maustaste anklicke und "Als anderer Benutzer ausführen" auswähle und dann den Benutzernamen und das Passwort des angelegten Domänen-Benutzers eingebe, dann erhalte ich die Fehlermeldung:
Anmeldung fehlgeschlagen: Der Benutzer besitzt nicht den benötigten Anmeldetyp auf diesem Computer.
Ich habe dann den neu angelegten Domänen-Benutzer der Gruppe der Sicherungs-Operatoren hinzugefügt. Dann konnte ich zwar das Programm als dieser Domänen-Benutzer ausführen, hatte aber keinen Zugriff auf die zu sichernden Daten, auch dann nicht, wenn ich die Gruppe der Sicherungs-Operatoren dem zu sichernden Verzeichnis mit Leserechten hinzugefügt habe.
Kurz um, ich bin an irgendeiner Stelle auf dem Holzweg. Ich möchte gerne Personal Backup benutzen, weil ich es kenne und es sich gut konfigurieren lässt. Ich möchte es aber sowohl zur Konfiguration, als dann auch zur automatisierten Ausführung des Backups unter einem extra zu diesem Zweck eingerichteten Benutzer laufen lassen, der Zugriff auf das zu sichernde Verzeichnis und auf den Zielordner auf dem NAS hat. Für ein paar Tipps, wie ich das erreichen kann, oder wie man es besser macht, wäre ich sehr dankbar!
VG,
Indy
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 586225
Url: https://administrator.de/forum/auf-einem-domaenencontroller-ein-programm-unter-einem-anderen-benutzer-ausfuehren-586225.html
Ausgedruckt am: 08.01.2025 um 06:01 Uhr
20 Kommentare
Neuester Kommentar
Moin,
Stimmt
U.a. bei der Wahl der Backup-Software für einen Server/AD.
Ist es Dir das beim Herzstück Deines Netzwerks wirklich wert?
Ist der Server eine VM oder physische Maschine?
Für kleinere Umgebungen könnte man bspw. auf die Community Edition von Veeam B&R setzen.
Gruß
cykes
Stimmt
U.a. bei der Wahl der Backup-Software für einen Server/AD.Ich möchte gerne Personal Backup benutzen, weil ich es kenne und es sich gut konfigurieren lässt.
...und weil es kostenlos ist? Ist das ein Produktivserver oder eine (private) Spielwiese? Eigentlich sagt schon der Name "PersonalBackup", dass das eher für Clients gedacht ist. Auch die Website des Authors beschreibt nur Client-Betriebssysteme. Man kann das zwar sicher auch auf einem Server hinbiegen, reisst sich aber durch unkontrolliert vergebene erhöhte Rechte Sicherheitslücken in seine Struktur.Ist es Dir das beim Herzstück Deines Netzwerks wirklich wert?
Ist der Server eine VM oder physische Maschine?
Für kleinere Umgebungen könnte man bspw. auf die Community Edition von Veeam B&R setzen.
Gruß
cykes
1
Hey Indy,
probier doch mal das ganze über die Aufgabenplanung zu machen. Dort kannst du eine Aufgabe erstellen und dann sagen, welcher User das ausführen soll.
Gruß
~Vollmilchheini
probier doch mal das ganze über die Aufgabenplanung zu machen. Dort kannst du eine Aufgabe erstellen und dann sagen, welcher User das ausführen soll.
Gruß
~Vollmilchheini
Moin,
Abgesehen davon, daß Du, wie @cykesschon geschrieben hat, das falsche Tools verwendest:
Hat der Backup-User überhaupt das Recht, sich an dem Server anzumelden? Das dürfen nämlich nur (Domänen-)Admins. Damit mußt Du dem Programm deutlich mehr Rechte geben, als es für ein Backup-Programm notwendig wäre.
Meine Empfehlung wäre auch, stattdessen Veeam zu nehmen.
lks
PS: Nicht jedes Problem ist ein Nagel, nur weil man als einziges Werkzeug einen Hammer hat.
Abgesehen davon, daß Du, wie @cykesschon geschrieben hat, das falsche Tools verwendest:
Hat der Backup-User überhaupt das Recht, sich an dem Server anzumelden? Das dürfen nämlich nur (Domänen-)Admins. Damit mußt Du dem Programm deutlich mehr Rechte geben, als es für ein Backup-Programm notwendig wäre.
Meine Empfehlung wäre auch, stattdessen Veeam zu nehmen.
lks
PS: Nicht jedes Problem ist ein Nagel, nur weil man als einziges Werkzeug einen Hammer hat.
Wie @lks schon schreibt. Nimm Veeam, halben Tag reinarbeiten und Du sicherst mit einem guten Produkt, das ebenfalls kostenlos ist. Man kann aber auch dafür bezahlen. Und ohne Adminrechte wird es auf einem Server sowieso nix.
Na toll, hättest Du das nicht schon früher sagen können?
🖖
Zitat von @Lochkartenstanzer:
PS: Nicht jedes Problem ist ein Nagel, nur weil man als einziges Werkzeug einen Hammer hat.
PS: Nicht jedes Problem ist ein Nagel, nur weil man als einziges Werkzeug einen Hammer hat.
Na toll, hättest Du das nicht schon früher sagen können?
🖖
Hallo,
Zitat von der Homepage: „ Eine Sicherung von Systemdateien ist mit Personal Backup nicht sinnvoll, da das Zurückspeichern nicht zu einem lauffähigen System führt.“
Was willst Du mit dem Spielzeug(!) sichern? Das Hintergrundbild vom Desktop?
Das, was das Programm überhaupt sichern kann, gibt es auf einem DC (hoffentlich) nicht...
Gruß,
Jörg
Zitat von der Homepage: „ Eine Sicherung von Systemdateien ist mit Personal Backup nicht sinnvoll, da das Zurückspeichern nicht zu einem lauffähigen System führt.“
Was willst Du mit dem Spielzeug(!) sichern? Das Hintergrundbild vom Desktop?
Das, was das Programm überhaupt sichern kann, gibt es auf einem DC (hoffentlich) nicht...
Gruß,
Jörg
PS: Nicht jedes Problem ist ein Nagel, nur weil man als einziges Werkzeug einen Hammer hat.
@lks: Genialer Spruch...den muss ich mir einrahmen
Um Domänendaten zu sichern, benötigt man Domändenrechte. Auf den Backupspeicher sollte niemand, ausser dem Backup Programm Zugriff haben- auch nicht der Domänenadmin. Damit wären es bereits zwei verschiedene Konten. Das hat den Grund, dass ein Virus, der sich bis zum Herz vorgekaut hat (dem Domain Controller) nicht noch weiter auf die gesicherten Daten kommt.
Ein "personal" Backup kann nur einen persönlichen Arbeitsplatz backuppen, auf dem der User persönlich Rechte hat.
Ein für Server geeignetes Programm hat eine "Zugriffs-Benutzer-verwaltung":
1) Mit welchen Benutzerdaten darf er die Dateien abholen
2) Mit welchen Benutzerdaten darf er auf das Backupziel schreiben.
Verschiedene Server können auch verschiedene Zugriffsrechte haben. Deshalb kann man diese Benutzerdaten pro Backup Instanz einstellen.
Die kostenlose Veaam Community Edition kann das, in 2 Stunden hast du das Programm in Griff.
Und freunde Dich mit VMs an. Da wird die gesamte "DC VM" gesichert und es benötigt keine weiteren Domain-Rechte. Auch das zurückspielen passiert so. Der Veeam Application Browser kann dann auch einzelne Active Directory Inhalte zurückspielen, vorausgesetzt, er hat dafür ein Konto mit Domänen-Rechten in seine Zugriffs-Benutzer-Verwaltung eingetragen bekommen.
Einfacher gehts nicht :c)
Ein "personal" Backup kann nur einen persönlichen Arbeitsplatz backuppen, auf dem der User persönlich Rechte hat.
Ein für Server geeignetes Programm hat eine "Zugriffs-Benutzer-verwaltung":
1) Mit welchen Benutzerdaten darf er die Dateien abholen
2) Mit welchen Benutzerdaten darf er auf das Backupziel schreiben.
Verschiedene Server können auch verschiedene Zugriffsrechte haben. Deshalb kann man diese Benutzerdaten pro Backup Instanz einstellen.
Die kostenlose Veaam Community Edition kann das, in 2 Stunden hast du das Programm in Griff.
Und freunde Dich mit VMs an. Da wird die gesamte "DC VM" gesichert und es benötigt keine weiteren Domain-Rechte. Auch das zurückspielen passiert so. Der Veeam Application Browser kann dann auch einzelne Active Directory Inhalte zurückspielen, vorausgesetzt, er hat dafür ein Konto mit Domänen-Rechten in seine Zugriffs-Benutzer-Verwaltung eingetragen bekommen.
Einfacher gehts nicht :c)
Hallo!
Vielen Dank, für die hilfreichen Kommentare! Es ist natürlich im realen Leben wieder einmal alles anders. Es handelt sich um ein kleines Unternehmen mit max. einer handvoll Mitarbeiter bzw. Clients. Eine IT-Abteilung oder einen IT-Administrator gibt es in diesem Sinne nicht. Der einzige Domänencontroller läuft auf einer physikalischen Maschine und arbeitet gleichzeitig als Fileserver. Zwei Dinge müssen also gewährleistet sein: Die reinen Daten-Dateien müssen automatisiert auf ein NAS gesichert werden, auf das max. ein "Backupbenutzer" Zugriff hat. Außerdem wäre es praktisch den Server selbst zu sichern, um ihn nach einem Hardware-Ausfall identisch wieder herstellen zu können. Letzteres ist aber schon wieder gar nicht mehr so kritisch, solange die reinen Daten aus einem Backup wiederhergestellt werden können. Der Ausfall oder Verlust des DCs würde nur bedeuten auf die Bequemlichkeit der zentralen Benutzerverwaltung zu verzichten, was bei der geringen Anzahl an Client zu verschmerzen wäre. Für die Sicherung der Daten hatte ich eben an PersonalBackup gedacht, für die Sicherung des Systems an die integrierte "Windows Server-Sicherung". Eine andere Lösung einzusetzen bedeutet zunächst einmal Zeitaufwand und damit Geldeinsatz. Die Website der Veeam B&R Community Edition enthält auf jeden Fall erstmal nur Marketing Bla Bla, so dass ich schon mal schlecht einschätzen kann, ob das oben Beschiebene mit vertretbarem Aufwand erreicht werden kann. Was meint Ihr?
Vielen Dank,
Indy
P.S.: Und 3.8 GB als iso-File hören sich nach einer Menge Code an für so eine "einfache" Aufgabe. Und es scheint in der Hauptsache für VMs gedacht zu sein.
Vielen Dank, für die hilfreichen Kommentare! Es ist natürlich im realen Leben wieder einmal alles anders. Es handelt sich um ein kleines Unternehmen mit max. einer handvoll Mitarbeiter bzw. Clients. Eine IT-Abteilung oder einen IT-Administrator gibt es in diesem Sinne nicht. Der einzige Domänencontroller läuft auf einer physikalischen Maschine und arbeitet gleichzeitig als Fileserver. Zwei Dinge müssen also gewährleistet sein: Die reinen Daten-Dateien müssen automatisiert auf ein NAS gesichert werden, auf das max. ein "Backupbenutzer" Zugriff hat. Außerdem wäre es praktisch den Server selbst zu sichern, um ihn nach einem Hardware-Ausfall identisch wieder herstellen zu können. Letzteres ist aber schon wieder gar nicht mehr so kritisch, solange die reinen Daten aus einem Backup wiederhergestellt werden können. Der Ausfall oder Verlust des DCs würde nur bedeuten auf die Bequemlichkeit der zentralen Benutzerverwaltung zu verzichten, was bei der geringen Anzahl an Client zu verschmerzen wäre. Für die Sicherung der Daten hatte ich eben an PersonalBackup gedacht, für die Sicherung des Systems an die integrierte "Windows Server-Sicherung". Eine andere Lösung einzusetzen bedeutet zunächst einmal Zeitaufwand und damit Geldeinsatz. Die Website der Veeam B&R Community Edition enthält auf jeden Fall erstmal nur Marketing Bla Bla, so dass ich schon mal schlecht einschätzen kann, ob das oben Beschiebene mit vertretbarem Aufwand erreicht werden kann. Was meint Ihr?
Vielen Dank,
Indy
P.S.: Und 3.8 GB als iso-File hören sich nach einer Menge Code an für so eine "einfache" Aufgabe. Und es scheint in der Hauptsache für VMs gedacht zu sein.
Zitat von @cykes:
Für kleinere Umgebungen könnte man bspw. auf die Community Edition von Veeam B&R setzen.
Für kleinere Umgebungen könnte man bspw. auf die Community Edition von Veeam B&R setzen.
Ich gucke mir das gerade an. Eigentlich ist diese Lösung für mich maximal zu komplex und selbst in der Community Edition viel zu überladen. Ich müsste den Backup-Server ja sinnvoller Weise auf dem Domänencontroller installieren. Eine andere always-on Maschine haben wir gar nicht. Sinnvoll ist das aber wahrscheinlich nicht. Kann denn der Backup-Server sich z.B. selber sichern? Interessant finde ich die Möglichkeit Sicherungen zentral zu steuern, auch auf Arbeitsstationen. Aber wie gesagt, ich würde Wochen dafür brauchen, um damit umgehen zu können... Gibt es für die aktuelle Version 10 schon irgendwo aktuelle Handbücher? Ich finde nur welche für Version 9.5.
VG,
Stefan
Wie oben bereits beschrieben: Mit Veeam ist man in 2h durch - auch ohne Handbücher. setup.exe anklicken, Back repository anlegen, Server hinzufügen Backup hinzufügen start klicken.
Zitat von @NordicMike:
Wie oben bereits beschrieben: Mit Veeam ist man in 2h durch - auch ohne Handbücher. setup.exe anklicken, Back repository anlegen, Server hinzufügen Backup hinzufügen start klicken.
Wie oben bereits beschrieben: Mit Veeam ist man in 2h durch - auch ohne Handbücher. setup.exe anklicken, Back repository anlegen, Server hinzufügen Backup hinzufügen start klicken.
Ich finde 2h ist ziemlich optimistisch, weil ich im Prinzip ja auch alles ausprobieren muss, vor allen Dingen auch die Wiederherstellung eines Backups. Ein bisschen habe ich schon rumprobiert und grundsätzlich gefällt mir die Idee. Außerdem scheint es ja immerhin eine weit verbreitete Lösung zu sein. Deshalb noch einmal ein paar gezielte Fragen:
Ist es in Ordnung den Backup-Server mit auf dem Domänencontroller zu installieren? Ressourcenmäßig ist das ganz sicher kein Problem, schließlich wird nur ab und zu mal ein Dokument in einer Freigabe gespeichert.
Kann der Backup-Server in diesem Fall dann auch eigene Verzeichnisse sichern (Dateibackup) oder sogar sich selbst (Systembackup)?
Wie kann ich Systembackups von Clients wiederherstellen, wenn kein Windows und kein Agent installiert ist? Wie gesagt ich arbeite ja in einer physischen und nicht in einer virtuellen Umgebung. Alle Server und Client sind echt...
Wie sähe denn eine sinnvolle Benutzerverwaltung aus? Ich denke ich brauche trotzdem einen Domänenbenutzer, der Zugriff auf die zu sichernden Daten und das Backup Repository hat und der in Veeam als der ausführende Backup-User angelegt ist, oder nicht?
Vielen Dank!
Indy
Bedenke, dass du mit einer kostenlosen Veeam Installation maximal 3 physische Rechner sichern darfst. Du hast 10 Punkte pro Installation frei. Ein physischer Rechner zählt 3 Punkte, während eine VM 1 Punkt zählt. Du darfst Veeam aber auch auf den vierten Rechner nochmal installieren und weitere 3 Rechner sichern. Du kannst dann die Veeam Oberfläche auf Deinem PC installieren und du verbindest sich dann zu dem Server, auf dem Veeam Backup installiert wurde. Du kannst dann quasi zentral verwalten.
Veeam kannst du als lokaler Administrator installieren. Der Domain Controller muss dann auf jeden Fall den Agent installiert bekommen. Das geht nur mit Domänen Admin Rechten. Das Konto für das Backup Ziel ist am besten kein Domänenkonto. Wenn die Domäne angegriffen wird, wäre auch ein Domänen-Backup-Konto unter dieser Kontrolle. Im allerschlimmsten Fall muss wenigstens das Backup Ziel noch heil sein. Kein Virus sucht im Backup Programm nach den Backup Zugangsdaten, das muss ja dann auch nochmal zusätzlich geknackt werden.
Ohne Agent lässt sich kein physischer Rechner sichern. Irgendein kleines Tool muss ja unter den Admin Rechten laufen um an die Daten ran zu kommen. Ob das nun ein Agent ist oder ein Powershell Script oder ein Personal Backup, bleibt sich gleich. Diese kleine Instanz muss "immer" unter Admin Rechten fungieren.
Unabhängig davon, freunde dich mit VMs an. Sehr viele Vorteile, kein Nachteil...
Veeam kannst du als lokaler Administrator installieren. Der Domain Controller muss dann auf jeden Fall den Agent installiert bekommen. Das geht nur mit Domänen Admin Rechten. Das Konto für das Backup Ziel ist am besten kein Domänenkonto. Wenn die Domäne angegriffen wird, wäre auch ein Domänen-Backup-Konto unter dieser Kontrolle. Im allerschlimmsten Fall muss wenigstens das Backup Ziel noch heil sein. Kein Virus sucht im Backup Programm nach den Backup Zugangsdaten, das muss ja dann auch nochmal zusätzlich geknackt werden.
Ohne Agent lässt sich kein physischer Rechner sichern. Irgendein kleines Tool muss ja unter den Admin Rechten laufen um an die Daten ran zu kommen. Ob das nun ein Agent ist oder ein Powershell Script oder ein Personal Backup, bleibt sich gleich. Diese kleine Instanz muss "immer" unter Admin Rechten fungieren.
Unabhängig davon, freunde dich mit VMs an. Sehr viele Vorteile, kein Nachteil...
Zitat von @NordicMike:
Unabhängig davon, freunde dich mit VMs an. Sehr viele Vorteile, kein Nachteil...
Unabhängig davon, freunde dich mit VMs an. Sehr viele Vorteile, kein Nachteil...
Naja, kein Nachteil würde ich nicht unterschreiben. Die Erweiterung von Partitionen ist unter einer VM doch etwas aufwendiger, wenn es überhaupt geht. Ansonsten bin ich bei Dir.
🖖
Echt? Es einfach eine VM Partition zu vergrößern. Wenn die dafür evtl Ursprüngliche Platte dafür noch zu klein wird, VM herunterfahren, VHDX Datei auf eine größere Platte verschieben und vergrößern, VM wieder hochfahren, Partition vergrößern. Bei einem Physischen Server musst du herunterfahren, die kleine Platte auf eine größere Platte klonen, wieder hoch fahren.
Zitat von @NordicMike:
Echt? Es einfach eine VM Partition zu vergrößern. Wenn die dafür evtl Ursprüngliche Platte dafür noch zu klein wird, VM herunterfahren, VHDX Datei auf eine größere Platte verschieben und vergrößern, VM wieder hochfahren, Partition vergrößern. Bei einem Physischen Server musst du herunterfahren, die kleine Platte auf eine größere Platte klonen, wieder hoch fahren.
Echt? Es einfach eine VM Partition zu vergrößern. Wenn die dafür evtl Ursprüngliche Platte dafür noch zu klein wird, VM herunterfahren, VHDX Datei auf eine größere Platte verschieben und vergrößern, VM wieder hochfahren, Partition vergrößern. Bei einem Physischen Server musst du herunterfahren, die kleine Platte auf eine größere Platte klonen, wieder hoch fahren.
So war es nicht gemeint. Mehrere Partitionen auf einer physischen oder logischen (Raid) Platte. Eine partition löschen und dann eine Andere vergrößern. Das machst du im laufenden Betrieb und es bekommt auch keiner mit. Das machst du mit einer VM nicht.
🖖
Ach so, ja, stimmt, die VM muss einmal dafür herunter gefahren werden.
Zitat von @Dr.Bit:
Das machst du im laufenden Betrieb und es bekommt auch keiner mit. Das machst du mit einer VM nicht.
Das machst du im laufenden Betrieb und es bekommt auch keiner mit. Das machst du mit einer VM nicht.
Kommt auf den Hypervisor und die KOnfiguration der virtuellen Platten an. Wenn Du den passenden Hypervisor hast kannst Du ggf die virtuellen Platten migrieren und vergrößern, ohne daß die VM das mitbekommt. Ist natürlich mit dem kostenlosen "Standard-Hyper-V" so nicht vorgesehen.
lks
Zitat von @Lochkartenstanzer:
Ist natürlich mit dem kostenlosen "Standard-Hyper-V" so nicht vorgesehen.
Eben.Ist natürlich mit dem kostenlosen "Standard-Hyper-V" so nicht vorgesehen.
🖖
Habs gerade nochmal unter 2016 Hyper-V kontrolliert, da geht es in Verbindung mit einer Typ-2 VM ohne herunter zu fahren.
Zitat von @NordicMike:
Habs gerade nochmal unter 2016 Hyper-V kontrolliert, da geht es in Verbindung mit einer Typ-2 VM ohne herunter zu fahren.
Ok, nice to know.Habs gerade nochmal unter 2016 Hyper-V kontrolliert, da geht es in Verbindung mit einer Typ-2 VM ohne herunter zu fahren.
🖖
