9
Backup Service Account - Sinnvoll?
Hallo Leute,
ich habe eine kurze Frage zur Sinnhaftigkeit eines eigenen Backup-Accounts.
Konkret nutzen wir Symantec/Veritas Backup Exec 2015. Konzeptionell würde ich die BE-Dienste unter diesem Account laufen lassen und auch als Anmeldekonto für die jeweiligen Backup-Quellen verwenden. Dieser Artikel " https://www.veritas.com/support/en_US/article.TECH184449 " beschreibt die benötigten Rechte auf einem Server, damit ein eigener Backup-User die Sicherungen korrekt ausführen kann. Etwas weiter unten werden die Berechtigungen zur Sicherung eine Exchange-Servers beschrieben.
Naja und da werde ich ein wenig stuztig: Der User ist in so ziemlich jeder Gruppe drin, in der auch der "normale" Domänen-Administrator vertreten ist. Rechte-technisch gibt's dann ja keinen großen unterschied mehr zum Domänen-Administrator. Warum sollte man dann trotzdem noch einen eigenen Benutzer für die Backup-Dienste, Anmeldung an den Backup-Zielen etc. nutzen?
Danke!
ich habe eine kurze Frage zur Sinnhaftigkeit eines eigenen Backup-Accounts.
Konkret nutzen wir Symantec/Veritas Backup Exec 2015. Konzeptionell würde ich die BE-Dienste unter diesem Account laufen lassen und auch als Anmeldekonto für die jeweiligen Backup-Quellen verwenden. Dieser Artikel " https://www.veritas.com/support/en_US/article.TECH184449 " beschreibt die benötigten Rechte auf einem Server, damit ein eigener Backup-User die Sicherungen korrekt ausführen kann. Etwas weiter unten werden die Berechtigungen zur Sicherung eine Exchange-Servers beschrieben.
Naja und da werde ich ein wenig stuztig: Der User ist in so ziemlich jeder Gruppe drin, in der auch der "normale" Domänen-Administrator vertreten ist. Rechte-technisch gibt's dann ja keinen großen unterschied mehr zum Domänen-Administrator. Warum sollte man dann trotzdem noch einen eigenen Benutzer für die Backup-Dienste, Anmeldung an den Backup-Zielen etc. nutzen?
Danke!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 302858
Url: https://administrator.de/contentid/302858
Ausgedruckt am: 22.11.2024 um 12:11 Uhr
9 Kommentare
Neuester Kommentar
Warum sollte man dann trotzdem noch einen eigenen Benutzer für die Backup-Dienste
Alleine schon deswegen, weil man auch bei den Admins regelmäßig das Passwort ändern soll
LG Günther
Hi.
Frag doch mal den Support! Sie werden Dir bestimmt freudig Auskunft geben. Vielleicht kommt dann Aufschlussreiches wie "weil Backup Exec einen Nutzer mit diesen Rechten braucht" oder Ähnliches. Du musst keinen eigenen nehmen. Und wenn man beim Thema "sollte" ist - sollte man überhaupt eine externe Backuplösung nehmen, die mit Domänenadmins hantiert? Windowsbackup, siehe https://technet.microsoft.com/en-us/library/dd876854%28v=exchg.160%29.as ... , kann es ja auch ohne Domänenadmin. Dort würde das Systemkonto ausreichen, keine Gruppenmitgliedschaften nötig, keine Privilegienzuweisung, nichts, lediglich Schreibrechte auf dem Remoteziel muss man sicherstellen.
Frag sie doch mal, warum Windows backup das auch ohne hinbekommt. Es gibt vermutlich Gründe.
Einen eigenen User dafür zu nehmen bedeutet nur etwas Unabhängigkeit von Dingen wie Kennwortwechsel und ggf. Sperrung des Kontos. Auch kann man argumentieren, dass man dem Konto dann ein sichereres Kennwort geben kann (set and forget), weil man das nicht so oft eingeben muss. So sicher, wie das Systemkonto zu nutzen, wird es natürlich niemals sein.
Frag doch mal den Support! Sie werden Dir bestimmt freudig Auskunft geben. Vielleicht kommt dann Aufschlussreiches wie "weil Backup Exec einen Nutzer mit diesen Rechten braucht" oder Ähnliches. Du musst keinen eigenen nehmen. Und wenn man beim Thema "sollte" ist - sollte man überhaupt eine externe Backuplösung nehmen, die mit Domänenadmins hantiert? Windowsbackup, siehe https://technet.microsoft.com/en-us/library/dd876854%28v=exchg.160%29.as ... , kann es ja auch ohne Domänenadmin. Dort würde das Systemkonto ausreichen, keine Gruppenmitgliedschaften nötig, keine Privilegienzuweisung, nichts, lediglich Schreibrechte auf dem Remoteziel muss man sicherstellen.
Frag sie doch mal, warum Windows backup das auch ohne hinbekommt. Es gibt vermutlich Gründe.
Einen eigenen User dafür zu nehmen bedeutet nur etwas Unabhängigkeit von Dingen wie Kennwortwechsel und ggf. Sperrung des Kontos. Auch kann man argumentieren, dass man dem Konto dann ein sichereres Kennwort geben kann (set and forget), weil man das nicht so oft eingeben muss. So sicher, wie das Systemkonto zu nutzen, wird es natürlich niemals sein.
Das ist ein interessanter Punkt. Auf den Schulungen, an denen ich bisher teilgenommen habe, wurde mir immer etwas in der Art erzählt, dass das Systemkonto ausschließlich vom Betriebssystem genutzt werden sollte, und andere Dienste eben ein anderes Konto benutzen sollen. Gerade bei Datenbanken, "Webservices" etc. Hat sich da was geändert, oder waren das auch mal wieder Pfeifen?
Hi.
Es gibt keine Regeln. Du kannst mit dem Systemkonto in einer Workgroup (non-domain) nur lokal handeln, deshalb wird es in Workgroups nicht alle Zwecke erfüllen können. In einer Domain hat das Systemkonto ein domänenweit bekanntes Konto ("Rechnername$") und kann im Netzwerk handeln.
Es zu benutzen hat einen bestechenden Vorteil: es hat lokal alle Rechte und man muss sein Kennwort nicht kennen/wechseln (wechselt von allein).
Es gibt keine Regeln. Du kannst mit dem Systemkonto in einer Workgroup (non-domain) nur lokal handeln, deshalb wird es in Workgroups nicht alle Zwecke erfüllen können. In einer Domain hat das Systemkonto ein domänenweit bekanntes Konto ("Rechnername$") und kann im Netzwerk handeln.
Es zu benutzen hat einen bestechenden Vorteil: es hat lokal alle Rechte und man muss sein Kennwort nicht kennen/wechseln (wechselt von allein).
Hi,
das klingt einleuchtend. Nu gibt es aber Leute, die behaupten, das wenn man z.B. einen SQL-Server mit diesen Rechten laufen lässt und dieser einen Fehler hat, das es dann möglich ist, mit diesen Systemrechten einen Rechner zu übernehmen. Wie ist das zu beurteilen?
Gruß
das klingt einleuchtend. Nu gibt es aber Leute, die behaupten, das wenn man z.B. einen SQL-Server mit diesen Rechten laufen lässt und dieser einen Fehler hat, das es dann möglich ist, mit diesen Systemrechten einen Rechner zu übernehmen. Wie ist das zu beurteilen?
Gruß
Du solltest eine eigene Frage stellen - auch wenn dies noch indirekt mit seiner Frage zu tun hat, wäre das besser.
Antwort: Richtig, wenn der SQL-Dienst eine Sicherheitslücke hat und ein Netzwerkangriff gelingt kann man (je nach Art der Sicherheitslücke) mit den Rechten des Dienstes arbeiten. Nimmt man ein eigenes Konto für SQL, braucht dies meist jedoch auch einige Rechte und es kommt auf das Selbe raus - muss es aber nicht. Oft (aus meiner Erfahrung) ist es eben so, dass Dienste mit hohen Rechten betrieben werden, die lokalen Adminrechten gleich kommen - da bietet sich das Systemkonto auf jeden Fall als beste Lösung an.
Antwort: Richtig, wenn der SQL-Dienst eine Sicherheitslücke hat und ein Netzwerkangriff gelingt kann man (je nach Art der Sicherheitslücke) mit den Rechten des Dienstes arbeiten. Nimmt man ein eigenes Konto für SQL, braucht dies meist jedoch auch einige Rechte und es kommt auf das Selbe raus - muss es aber nicht. Oft (aus meiner Erfahrung) ist es eben so, dass Dienste mit hohen Rechten betrieben werden, die lokalen Adminrechten gleich kommen - da bietet sich das Systemkonto auf jeden Fall als beste Lösung an.
1
Das hat ja noch ganz konkret mit seiner Frage zu tun. Ich finde deine Überlegung recht überzeugend. Wenn ich also eh hohe Rechte brauche, weil z.B. wie in diesem Fall das Backupprogramm diese benötigt, bietet es sich also eher an, das Systemkonto zu nutzen (vorausgesetzt diese Rechte sind ausreichend). Wenn ich allerdings einen Dienst habe, der sagen wir mal nur ein paar Dateien ausliest und verarbeitet, bietet sich eher ein Benutzer an, der nur Zugriff auf das entsprechende Verzeichnis hat. Habe ich deine Erklärung so richtig zu Ende gedacht?
Ja 
Vielen Dank für die Antworten!
Ich werde die Konstellation mit dem "Systemkonto" ausprobieren! Wenn nicht kommt ein eigner Domänen-Benutzer in Betracht.
Gruß
Ich werde die Konstellation mit dem "Systemkonto" ausprobieren! Wenn nicht kommt ein eigner Domänen-Benutzer in Betracht.
Gruß
