ithg13
Goto Top

Backup Service Account - Sinnvoll?

Hallo Leute,

ich habe eine kurze Frage zur Sinnhaftigkeit eines eigenen Backup-Accounts.

Konkret nutzen wir Symantec/Veritas Backup Exec 2015. Konzeptionell würde ich die BE-Dienste unter diesem Account laufen lassen und auch als Anmeldekonto für die jeweiligen Backup-Quellen verwenden. Dieser Artikel " https://www.veritas.com/support/en_US/article.TECH184449 " beschreibt die benötigten Rechte auf einem Server, damit ein eigener Backup-User die Sicherungen korrekt ausführen kann. Etwas weiter unten werden die Berechtigungen zur Sicherung eine Exchange-Servers beschrieben.
Naja und da werde ich ein wenig stuztig: Der User ist in so ziemlich jeder Gruppe drin, in der auch der "normale" Domänen-Administrator vertreten ist. Rechte-technisch gibt's dann ja keinen großen unterschied mehr zum Domänen-Administrator. Warum sollte man dann trotzdem noch einen eigenen Benutzer für die Backup-Dienste, Anmeldung an den Backup-Zielen etc. nutzen?

Danke!

Content-ID: 302858

Url: https://administrator.de/forum/backup-service-account-sinnvoll-302858.html

Ausgedruckt am: 22.12.2024 um 23:12 Uhr

GuentherH
GuentherH 25.04.2016 um 22:36:04 Uhr
Goto Top
Warum sollte man dann trotzdem noch einen eigenen Benutzer für die Backup-Dienste

Alleine schon deswegen, weil man auch bei den Admins regelmäßig das Passwort ändern soll face-wink

LG Günther
DerWoWusste
Lösung DerWoWusste 25.04.2016 aktualisiert um 23:42:05 Uhr
Goto Top
Hi.

Frag doch mal den Support! Sie werden Dir bestimmt freudig Auskunft geben. Vielleicht kommt dann Aufschlussreiches wie "weil Backup Exec einen Nutzer mit diesen Rechten braucht" oder Ähnliches. Du musst keinen eigenen nehmen. Und wenn man beim Thema "sollte" ist - sollte man überhaupt eine externe Backuplösung nehmen, die mit Domänenadmins hantiert? Windowsbackup, siehe https://technet.microsoft.com/en-us/library/dd876854%28v=exchg.160%29.as ... , kann es ja auch ohne Domänenadmin. Dort würde das Systemkonto ausreichen, keine Gruppenmitgliedschaften nötig, keine Privilegienzuweisung, nichts, lediglich Schreibrechte auf dem Remoteziel muss man sicherstellen.

Frag sie doch mal, warum Windows backup das auch ohne hinbekommt. Es gibt vermutlich Gründe.

Einen eigenen User dafür zu nehmen bedeutet nur etwas Unabhängigkeit von Dingen wie Kennwortwechsel und ggf. Sperrung des Kontos. Auch kann man argumentieren, dass man dem Konto dann ein sichereres Kennwort geben kann (set and forget), weil man das nicht so oft eingeben muss. So sicher, wie das Systemkonto zu nutzen, wird es natürlich niemals sein.
127944
127944 26.04.2016 aktualisiert um 09:41:44 Uhr
Goto Top
Zitat von @DerWoWusste:
So sicher, wie das Systemkonto zu nutzen, wird es natürlich niemals sein.

Das ist ein interessanter Punkt. Auf den Schulungen, an denen ich bisher teilgenommen habe, wurde mir immer etwas in der Art erzählt, dass das Systemkonto ausschließlich vom Betriebssystem genutzt werden sollte, und andere Dienste eben ein anderes Konto benutzen sollen. Gerade bei Datenbanken, "Webservices" etc. Hat sich da was geändert, oder waren das auch mal wieder Pfeifen?
DerWoWusste
DerWoWusste 26.04.2016 um 11:35:24 Uhr
Goto Top
Hi.
Es gibt keine Regeln. Du kannst mit dem Systemkonto in einer Workgroup (non-domain) nur lokal handeln, deshalb wird es in Workgroups nicht alle Zwecke erfüllen können. In einer Domain hat das Systemkonto ein domänenweit bekanntes Konto ("Rechnername$") und kann im Netzwerk handeln.
Es zu benutzen hat einen bestechenden Vorteil: es hat lokal alle Rechte und man muss sein Kennwort nicht kennen/wechseln (wechselt von allein).
127944
127944 26.04.2016 um 12:58:58 Uhr
Goto Top
Hi,

das klingt einleuchtend. Nu gibt es aber Leute, die behaupten, das wenn man z.B. einen SQL-Server mit diesen Rechten laufen lässt und dieser einen Fehler hat, das es dann möglich ist, mit diesen Systemrechten einen Rechner zu übernehmen. Wie ist das zu beurteilen?

Gruß
DerWoWusste
DerWoWusste 26.04.2016 um 13:09:10 Uhr
Goto Top
Du solltest eine eigene Frage stellen - auch wenn dies noch indirekt mit seiner Frage zu tun hat, wäre das besser.
Antwort: Richtig, wenn der SQL-Dienst eine Sicherheitslücke hat und ein Netzwerkangriff gelingt kann man (je nach Art der Sicherheitslücke) mit den Rechten des Dienstes arbeiten. Nimmt man ein eigenes Konto für SQL, braucht dies meist jedoch auch einige Rechte und es kommt auf das Selbe raus - muss es aber nicht. Oft (aus meiner Erfahrung) ist es eben so, dass Dienste mit hohen Rechten betrieben werden, die lokalen Adminrechten gleich kommen - da bietet sich das Systemkonto auf jeden Fall als beste Lösung an.
127944
127944 26.04.2016 um 13:24:30 Uhr
Goto Top
Das hat ja noch ganz konkret mit seiner Frage zu tun. Ich finde deine Überlegung recht überzeugend. Wenn ich also eh hohe Rechte brauche, weil z.B. wie in diesem Fall das Backupprogramm diese benötigt, bietet es sich also eher an, das Systemkonto zu nutzen (vorausgesetzt diese Rechte sind ausreichend). Wenn ich allerdings einen Dienst habe, der sagen wir mal nur ein paar Dateien ausliest und verarbeitet, bietet sich eher ein Benutzer an, der nur Zugriff auf das entsprechende Verzeichnis hat. Habe ich deine Erklärung so richtig zu Ende gedacht?
DerWoWusste
DerWoWusste 26.04.2016 um 14:02:19 Uhr
Goto Top
Ja face-smile
ITHG13
ITHG13 26.04.2016 um 14:59:47 Uhr
Goto Top
Vielen Dank für die Antworten!

Ich werde die Konstellation mit dem "Systemkonto" ausprobieren! Wenn nicht kommt ein eigner Domänen-Benutzer in Betracht.

Gruß