5
Mit welchem Benutzer Tasks ausführen
Hallo Zusammen,
wir nutzen derzeit mehrere Windows 2008 R2 VMs auf denen automatisiert Backup-Jobs laufen. Diese werden über die Aufgabenplanung von Windows angestoßen. Die Jobs haben sinngemäß in etwa folgenden Aufbau:
Mein Vorgänger hat alle diese Jobs als Domänen-Administrator ausgeführt...... Hier gab es folglich keine Berechtigungsprobleme :D
Nun würden wir aber gerne das Kennwort des Domänen-Administrators ändern. Hierzu müssen alle Aufgaben angepasst werden (der Benutzer der die Aufgaben ausführt muss geändert werden).
Wie geht man hier idealerweise vor?
Sollte man für jede Aufgabe einen eigenen User anlegen, der auch die Berechtigung auf die UNC-Pfade bekommt? Idealerweise hat der User lokale Administrator-Rechte.
Sollten die Benutzer "Netzwerkdienst, Lokales System,.. " verwendet werden? Hier habe ich allerdings massive Probleme bei der Umsetzung gehabt, da immer wieder irgendetwas nicht funktioniert hat.
Vielleicht hat hier ja noch jemand Ideen, wie man dies ohne großen Aufwand umziehen kann. Vielen Dank für Eure Hilfe.
wir nutzen derzeit mehrere Windows 2008 R2 VMs auf denen automatisiert Backup-Jobs laufen. Diese werden über die Aufgabenplanung von Windows angestoßen. Die Jobs haben sinngemäß in etwa folgenden Aufbau:
backup MSSQL-Datenbank
robocopy QUELLE lokal ZIEL UNC-PfadMein Vorgänger hat alle diese Jobs als Domänen-Administrator ausgeführt...... Hier gab es folglich keine Berechtigungsprobleme :D
Nun würden wir aber gerne das Kennwort des Domänen-Administrators ändern. Hierzu müssen alle Aufgaben angepasst werden (der Benutzer der die Aufgaben ausführt muss geändert werden).
Wie geht man hier idealerweise vor?
Sollte man für jede Aufgabe einen eigenen User anlegen, der auch die Berechtigung auf die UNC-Pfade bekommt? Idealerweise hat der User lokale Administrator-Rechte.
Sollten die Benutzer "Netzwerkdienst, Lokales System,.. " verwendet werden? Hier habe ich allerdings massive Probleme bei der Umsetzung gehabt, da immer wieder irgendetwas nicht funktioniert hat.
Vielleicht hat hier ja noch jemand Ideen, wie man dies ohne großen Aufwand umziehen kann. Vielen Dank für Eure Hilfe.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 307713
Url: https://administrator.de/contentid/307713
Ausgedruckt am: 22.11.2024 um 11:11 Uhr
5 Kommentare
Neuester Kommentar
Hi,
für jeden Job einen User halte ich für übertrieben. Ich würde einen globale Backup-User einrichten der dann die nötigen Berechtigungen auf Dateisystem-Ebene hat. Der sollte natürlich ebenso unter Verschluss bleiben wie der Domain-Admin.
Gruß,
André
für jeden Job einen User halte ich für übertrieben. Ich würde einen globale Backup-User einrichten der dann die nötigen Berechtigungen auf Dateisystem-Ebene hat. Der sollte natürlich ebenso unter Verschluss bleiben wie der Domain-Admin.
Gruß,
André
Hi.
Wenn Du im Netzwerk handeln willst, kannst Du innerhalb einer Domäne das Systemkomnto sogar auf Netzwerkressourcen berechtigen.
Will man ein Konto nehmen, das nicht so stark ist wie das Systemkonto (warum auch immer man das wollen sollte), dann kann man "group managed service accounts" im AD erstellen. Google diesen Begriff mal.
Wie geht man hier idealerweise vor?
Wenn Du lokale Aufgaben zu erledigen hast, die hohe Rechte erfordern, nimm das Systemkonto.Wenn Du im Netzwerk handeln willst, kannst Du innerhalb einer Domäne das Systemkomnto sogar auf Netzwerkressourcen berechtigen.
Will man ein Konto nehmen, das nicht so stark ist wie das Systemkonto (warum auch immer man das wollen sollte), dann kann man "group managed service accounts" im AD erstellen. Google diesen Begriff mal.
Ein User sollte dafür auf jeden Fall reichen. Wenn der User Mitglied der Sicherungsoperatoren ist, dann kann er Backups ausführen auch wenn er keinen Zugriff auf die Dateien / Ordner hat.
Bei Robocopy ist dies die Option /B
LG Günther
Bei Robocopy ist dies die Option /B
LG Günther
Vielen Dank für die Rückmeldungen. Folgendes würde ich nun probieren:
- User XY erstellen und in die Gruppe der Sicherungsoperatoren aus dem Active Directory hinzufügen
- Die NTFS-Berechtigung auf der Zielfestplatte auf Sicherungoperatoren (Active Directory) setzen (RW Berechtigung)
- Über den Taskplaner den Robocopyjob als User XY ausführen (robocopy mit Parameter /B verwenden)
Habe ich hier irgendeinen Denkfehler?
- User XY erstellen und in die Gruppe der Sicherungsoperatoren aus dem Active Directory hinzufügen
- Die NTFS-Berechtigung auf der Zielfestplatte auf Sicherungoperatoren (Active Directory) setzen (RW Berechtigung)
- Über den Taskplaner den Robocopyjob als User XY ausführen (robocopy mit Parameter /B verwenden)
Habe ich hier irgendeinen Denkfehler?
Nein, schon ok.
Ob das nun die beste Vorgehensweise its, musst Du selbst wissen. Die Güte wird bestimmt durch Sicherheit und Handhabbarkeit.
Ich würde bevorzugen, das Systemkonto zu nehmen, wenn es für den Zweck ausreicht. Dessen Kennwort muss man nie ändern, es ändert sich automatisch.
Ob das nun die beste Vorgehensweise its, musst Du selbst wissen. Die Güte wird bestimmt durch Sicherheit und Handhabbarkeit.
Ich würde bevorzugen, das Systemkonto zu nehmen, wenn es für den Zweck ausreicht. Dessen Kennwort muss man nie ändern, es ändert sich automatisch.
