inno-it
Goto Top

Mit welchem Benutzer Tasks ausführen

Hallo Zusammen,

wir nutzen derzeit mehrere Windows 2008 R2 VMs auf denen automatisiert Backup-Jobs laufen. Diese werden über die Aufgabenplanung von Windows angestoßen. Die Jobs haben sinngemäß in etwa folgenden Aufbau:

backup MSSQL-Datenbank
robocopy QUELLE lokal ZIEL UNC-Pfad

Mein Vorgänger hat alle diese Jobs als Domänen-Administrator ausgeführt...... Hier gab es folglich keine Berechtigungsprobleme :D
Nun würden wir aber gerne das Kennwort des Domänen-Administrators ändern. Hierzu müssen alle Aufgaben angepasst werden (der Benutzer der die Aufgaben ausführt muss geändert werden).

Wie geht man hier idealerweise vor?

Sollte man für jede Aufgabe einen eigenen User anlegen, der auch die Berechtigung auf die UNC-Pfade bekommt? Idealerweise hat der User lokale Administrator-Rechte.

Sollten die Benutzer "Netzwerkdienst, Lokales System,.. " verwendet werden? Hier habe ich allerdings massive Probleme bei der Umsetzung gehabt, da immer wieder irgendetwas nicht funktioniert hat.

Vielleicht hat hier ja noch jemand Ideen, wie man dies ohne großen Aufwand umziehen kann. Vielen Dank für Eure Hilfe.

Content-ID: 307713

Url: https://administrator.de/contentid/307713

Printed on: December 7, 2024 at 08:12 o'clock

atze187
atze187 Jun 20, 2016 at 13:00:28 (UTC)
Goto Top
Hi,

für jeden Job einen User halte ich für übertrieben. Ich würde einen globale Backup-User einrichten der dann die nötigen Berechtigungen auf Dateisystem-Ebene hat. Der sollte natürlich ebenso unter Verschluss bleiben wie der Domain-Admin.

Gruß,
André
DerWoWusste
DerWoWusste Jun 20, 2016 updated at 13:07:05 (UTC)
Goto Top
Hi.

Wie geht man hier idealerweise vor?
Wenn Du lokale Aufgaben zu erledigen hast, die hohe Rechte erfordern, nimm das Systemkonto.
Wenn Du im Netzwerk handeln willst, kannst Du innerhalb einer Domäne das Systemkomnto sogar auf Netzwerkressourcen berechtigen.
Will man ein Konto nehmen, das nicht so stark ist wie das Systemkonto (warum auch immer man das wollen sollte), dann kann man "group managed service accounts" im AD erstellen. Google diesen Begriff mal.
GuentherH
GuentherH Jun 20, 2016 at 13:09:28 (UTC)
Goto Top
Ein User sollte dafür auf jeden Fall reichen. Wenn der User Mitglied der Sicherungsoperatoren ist, dann kann er Backups ausführen auch wenn er keinen Zugriff auf die Dateien / Ordner hat.

Bei Robocopy ist dies die Option /B

LG Günther
inno-it
inno-it Jun 22, 2016 at 13:45:43 (UTC)
Goto Top
Vielen Dank für die Rückmeldungen. Folgendes würde ich nun probieren:

- User XY erstellen und in die Gruppe der Sicherungsoperatoren aus dem Active Directory hinzufügen
- Die NTFS-Berechtigung auf der Zielfestplatte auf Sicherungoperatoren (Active Directory) setzen (RW Berechtigung)
- Über den Taskplaner den Robocopyjob als User XY ausführen (robocopy mit Parameter /B verwenden)

Habe ich hier irgendeinen Denkfehler?
DerWoWusste
DerWoWusste Jun 23, 2016 at 07:55:47 (UTC)
Goto Top
Nein, schon ok.
Ob das nun die beste Vorgehensweise its, musst Du selbst wissen. Die Güte wird bestimmt durch Sicherheit und Handhabbarkeit.
Ich würde bevorzugen, das Systemkonto zu nehmen, wenn es für den Zweck ausreicht. Dessen Kennwort muss man nie ändern, es ändert sich automatisch.