kmulife
Goto Top

Wbadmin - Backupuserpasswort verschlüsselt übergeben?

Hallo zusammen

Ich stolperte gestern über das Tool wbadmin.exe (in diesem Forum). Da ich momentan gerade nach einem Backuptool suche, welches automatisch die Clientcomputer backupt und auf ein NAS speichert, schaute ich mir das mal näher an. Das ganze scheint wie folgt auch zu funktionieren:

wbadmin.exe ENABLE BACKUP -addtarget:\\NAS\Ordner\ -schedule:19:00 -allCritical -vssFULL -user:DOMAIN\backupuser -password:XXX

  • Windows 10
  • Synologoy (NAS)
  • Windows SBS Server 2008

Da ich das ganze über einen Backup-User lösen will, welcher lokal einfach in der Sicherungsoperatoren-Gruppe ist, wäre ich froh wenn das Passwort jedoch verschlüsselt übergeben wird.
(Grund: Verschlüsselungsvirus --> wenigstens Backup-Images der Clients nicht betroffen)
Ist dies mit wbadmin.exe überhaupt möglich?

Allenfalls gibt es auch eine viel einfachere Lösung, bin froh um alle Erfahrungswerte!
Würde mir auch schon helfen wenn ihr einen Link kennt wo ich solche Verschlüsselungsthematiken finden kann.
Habe im Zusammenhang mit wbadmin in google leider nichts gefunden.

Danke und Gruss aus der Schweiz
KMUlife

Content-ID: 304338

Url: https://administrator.de/forum/wbadmin-backupuserpasswort-verschluesselt-uebergeben-304338.html

Ausgedruckt am: 25.12.2024 um 14:12 Uhr

Pjordorf
Pjordorf 12.05.2016 um 16:51:34 Uhr
Goto Top
Hallo,

Zitat von @KMUlife:
Allenfalls gibt es auch eine viel einfachere Lösung
Lege eine Task (lokal) für diesen Job an und dort dann die Credentials für deinen ausgesuchten Benutzer nutzen. Schtasks /? bspw. oder evtl. noch die PSExec von Sysinternals...

Gruß,
Peter
DerWoWusste
DerWoWusste 12.05.2016, aktualisiert am 25.05.2016 um 11:40:50 Uhr
Goto Top
Hi.

Dafür legt man ein einer Domäne keine Konten an, sondern nimmt einfach das Systemkonto, es kann auch auf das NAS schreiben, sofern Dein NAS AD-Konten versteht. Somit braucht man kein Kennwort, das Systemkonto einfach im Task als ausführendes Konto eintragen.
KMUlife
KMUlife 25.05.2016 aktualisiert um 11:33:12 Uhr
Goto Top
Hallo zusammen,

Danke erstmals für eure Beiträge!

Also hab das ganze jetzt mit psexec probiert zu builden. Jedoch stecke ich bei der korrekten übermittlung des "Systemkontos" fest.

Testeshalber habe ich folgende Zeile auf dem Server ausgeführt:
(Das ganze wird dann in eine Aufgabenplanung eingebunden.)

C:\Windows\system32>C:\Tools\PSTools\PsExec.exe \\Computer -i -s wbadmin.exe
START BACKUP -backupTarget:\\NAS\wbadmin\test -allCritical -vssFULL -quiet

Jedoch will wbadmin immernoch ein User und pw um aufs NAS zuzugreifen. Auf dem \\NAS\wbadmin\test habe ich jedoch das "SYSTEM"-Konto als Lesen/Schreiben-Berechtigung eingebunden und das NAS ist auch in die Domain eingebunden.
*Edit* auch mit zusätzlichem -user:NT-Autorität\SYSTEM gings ned.*

Sieht gerade jemand was ich falsch mache? Bzw. reicht die Option PsExec.exe -i -s nicht um der komplette Task als NT-Autorität\SYSTEM auszuführen?

Danke für eure Hilfe!
Grüsse
KMUlife
DerWoWusste
Lösung DerWoWusste 25.05.2016 um 11:44:06 Uhr
Goto Top
Du musst das Systemkonto des Rechners berechtigen, der wbadmin ausführt. Heißt der PC1, dannn muss pc1$ berechtigt werden.
Zum Test: auf "pc1" psexec -s -i cmd auf einer elevated shell ausführen -> es öffnet sich eine weitere Shell mit Systemrechten.
Dort dann
md \\nas\wbadmin\test\schreibtest
ausführen und schauen, ob es gelingt. Wenn nicht erfolgreich, checke auch die Freigaberechte, nicht nur die NTFS-Rechte.
KMUlife
KMUlife 25.05.2016 um 13:20:20 Uhr
Goto Top
Hallo DerWoWusste

Anscheinend ist trotzdem was mit den Berechtigungen nicht in Ordnung wie der Test zeigt.

Jedoch begreife ich nicht wo ich noch Berechtigunseinstellungen vornehmen muss:
effektive_berechtigung_nas

Aufm Synology finde ich nur folgende Einstellung:
system_berechtigungen_synology

Übersehe ich da was?
Grüsse
KMUlife
DerWoWusste
DerWoWusste 25.05.2016 um 13:50:15 Uhr
Goto Top
Ja, du übersiehst, dass das Konto "System" das Rechnerkonto des Servers ist und nicht das des Clients. Ich lad Dir mal einen Screenshot hoch, wie es aussehen soll (zugreifendes Systemkonto ist das von PC "Mars"):
capture
KMUlife
KMUlife 25.05.2016 um 14:19:14 Uhr
Goto Top
JETZT HATS KLICK GEMACHT!
DANKE =)

Also entweder ich hab anno dazumals in der Berufsschule geschlafen als man uns das erklärt hat oder ich weiß echt auch nicht. :/

Also nochmals zur "Verständnis-Klärung" für mich:
Wenn ich mit dem Systemkonto eines Rechners in einen Ordner schreiben will, welcher sich nicht lokal auf dem Rechner befindet, muss ich zwingend dem Computer Schreibrechte zu Verfügung stellen. Also Simuliert MARS$ eigentlich den Systemuser von Mars?

Heisst also Grundsätzlich, wenn ich 'n' PC's habe welche auf dem NAS ein automatisiertes Backup machen sollen. Muss ich 'n' die Berechtigungen dafür geben. Wahrscheinlich funktioniert das in diesem Fall auch mit einer Gruppe wo alle 'n' PCs drin sind?!

- In welchen Fällen braucht man das Rechnerkonto sonst noch?

Wenns dich kackt Lehrer für mich zu spielen würde ich das verstehen face-wink.
Aber Mensch heute habe ich was Wichtiges dazugelernt face-smile.

Grüsse
KMUlife
DerWoWusste
Lösung DerWoWusste 25.05.2016 aktualisiert um 15:02:41 Uhr
Goto Top
Wenn man auf PC A (welcher Mitglied der selben Domäne ist wie ein zweiter (Ziel-)PC B) das Systemkonto nutzen will, um auf Freigaben von B zu kommen, so muss man in der ACL auf B das Konto A$ berechtigen oder die Domänengruppe "Domänen-Computer", wenn man gleich alle Rechnerkonten berechtigen will. [Das heißt übrigens keineswegs, dass nun jeder Nutzer von PC A Zugriff bekommt, nein, nur das Systemkonto].

Das Rechnerkomnto wird in erster Linie dann benutzt, wenn der Rechner startet und sich mit dem Domänencontroller "unterhält". Es greift zu auf \\DC\sysvol und \\dc\netlogon und schaut nach, ob Gruppenrichtlinien für den Rechner umgesetzt werden müssen.
Ich verwende auch sehr gerne das Systemkonto, wenn ich alle Firmenrechner "bitten will", regelmäßig etwas zu erledigen, beispielsweise ein Log zu schreiben über lokale Probleme wie Abstürze, Füllstand der Platten oder sonstwas - da verteile ich dann geplante Aufgaben per GPO, die mit dem Rechnerkonto laufen und somit alles auf dem PC machen dürfen (selbe bzw. teilweise noch höhere Rechtestufe als das lokale Adminkonto).

Wa man falsch machen kann/bedenken muss: lokale Administratoren können problemlos als Systemkonto handeln und somit muss man sich klar machen, dass alle Freigaben, die man dem Systemkonto von Rechner A bereitstellt, auch von ggf. vorhandenen lokalen Administratoren von diesem Rechner A ausgelesen werden können. Beispiel: Du willst eine Software verteilen und schreibst ein Skript, das installiert und gleich die teuer gekaufte Seriennummer mit übergibt. Der neugierige Entwickler auf PC A (er ist lokaler Administrator) hat dies mitbekommen und nimmt sich einfach psexec (wie oben schon dargestellt), öffnet eine Shell als System, und liest nun munter alle Skripte durch, die in Sysvol liegen und schreibt sich die teure Seriennummer einfach auf und verkauft sie...
KMUlife
KMUlife 25.05.2016 um 14:56:14 Uhr
Goto Top
Zitat von @DerWoWusste:
[Das heißt übrigens keineswegs, dass nun jeder Nutzer von PC A Zugriff bekommt, nein, nur das Systemkonto].

Das ist noch Wichtig face-wink.

Super! Danke vielmals für die Hilfe & Erklärungen @DerWoWusste!

Grüsse und n schöner Tag
KMUlife