При установке компонент систем резервного копирования на Windows возникает вопрос, а какие пользователи и права должны быть выданы?

Вопрос кажется очевидным, ведь, "дай администратора" и всё закрутиться, всё завертиться, но не всегда это хорошая идея с точки зрения как управления инфраструктурой, так и безопасности.

Во первых, на Windows не нужно смешивать пользователя от имени которого будет мышкокликание и установка  программных компонентов с пользователем от которого сервисы будут выполняться.

Права и учетная запись для установки и настройки агента

Для первого - выделенного пользователя для операций установки и настройки ПО на целевой системе -можно запросить пользователя с членством в группе Администраторы (Administrators), а после установки попросить исключить из групп или вовсе деактивировать. На настроенных системах его использование уже не требуется.

Права и учетные записи Windows для выполнения сервиса

Для второго - пользователя от которого выполняются сервисы резервного копирования - помним, что как правило в системах резервного копирования сервисы на клиенте по умолчанию запускаются от системных учетных записей  из списка LocalSystem,LocalService, NetworkService... Это применимо к системам Bacula, NetBackup, Backup Exec, Veeam агент.......

НО, как и для любого сервиса с целью управления и повышения безопасности можно поменять учетные данные от которых выполняется сервис на какие угодно. Для этого требуется соблюдение как минимум одного членства в группе Backup Operators ( Операторы Архива в русскоязычной ОС Windows), чтобы не давать учетной записи всесильных прав администратора.

Описание Backup Operator:

Операторы архива могут переопределять ограничения доступа только в целях копирования и восстановления файлов

 

и на англ. более понятно:

Members of the Backup Operators group can back up and restore all files on a computer, regardless of the permissions that protect those files. Backup Operators also can log on to and shut down the computer.

 

Backup Operators это историческая встроенная группа Windows с возможностью выполнять операции резервного копирования и восстановления, предоставляя SeBackupPrivilege и

Для домена, достаточно внести учетную запись в группу Backup Operators чтобы осуществлять действия агентов от этой УЗ на всех системах в домене.

В том числе у членов группы Backup Operators есть права на резервное копирование всех контроллеров домена в домене:

 Backup Operators group has the right to perform backup operations for all domain controllers in the domain.

Не стоит пренебрегать использовать встроенные средства, тем более такие мощные как встроенные в NT группы безопасности. И жизнь упростит, и архитектура "правильная" будет.

Обращайтесь, у нас есть большой опыт внедрений и сопровождения систем резервного копирования и восстановления данных в различных гетерогенных инфраструктурах со сложными legacy системами и SLA.