Der*_*ler 3 windows-server-2008 dfs windows-server-backup
我目前正在使用 Windows Server Backup,并尝试使用非特权帐户运行计划备份。
我想创建服务器的完整备份exchange.dom.example.com。
我创建了一个新的域用户“备份”,我想将其用于此任务。
我创建了一个 DFS 存储位置,称为\\dom.example.com\Backup\Exchange我要将备份写入的位置。
它指向storage0.dom.example.com名为的服务器上的 SMB 共享\\storage0.dom.example.com\Exchange
我给了用户“备份”对 SMB 共享的完全访问权限\\storage0.dom.example.com\Exchange。
现在,这是混乱开始的地方。我将“备份”添加到域控制器上的“备份操作员”组,但服务器备份不允许我创建备份作业。因此,我使用自己的用户帐户创建了作业,并尝试稍后更改计划任务。当我尝试将用户切换到“备份”时,它告诉我不允许“备份”登录系统。
因此,我将“Backup”添加到本地“Backup-Operators”组。现在我可以很好地创建任务了。但是当它运行时,它会失败并显示错误代码2155348039,告诉我它无法写入目标位置。
当我将“备份”添加到“管理员”组时,一切运行正常。所以我必须假设这是一个与权限相关的问题。但是我还需要设置哪些其他权限?
我还使用 Process Monitor 仔细检查了错误。一个ACCESS_DENIED错误是从捕获wbengine.exe尝试写入到DFS位置\\dom.example.com\Backup\Exchange\TempFile.tmp。
我还尝试在没有 DFS 的情况下简单地设置备份(通过直接写入 SMB 共享),这导致了同样的问题。
我还启动了一个命令提示符作为“备份”exchange.dom.example.com并pushd进入\\storage0.dom.example.com\Exchange. 这是我唯一不能写的地方。我可以写入任何子文件夹就好了。只是没有进入Exchange.
我赞扬你试图坚持最小特权原则。但我想我明白你偏离轨道的地方了。你说的地方:
我将“备份”添加到域控制器上的“备份操作员”组
AD 中的内置容器包含本质上类似于所有域控制器的共享本地组的组。将用户添加到 AD 用户和计算机中的备份操作员内置组只会授予该用户对域控制器的备份操作员权限。因此,它不会对域中的非 DC 服务器产生影响。
来源:http : //technet.microsoft.com/en-us/library/cc756898(v=ws.10).aspx
例如,Backup Operators 组的成员有权为域中的所有域控制器执行备份操作。
您使用的帐户应该是每台服务器上 Backup Operators 本地组的成员 - 正在备份的那个,以及托管将保存备份的共享的服务器。根据文档,仅此一项就应该允许备份用户帐户访问执行备份所需的文件,而不管他对正在备份的文件的文件权限如何。
现在,作为托管文件共享的计算机上 Backup Operators 本地组的成员,他可能不会授予他将备份写入共享的写权限,因此您需要相应地授予这些权限。我建议给备份用户完全控制共享权限,但只是在 NTFS 级别的读/写权限。
| 归档时间: |
|
| 查看次数: |
10404 次 |
| 最近记录: |