我目前正在使用Windows Server Backup,并尝试使用非特权帐户运行计划备份。
我想创build服务器exchange.dom.example.com的完整备份。
我创build了一个新的域用户“备份”,我想用这个任务。
我创build了一个名为\\dom.example.com\Backup\Exchange的DFS存储位置,我想将其备份写入。
它指向名为\\storage0.dom.example.com\Exchange的服务器storage0.dom.example.com上的SMB共享
我给用户“备份”对SMB共享\\storage0.dom.example.com\Exchange完全访问权限。
现在,这是混乱开始的地方。 我将“备份”添加到域控制器上的“备份操作员”组,但服务器备份不会让我创build备份作业。 所以我用我自己的用户帐户创build了这个工作,并试图在以后更改计划任务。 当我尝试将用户切换到“备份”时,告诉我“备份”不允许login到系统。
所以,我在本地 “Backup-Operators”组中添加了“备份”。 现在我可以创build任务了。 但是当它运行时,它会失败,错误代码2155348039 ,告诉我不能写入目标位置。
当我添加“备份”到“pipe理员”组,一切运行完美。 所以我必须假设这是一个权限相关的问题。 但是还有什么其他权限需要设置?
我还用Process Monitor来检查错误。 尝试写入DFS位置\\dom.example.com\Backup\Exchange\TempFile.tmp从wbengine.exe捕获ACCESS_DENIED错误。
我也试图简单地设置备份而不使用DFS(直接写入SMB共享),导致同样的问题。
我还在\\storage0.dom.example.com\Exchange上启动了一个命令提示符“Backup”,并将其推送到\\storage0.dom.example.com\Exchange 。 这是我唯一不能写的地方。 我可以写任何子文件夹就好了。 只是没有进入Exchange 。
我赞扬你试图坚持最小特权的原则。 但是我想我知道你在哪里脱离轨道。 你在哪里说:
我将“备份”添加到域控制器上的“备份操作员”组
AD中的内置容器保存的组基本上就像所有域控制器的共享本地组。 将用户添加到“AD用户和计算机”中的“Backup Operators内置组”仅为该用户提供了在域控制器上的“备份操作员”权限。 因此,它将不会对域中的非DC服务器产生影响。
资料来源: http : //technet.microsoft.com/en-us/library/cc756898(v=ws.10).aspx
例如,Backup Operators组的成员有权对域中的所有域控制器执行备份操作。
您使用的帐户应该是每个服务器上备份操作员本地组的成员,即正在备份的帐户和托pipe共享的服务器。 根据文档,单独应允许备份用户帐户访问执行备份所需的文件,而不pipe他备份文件的文件权限。
现在作为备份操作员本地组的成员在托pipe文件共享的计算机上可能不会给他写权限来将备份写入共享,因此您需要相应地赋予这些权限。 我build议给予备份用户完全控制共享权限,但只是在NTFS级别读取/写入权限。