问候
我的任务是创build一个自动备份系统,将用户主驱动器备份到我们在文件服务器上的相应networking驱动器。 经过实际上这个工作的麻烦,我终于find了一个很好的解决scheme,使用robocopy。 唯一的问题是它需要用户在本地Backup Operators组中才能执行操作。 我读了一些有关GPO中的受限用户的内容,所以我使用受限用户,向每个计算机本地Backup Operators组添加了“Domain Users”组。 它正在执行我需要的与robocopy有关的function,但是我在Windows / ADpipe理方面有点新,而且我本身不是专家。 通过将“域用户”组添加到每台计算机的Backup Operators组中,我打开了哪些(如果有)安全风险?
感谢您的任何帮助或build议,不胜感激。
这绝对是太广泛了。 备份操作员有很多访问您的主机。 域用户是您域中的所有人。 那么现在你的域中的任何人都可以访问你所有主机上的大部分文件。 不是一个好的安全姿势。
最好是创build一个全球组织“Robocopy Users”,并添加需要使用robocopy进行备份的域用户(JohnC,MaryK),然后使用受限用户GPO将该全局组添加到Backup Operators组中。
只是一个想法,但如果你从本地机器备份到文件服务器,可以使该文件共享拥有完全访问权限的pipe理员和创build者所有者,然后授予身份validation用户创build文件夹的能力。 这将允许他们创build他们将能够拥有的文件夹,以便他们可以完全访问该文件夹以及该文件夹。