indy06
Goto Top

Auf einem Domänencontroller ein Programm unter einem anderen Benutzer ausführen

Hallo, alle zusammen!

Ich möchte auf einem Windows Server 2019 Domänencontroller ein bestimmtes Programm (Personal Backup) unter einem anderen, speziell zu diesem Zweck, angelegten Domänen-Benutzer ausführen, um Daten vom Domänencontroller auf ein in die Domäne integriertes NAS zu sichern. Wenn ich die entsprechende Verknüpfung mit der rechten Maustaste anklicke und "Als anderer Benutzer ausführen" auswähle und dann den Benutzernamen und das Passwort des angelegten Domänen-Benutzers eingebe, dann erhalte ich die Fehlermeldung:

Anmeldung fehlgeschlagen: Der Benutzer besitzt nicht den benötigten Anmeldetyp auf diesem Computer.

Ich habe dann den neu angelegten Domänen-Benutzer der Gruppe der Sicherungs-Operatoren hinzugefügt. Dann konnte ich zwar das Programm als dieser Domänen-Benutzer ausführen, hatte aber keinen Zugriff auf die zu sichernden Daten, auch dann nicht, wenn ich die Gruppe der Sicherungs-Operatoren dem zu sichernden Verzeichnis mit Leserechten hinzugefügt habe.

Kurz um, ich bin an irgendeiner Stelle auf dem Holzweg. Ich möchte gerne Personal Backup benutzen, weil ich es kenne und es sich gut konfigurieren lässt. Ich möchte es aber sowohl zur Konfiguration, als dann auch zur automatisierten Ausführung des Backups unter einem extra zu diesem Zweck eingerichteten Benutzer laufen lassen, der Zugriff auf das zu sichernde Verzeichnis und auf den Zielordner auf dem NAS hat. Für ein paar Tipps, wie ich das erreichen kann, oder wie man es besser macht, wäre ich sehr dankbar!

VG,
Indy

Content-Key: 586225

Url: https://administrator.de/contentid/586225

Ausgedruckt am: 29.03.2024 um 06:03 Uhr

Mitglied: cykes
cykes 10.07.2020 um 06:31:23 Uhr
Goto Top
Moin,


Zitat von @Indy06:
Kurz um, ich bin an irgendeiner Stelle auf dem Holzweg.
Stimmt face-wink U.a. bei der Wahl der Backup-Software für einen Server/AD.
Ich möchte gerne Personal Backup benutzen, weil ich es kenne und es sich gut konfigurieren lässt.
...und weil es kostenlos ist? Ist das ein Produktivserver oder eine (private) Spielwiese? Eigentlich sagt schon der Name "PersonalBackup", dass das eher für Clients gedacht ist. Auch die Website des Authors beschreibt nur Client-Betriebssysteme. Man kann das zwar sicher auch auf einem Server hinbiegen, reisst sich aber durch unkontrolliert vergebene erhöhte Rechte Sicherheitslücken in seine Struktur.
Ist es Dir das beim Herzstück Deines Netzwerks wirklich wert?
Ist der Server eine VM oder physische Maschine?
Für kleinere Umgebungen könnte man bspw. auf die Community Edition von Veeam B&R setzen.

Gruß

cykes
Mitglied: Vollmilchheini
Vollmilchheini 10.07.2020 um 08:40:14 Uhr
Goto Top
Hey Indy,

probier doch mal das ganze über die Aufgabenplanung zu machen. Dort kannst du eine Aufgabe erstellen und dann sagen, welcher User das ausführen soll.

Gruß
~Vollmilchheini
Mitglied: Lochkartenstanzer
Lochkartenstanzer 10.07.2020 aktualisiert um 09:20:45 Uhr
Goto Top
Moin,

Abgesehen davon, daß Du, wie @cykesschon geschrieben hat, das falsche Tools verwendest:

Hat der Backup-User überhaupt das Recht, sich an dem Server anzumelden? Das dürfen nämlich nur (Domänen-)Admins. Damit mußt Du dem Programm deutlich mehr Rechte geben, als es für ein Backup-Programm notwendig wäre.

Meine Empfehlung wäre auch, stattdessen Veeam zu nehmen.

lks

PS: Nicht jedes Problem ist ein Nagel, nur weil man als einziges Werkzeug einen Hammer hat.
Mitglied: Dr.Bit
Dr.Bit 10.07.2020 aktualisiert um 10:46:20 Uhr
Goto Top
Wie @lks schon schreibt. Nimm Veeam, halben Tag reinarbeiten und Du sicherst mit einem guten Produkt, das ebenfalls kostenlos ist. Man kann aber auch dafür bezahlen. Und ohne Adminrechte wird es auf einem Server sowieso nix.


Zitat von @Lochkartenstanzer:
PS: Nicht jedes Problem ist ein Nagel, nur weil man als einziges Werkzeug einen Hammer hat.

Na toll, hättest Du das nicht schon früher sagen können?

🖖
Mitglied: 117471
117471 10.07.2020 um 09:36:11 Uhr
Goto Top
Hallo,

Zitat von der Homepage: „ Eine Sicherung von Systemdateien ist mit Personal Backup nicht sinnvoll, da das Zurückspeichern nicht zu einem lauffähigen System führt.“

Was willst Du mit dem Spielzeug(!) sichern? Das Hintergrundbild vom Desktop?

Das, was das Programm überhaupt sichern kann, gibt es auf einem DC (hoffentlich) nicht...

Gruß,
Jörg
Mitglied: NixVerstehen
NixVerstehen 10.07.2020 um 10:40:38 Uhr
Goto Top
PS: Nicht jedes Problem ist ein Nagel, nur weil man als einziges Werkzeug einen Hammer hat.

@lks: Genialer Spruch...den muss ich mir einrahmen face-smile
Mitglied: NordicMike
NordicMike 10.07.2020 um 12:11:36 Uhr
Goto Top
Um Domänendaten zu sichern, benötigt man Domändenrechte. Auf den Backupspeicher sollte niemand, ausser dem Backup Programm Zugriff haben- auch nicht der Domänenadmin. Damit wären es bereits zwei verschiedene Konten. Das hat den Grund, dass ein Virus, der sich bis zum Herz vorgekaut hat (dem Domain Controller) nicht noch weiter auf die gesicherten Daten kommt.

Ein "personal" Backup kann nur einen persönlichen Arbeitsplatz backuppen, auf dem der User persönlich Rechte hat.
Ein für Server geeignetes Programm hat eine "Zugriffs-Benutzer-verwaltung":
1) Mit welchen Benutzerdaten darf er die Dateien abholen
2) Mit welchen Benutzerdaten darf er auf das Backupziel schreiben.
Verschiedene Server können auch verschiedene Zugriffsrechte haben. Deshalb kann man diese Benutzerdaten pro Backup Instanz einstellen.

Die kostenlose Veaam Community Edition kann das, in 2 Stunden hast du das Programm in Griff.

Und freunde Dich mit VMs an. Da wird die gesamte "DC VM" gesichert und es benötigt keine weiteren Domain-Rechte. Auch das zurückspielen passiert so. Der Veeam Application Browser kann dann auch einzelne Active Directory Inhalte zurückspielen, vorausgesetzt, er hat dafür ein Konto mit Domänen-Rechten in seine Zugriffs-Benutzer-Verwaltung eingetragen bekommen.

Einfacher gehts nicht :c)
Mitglied: Indy06
Indy06 11.07.2020 aktualisiert um 12:40:04 Uhr
Goto Top
Hallo!

Vielen Dank, für die hilfreichen Kommentare! Es ist natürlich im realen Leben wieder einmal alles anders. Es handelt sich um ein kleines Unternehmen mit max. einer handvoll Mitarbeiter bzw. Clients. Eine IT-Abteilung oder einen IT-Administrator gibt es in diesem Sinne nicht. Der einzige Domänencontroller läuft auf einer physikalischen Maschine und arbeitet gleichzeitig als Fileserver. Zwei Dinge müssen also gewährleistet sein: Die reinen Daten-Dateien müssen automatisiert auf ein NAS gesichert werden, auf das max. ein "Backupbenutzer" Zugriff hat. Außerdem wäre es praktisch den Server selbst zu sichern, um ihn nach einem Hardware-Ausfall identisch wieder herstellen zu können. Letzteres ist aber schon wieder gar nicht mehr so kritisch, solange die reinen Daten aus einem Backup wiederhergestellt werden können. Der Ausfall oder Verlust des DCs würde nur bedeuten auf die Bequemlichkeit der zentralen Benutzerverwaltung zu verzichten, was bei der geringen Anzahl an Client zu verschmerzen wäre. Für die Sicherung der Daten hatte ich eben an PersonalBackup gedacht, für die Sicherung des Systems an die integrierte "Windows Server-Sicherung". Eine andere Lösung einzusetzen bedeutet zunächst einmal Zeitaufwand und damit Geldeinsatz. Die Website der Veeam B&R Community Edition enthält auf jeden Fall erstmal nur Marketing Bla Bla, so dass ich schon mal schlecht einschätzen kann, ob das oben Beschiebene mit vertretbarem Aufwand erreicht werden kann. Was meint Ihr?

Vielen Dank,
Indy

P.S.: Und 3.8 GB als iso-File hören sich nach einer Menge Code an für so eine "einfache" Aufgabe. Und es scheint in der Hauptsache für VMs gedacht zu sein.
Mitglied: Indy06
Indy06 11.07.2020 um 15:40:44 Uhr
Goto Top
Zitat von @cykes:
Für kleinere Umgebungen könnte man bspw. auf die Community Edition von Veeam B&R setzen.

Ich gucke mir das gerade an. Eigentlich ist diese Lösung für mich maximal zu komplex und selbst in der Community Edition viel zu überladen. Ich müsste den Backup-Server ja sinnvoller Weise auf dem Domänencontroller installieren. Eine andere always-on Maschine haben wir gar nicht. Sinnvoll ist das aber wahrscheinlich nicht. Kann denn der Backup-Server sich z.B. selber sichern? Interessant finde ich die Möglichkeit Sicherungen zentral zu steuern, auch auf Arbeitsstationen. Aber wie gesagt, ich würde Wochen dafür brauchen, um damit umgehen zu können... Gibt es für die aktuelle Version 10 schon irgendwo aktuelle Handbücher? Ich finde nur welche für Version 9.5.

VG,
Stefan
Mitglied: NordicMike
NordicMike 13.07.2020 um 09:17:23 Uhr
Goto Top
Wie oben bereits beschrieben: Mit Veeam ist man in 2h durch - auch ohne Handbücher. setup.exe anklicken, Back repository anlegen, Server hinzufügen Backup hinzufügen start klicken.
Mitglied: Indy06
Indy06 13.07.2020 um 21:48:49 Uhr
Goto Top
Zitat von @NordicMike:

Wie oben bereits beschrieben: Mit Veeam ist man in 2h durch - auch ohne Handbücher. setup.exe anklicken, Back repository anlegen, Server hinzufügen Backup hinzufügen start klicken.

Ich finde 2h ist ziemlich optimistisch, weil ich im Prinzip ja auch alles ausprobieren muss, vor allen Dingen auch die Wiederherstellung eines Backups. Ein bisschen habe ich schon rumprobiert und grundsätzlich gefällt mir die Idee. Außerdem scheint es ja immerhin eine weit verbreitete Lösung zu sein. Deshalb noch einmal ein paar gezielte Fragen:

Ist es in Ordnung den Backup-Server mit auf dem Domänencontroller zu installieren? Ressourcenmäßig ist das ganz sicher kein Problem, schließlich wird nur ab und zu mal ein Dokument in einer Freigabe gespeichert.

Kann der Backup-Server in diesem Fall dann auch eigene Verzeichnisse sichern (Dateibackup) oder sogar sich selbst (Systembackup)?

Wie kann ich Systembackups von Clients wiederherstellen, wenn kein Windows und kein Agent installiert ist? Wie gesagt ich arbeite ja in einer physischen und nicht in einer virtuellen Umgebung. Alle Server und Client sind echt...

Wie sähe denn eine sinnvolle Benutzerverwaltung aus? Ich denke ich brauche trotzdem einen Domänenbenutzer, der Zugriff auf die zu sichernden Daten und das Backup Repository hat und der in Veeam als der ausführende Backup-User angelegt ist, oder nicht?

Vielen Dank!
Indy
Mitglied: NordicMike
NordicMike 14.07.2020 um 10:40:26 Uhr
Goto Top
Bedenke, dass du mit einer kostenlosen Veeam Installation maximal 3 physische Rechner sichern darfst. Du hast 10 Punkte pro Installation frei. Ein physischer Rechner zählt 3 Punkte, während eine VM 1 Punkt zählt. Du darfst Veeam aber auch auf den vierten Rechner nochmal installieren und weitere 3 Rechner sichern. Du kannst dann die Veeam Oberfläche auf Deinem PC installieren und du verbindest sich dann zu dem Server, auf dem Veeam Backup installiert wurde. Du kannst dann quasi zentral verwalten.

Veeam kannst du als lokaler Administrator installieren. Der Domain Controller muss dann auf jeden Fall den Agent installiert bekommen. Das geht nur mit Domänen Admin Rechten. Das Konto für das Backup Ziel ist am besten kein Domänenkonto. Wenn die Domäne angegriffen wird, wäre auch ein Domänen-Backup-Konto unter dieser Kontrolle. Im allerschlimmsten Fall muss wenigstens das Backup Ziel noch heil sein. Kein Virus sucht im Backup Programm nach den Backup Zugangsdaten, das muss ja dann auch nochmal zusätzlich geknackt werden.

Ohne Agent lässt sich kein physischer Rechner sichern. Irgendein kleines Tool muss ja unter den Admin Rechten laufen um an die Daten ran zu kommen. Ob das nun ein Agent ist oder ein Powershell Script oder ein Personal Backup, bleibt sich gleich. Diese kleine Instanz muss "immer" unter Admin Rechten fungieren.

Unabhängig davon, freunde dich mit VMs an. Sehr viele Vorteile, kein Nachteil...
Mitglied: Dr.Bit
Dr.Bit 14.07.2020 um 10:49:59 Uhr
Goto Top
Zitat von @NordicMike:

Unabhängig davon, freunde dich mit VMs an. Sehr viele Vorteile, kein Nachteil...

Naja, kein Nachteil würde ich nicht unterschreiben. Die Erweiterung von Partitionen ist unter einer VM doch etwas aufwendiger, wenn es überhaupt geht. Ansonsten bin ich bei Dir.

🖖
Mitglied: NordicMike
NordicMike 14.07.2020 um 11:07:47 Uhr
Goto Top
Echt? Es einfach eine VM Partition zu vergrößern. Wenn die dafür evtl Ursprüngliche Platte dafür noch zu klein wird, VM herunterfahren, VHDX Datei auf eine größere Platte verschieben und vergrößern, VM wieder hochfahren, Partition vergrößern. Bei einem Physischen Server musst du herunterfahren, die kleine Platte auf eine größere Platte klonen, wieder hoch fahren.
Mitglied: Dr.Bit
Dr.Bit 14.07.2020 aktualisiert um 12:01:36 Uhr
Goto Top
Zitat von @NordicMike:

Echt? Es einfach eine VM Partition zu vergrößern. Wenn die dafür evtl Ursprüngliche Platte dafür noch zu klein wird, VM herunterfahren, VHDX Datei auf eine größere Platte verschieben und vergrößern, VM wieder hochfahren, Partition vergrößern. Bei einem Physischen Server musst du herunterfahren, die kleine Platte auf eine größere Platte klonen, wieder hoch fahren.

So war es nicht gemeint. Mehrere Partitionen auf einer physischen oder logischen (Raid) Platte. Eine partition löschen und dann eine Andere vergrößern. Das machst du im laufenden Betrieb und es bekommt auch keiner mit. Das machst du mit einer VM nicht.

🖖
Mitglied: NordicMike
NordicMike 14.07.2020 um 11:57:23 Uhr
Goto Top
Ach so, ja, stimmt, die VM muss einmal dafür herunter gefahren werden.
Mitglied: Lochkartenstanzer
Lochkartenstanzer 14.07.2020 um 12:01:22 Uhr
Goto Top
Zitat von @Dr.Bit:

Das machst du im laufenden Betrieb und es bekommt auch keiner mit. Das machst du mit einer VM nicht.

Kommt auf den Hypervisor und die KOnfiguration der virtuellen Platten an. Wenn Du den passenden Hypervisor hast kannst Du ggf die virtuellen Platten migrieren und vergrößern, ohne daß die VM das mitbekommt. Ist natürlich mit dem kostenlosen "Standard-Hyper-V" so nicht vorgesehen.

lks
Mitglied: Dr.Bit
Dr.Bit 14.07.2020 um 12:05:27 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

Ist natürlich mit dem kostenlosen "Standard-Hyper-V" so nicht vorgesehen.

Eben.

🖖
Mitglied: NordicMike
NordicMike 14.07.2020 um 12:06:31 Uhr
Goto Top
Habs gerade nochmal unter 2016 Hyper-V kontrolliert, da geht es in Verbindung mit einer Typ-2 VM ohne herunter zu fahren.
Mitglied: Dr.Bit
Dr.Bit 14.07.2020 um 12:11:30 Uhr
Goto Top
Zitat von @NordicMike:

Habs gerade nochmal unter 2016 Hyper-V kontrolliert, da geht es in Verbindung mit einer Typ-2 VM ohne herunter zu fahren.
Ok, nice to know.

🖖