17
Windows 10 Backup auf Netzwerk Storage
Hallo geehrte Mitstreiter Innen,
Wir wollen in unserer Windows 10 Domäne den Einzelnen Usern ermöglichen ihre Desktop PC's zusichern.
Im Netzwerk solle in einem Backup Laufwerk ein Script? geben über welches der Hostname ermittelt wird, anschließen soll der PC in einen eigens dafür angelegten Ordner gesichert werden.
Der besagte Sicherungsordner soll nur für die Backup-Software sichtbar sein und im Fall der Fälle vom Administrator Konto aus zurück gespielt werden können.
Windows 10 1809 - 1903 64bit
Über entsprechende Vorschläge wäre ich sehr Dankbar.
Wir wollen in unserer Windows 10 Domäne den Einzelnen Usern ermöglichen ihre Desktop PC's zusichern.
Im Netzwerk solle in einem Backup Laufwerk ein Script? geben über welches der Hostname ermittelt wird, anschließen soll der PC in einen eigens dafür angelegten Ordner gesichert werden.
Der besagte Sicherungsordner soll nur für die Backup-Software sichtbar sein und im Fall der Fälle vom Administrator Konto aus zurück gespielt werden können.
Windows 10 1809 - 1903 64bit
Über entsprechende Vorschläge wäre ich sehr Dankbar.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 487941
Url: https://administrator.de/contentid/487941
Printed on: April 20, 2024 at 13:04 o'clock
17 Comments
Latest comment
Hallo,
Was bitte ist eine Windows 10 Domäne?
Gruß,
Peter
Was bitte ist eine Windows 10 Domäne?
Über entsprechende Vorschläge wäre ich sehr Dankbar.
Mit welche Sichrérungssoftware soll denn eingesetzt werden? Und sicher das der Admin einfach so auf vdiese Ordner ugreifen darf/kann?Gruß,
Peter
Was bitte ist eine Windows 10 Domäne?
Nun hiermit wollte ich zum Ausdruck bringen das wir eine Windows Domäne mit Windows 10 als Client OS nutzen.Über entsprechende Vorschläge wäre ich sehr Dankbar.
Mit welche Sichrérungssoftware soll denn eingesetzt werden? Und sicher das der Admin einfach so auf vdiese Ordner ugreifen darf/kann?Es wäre schon wenn wir dies mit Bordmitteln aus dem Hause MS erledigen könnten.
Hallo,
https://www.windowscentral.com/how-make-full-backup-windows-10
https://sourcedaddy.com/windows-10/perform-backup-and-restore-wbadmin.ht ...
https://support.microsoft.com/en-us/help/4027408/windows-10-backup-and-r ...
https://docs.microsoft.com/en-us/windows-server/administration/windows-c ...
https://pureinfotech.com/use-wbadmin-create-windows-10-system-image-back ...
Bedenke aber die zu erwartende Probleme beim Wiederherstellen. Und MS hat die Sicherung etwas vernachlässigt seit es FileHistory im Vordergrund pushed.
Gruß,
Peter
Zitat von @Futschel2608:
Nun hiermit wollte ich zum Ausdruck bringen das wir eine Windows Domäne mit Windows 10 als Client OS nutzen.
Und trotzdem gibt es keine Window 10 Domäne, es ist einfach eine Domäne.Nun hiermit wollte ich zum Ausdruck bringen das wir eine Windows Domäne mit Windows 10 als Client OS nutzen.
Es wäre schon wenn wir dies mit Bordmitteln aus dem Hause MS erledigen könnten.
Dann ist WBAdmin dein Freund.https://www.windowscentral.com/how-make-full-backup-windows-10
https://sourcedaddy.com/windows-10/perform-backup-and-restore-wbadmin.ht ...
https://support.microsoft.com/en-us/help/4027408/windows-10-backup-and-r ...
https://docs.microsoft.com/en-us/windows-server/administration/windows-c ...
https://pureinfotech.com/use-wbadmin-create-windows-10-system-image-back ...
Bedenke aber die zu erwartende Probleme beim Wiederherstellen. Und MS hat die Sicherung etwas vernachlässigt seit es FileHistory im Vordergrund pushed.
Gruß,
Peter
Hallo Futschel2608
Das ist in Theorie mit Bordmitteln zu machen, aber verdammt umständlich.
Wie Pjodorf bereits erwähnt hat zeigt sich der wahre Erfolg erst beim (hoffentlich) vollständigen Restore eines solchen Backups.
Warum wählst du nicht eine der zahllosen Softwares, die das mit an Sicherheit grenzender Wahrscheinlichkeit besser, schneller und konsistenter erledigt?
Grüsse
Marc
Das ist in Theorie mit Bordmitteln zu machen, aber verdammt umständlich.
Wie Pjodorf bereits erwähnt hat zeigt sich der wahre Erfolg erst beim (hoffentlich) vollständigen Restore eines solchen Backups.
Warum wählst du nicht eine der zahllosen Softwares, die das mit an Sicherheit grenzender Wahrscheinlichkeit besser, schneller und konsistenter erledigt?
Grüsse
Marc
Moin Peter.
Bedenke aber die zu erwartende Probleme beim Wiederherstellen
An welche denkst Du da?
Hallo,
An z.B. das auf das Netzlaufwerk nicht zugegriffen werden kann und so, evtl. leichter und einfacher wenn er die Sicherung auf einen USB Stick/Festplatte schaufelt bevor er zurückspielen will...
Gruß,
Peter
An z.B. das auf das Netzlaufwerk nicht zugegriffen werden kann und so, evtl. leichter und einfacher wenn er die Sicherung auf einen USB Stick/Festplatte schaufelt bevor er zurückspielen will...
Gruß,
Peter
HAllo Futschel2608,
ich habe diese Anforderung folgendenmaßen gelösst.
-In der Domäne einen User angelegt z.B VeeamAdmin
-Jeder Arbeitsplatz hat Veeam Endpoint Backup Free
-Ordner im NEtzwerk mit Freigabe wo nur der VeeamAdmin Schreibrechte hat (sonst keiner).
-Bei der Konfiguration des BackupJobs "Komplett Sicherung!" auf Share im Netzwerk mit User VeeamAdmin. Automatisch beim starten.
-Email benachrichtigung an mich über erfolg/misserfolg des Backups
-Ich geh davon aus das selbst bei Virenbefall des einzelen Rechners das Backup sauber bleibt.
fertig.
Gruss HAR
ich habe diese Anforderung folgendenmaßen gelösst.
-In der Domäne einen User angelegt z.B VeeamAdmin
-Jeder Arbeitsplatz hat Veeam Endpoint Backup Free
-Ordner im NEtzwerk mit Freigabe wo nur der VeeamAdmin Schreibrechte hat (sonst keiner).
-Bei der Konfiguration des BackupJobs "Komplett Sicherung!" auf Share im Netzwerk mit User VeeamAdmin. Automatisch beim starten.
-Email benachrichtigung an mich über erfolg/misserfolg des Backups
-Ich geh davon aus das selbst bei Virenbefall des einzelen Rechners das Backup sauber bleibt.
fertig.
Gruss HAR
Von Windows Setup aus kann man wunderbar die Wiederherstellung starten - hat bei mir noch immer geklappt, ein Netzlaufwerk zu verbinden. Treiber kann man dort auch einbinden, falls nötig.
Hallo,
Gruß,
Peter
[Nachtrag]
Hier ein gutes Beispiel eines Admins der von Veeam redet, Novastor FAQ postet, MS die schuld gibt und sein Thread auf eredigt ohne angaben von Gründen usw. Veeam Backup Endpoint Free sichert nicht alle Dateien in AppData
[/Nachtrag]
Zitat von @DerWoWusste:
Von Windows Setup aus kann man wunderbar die Wiederherstellung starten - hat bei mir noch immer geklappt, ein Netzlaufwerk zu verbinden. Treiber kann man dort auch einbinden, falls nötig.
Mir brauchst du das nicht erzählen. Aber wenn ich sehe das der TO eine "Windows 10 Domäne" betreibt.... Und wie viele Admins kennst du nicht wissen an ihren Feigaben zu kommen wenn es im OS (Windows) nicht schon existiert, oder der Rechner gegen ein Linux getauscht wird?Sichern tun viele, nur mit den rücksichern haben die meisten eben Probleme. Wer sein Handwerk beherrscht übt vorher eben alle Fälle durch bevor er es freischaltet/implementiert. Von Windows Setup aus kann man wunderbar die Wiederherstellung starten - hat bei mir noch immer geklappt, ein Netzlaufwerk zu verbinden. Treiber kann man dort auch einbinden, falls nötig.
Gruß,
Peter
[Nachtrag]
Hier ein gutes Beispiel eines Admins der von Veeam redet, Novastor FAQ postet, MS die schuld gibt und sein Thread auf eredigt ohne angaben von Gründen usw. Veeam Backup Endpoint Free sichert nicht alle Dateien in AppData
[/Nachtrag]
Schon klar, dass das nicht jeder ohne Weiteres hinbekommt. Ich war auch nur interessiert daran, ob neue Probleme beim Restore bekannt geworden sind. 1803 hatte mal so ein Problem mit dem Restore aid unpartitionierte Platten, IIRC.
Moin Peter,
kann ich dies auch übers Netzwerk aufrufen bzw. den Sicherungsbefehl bereitstellen ?
Gedacht ist es folgender weise:
Für eine Rücksicherung kommt der PC dann ins "IT-Labor" und er wird aus dem Netzlaufwerk zurück gespielt oder das Backup kommt auf einen USB Stick und wird zurück gespielt.
Da wir bald auch ACMP einsetzen werden, waren wir am überlegen evtl. auch dort einen Backup Job einzurichten, hat da jemand bereits Erfahrungen sammeln können ??
kann ich dies auch übers Netzwerk aufrufen bzw. den Sicherungsbefehl bereitstellen ?
Gedacht ist es folgender weise:
- Der User bekommt wöchentlich eine Mail mit der Erinnerung "Hey jetzt wäre ein guter Zeitpunkt für ein Systembackup".
- Er klickt auf den Hyperlink und landet auf einer NTFS Freigabe wo das Backup Script hinterlegt ist.
- Nun wird im Hintergrund das Windows Backup auf ein Netzlaufwerk gesichert, wo nur Administratoren Zugriff haben.
- Nach Abschluss wird eine E-Mail an den User und den Admin gesendet.
Für eine Rücksicherung kommt der PC dann ins "IT-Labor" und er wird aus dem Netzlaufwerk zurück gespielt oder das Backup kommt auf einen USB Stick und wird zurück gespielt.
Da wir bald auch ACMP einsetzen werden, waren wir am überlegen evtl. auch dort einen Backup Job einzurichten, hat da jemand bereits Erfahrungen sammeln können ??
Vollbackups brauchen Adminrechte. Ich habe mal einen Artikel verfasst, wo ich haarklein beschrieben habe, wie man Usern das Recht geben kann, bestimmte administrative Dinge zu erledigen: https://www.experts-exchange.com/articles/33548/How-to-empower-restricte ...
Wenn Du das dort nicht lesen kannst, weil nicht angemeldet, sag Bescheid.
Wenn Du das dort nicht lesen kannst, weil nicht angemeldet, sag Bescheid.
Zitat von @DerWoWusste:
Vollbackups brauchen Adminrechte. Ich habe mal einen Artikel verfasst, wo ich haarklein beschrieben habe, wie man Usern das Recht geben kann, bestimmte administrative Dinge zu erledigen: https://www.experts-exchange.com/articles/33548/How-to-empower-restricte ...
Wenn Du das dort nicht lesen kannst, weil nicht angemeldet, sag Bescheid.
Vollbackups brauchen Adminrechte. Ich habe mal einen Artikel verfasst, wo ich haarklein beschrieben habe, wie man Usern das Recht geben kann, bestimmte administrative Dinge zu erledigen: https://www.experts-exchange.com/articles/33548/How-to-empower-restricte ...
Wenn Du das dort nicht lesen kannst, weil nicht angemeldet, sag Bescheid.
Also den Abschnitt mit der Netzwerkkarte kann man frei lesen, ist an sich auch schlüssig, hilft mir nur nicht weiter.
Ebenso ist klar das das Verzeichnis mit dem script ebenso vor User Zugriffen geschützt werden muss. Auch das habe ich soweit verstanden.
Nur leider ist zum Backup dort nicht beschrieben außer meiner Formulierten Frage, die dort ebenfalls als Szenario vorgestellt wird.
Hallo,
https://support.redstor.com/hc/en-gb/articles/115002698814-572-Restoring ...
https://www.google.com/search?q=restore+using+wbadmin
Gruß,
Peter
Zitat von @Futschel2608:
Nur leider ist zum Backup dort nicht beschrieben außer meiner Formulierten Frage, die dort ebenfalls als Szenario vorgestellt wird.
Dann entweder alles mal selbst durchspielen oder Tante google befragenNur leider ist zum Backup dort nicht beschrieben außer meiner Formulierten Frage, die dort ebenfalls als Szenario vorgestellt wird.
https://support.redstor.com/hc/en-gb/articles/115002698814-572-Restoring ...
https://www.google.com/search?q=restore+using+wbadmin
Gruß,
Peter
Ich kopiere das mal aus meinem Artikel:
--
You need to be aware that this is a decision with security implications. If you set up your users as non-admins for a reason, this reason will normally be “they should not mess with the PC configuration, nor should they be able to decrypt or manipulate the pc in any malicious way, be it reading out confidential data or passwords of others, or be it retrieving license keys (that are only accessible by admins)”.
So how can we achieve that goal without at the same time allowing them to mess with system security? The answer is straight and easy: You need to use scripts that do not interact with the user.
User interaction means visibility of the script execution in terms of a window that the user might click on – this needs to be avoided. So any commands that you run need to be working without requiring user input. Furthermore, the script file itself must not be writable by the user, else, he would be able to change it at will and execute whatever he wanted. You achieve that by simply putting the script into a non-writable folder, we created c:\windows\admin for that.
Ok, now let’s put this to action. I will pick scenario 2 as an example: Disabling and re-enabling the NIC
1st, as admin, we will create a batch script: c:\windows\admin\NIC_restart.bat – the contents will need to be just three lines of code:
(The timeout command makes the system wait for a little until the NIC is ready to be re-enabled.)
Please note: For those of you who want to work with this example: you will need to adapt "Local Area Connection” to match the name of your active NIC as seen in ncpa.cpl, as it could be different and is language dependent.
2nd, as admin, we need to create a scheduled task and set it like this:
Taskname: “NIC_restart”
Executing account: system
Task action: c:\windows\admin\NIC_restart.bat
Trigger: On event, Log: Application, Source Application, Event ID: 999
[choosing the odd number 999 has a reason: it is not in use by windows]
For those of you unfamiliar with scheduling event triggered tasks: what we have created is a task, that launches whenever an event log entry of that kind is created.
3rd and final step: provide the user with a batch file NIC_Restart_Task.bat that he may place in his personal folders or the desktop that triggers that task by writing to the event log in the requested manner. That batch would go:
You prefer to provide a Powershell script? Sure. Just save it as NIC_Restart_Task.ps1and make it:
That’s it. If the user launches that batch/that Powershell script, the NIC will be disabled and re-enabled using administrative powers. Do this test now, it is easy and takes only 2 minutes to set up. The sole requirement is to have a Powershell script execution enabled (set-executionpolicy remotesigned).
If you followed this far, you might ask yourself
This looks like a funny method - why on earth would Microsoft make it that hard?
Good question. In fact, it did not use to be that hard on OS' prior to windows 10. On windows 2000 to windows 8.1, for example, we could simply alter the permissions on task files and registry keys to allow others to use them. Windows 10/Server 2016 made it finally even more complicated if not impossible (see "Windows Server 2016 and scheduled tasks" for a confirmation) - I once asked on the Technet forum and no MS expert was able to tell me what other, official method should be used for this goal – in fact, they were not even aware of this method.
Why would Microsoft not mention anywhere that the way I show is even possible?
As I wrote, it has security implications and since many company administrators have no idea what they are doing, changing these task ACLs, Microsoft saw overall security endangered. Since only a few people will even need this, they removed it completely (or so my theory goes). So be warned (again) and use this with caution: never enable users to modify the scripts that you enable them to use as system account! The scripts need to remain in restricted folders like my example folder c:\windows\admin which you can create below c:\windows, which is already protected.
--
You need to be aware that this is a decision with security implications. If you set up your users as non-admins for a reason, this reason will normally be “they should not mess with the PC configuration, nor should they be able to decrypt or manipulate the pc in any malicious way, be it reading out confidential data or passwords of others, or be it retrieving license keys (that are only accessible by admins)”.
So how can we achieve that goal without at the same time allowing them to mess with system security? The answer is straight and easy: You need to use scripts that do not interact with the user.
User interaction means visibility of the script execution in terms of a window that the user might click on – this needs to be avoided. So any commands that you run need to be working without requiring user input. Furthermore, the script file itself must not be writable by the user, else, he would be able to change it at will and execute whatever he wanted. You achieve that by simply putting the script into a non-writable folder, we created c:\windows\admin for that.
Ok, now let’s put this to action. I will pick scenario 2 as an example: Disabling and re-enabling the NIC
1st, as admin, we will create a batch script: c:\windows\admin\NIC_restart.bat – the contents will need to be just three lines of code:
netsh interface set interface name="Local Area Connection" admin=DISABLED
timeout 3
netsh interface set interface name="Local Area Connection" admin=ENABLED (The timeout command makes the system wait for a little until the NIC is ready to be re-enabled.)
Please note: For those of you who want to work with this example: you will need to adapt "Local Area Connection” to match the name of your active NIC as seen in ncpa.cpl, as it could be different and is language dependent.
2nd, as admin, we need to create a scheduled task and set it like this:
Taskname: “NIC_restart”
Executing account: system
Task action: c:\windows\admin\NIC_restart.bat
Trigger: On event, Log: Application, Source Application, Event ID: 999
[choosing the odd number 999 has a reason: it is not in use by windows]
For those of you unfamiliar with scheduling event triggered tasks: what we have created is a task, that launches whenever an event log entry of that kind is created.
3rd and final step: provide the user with a batch file NIC_Restart_Task.bat that he may place in his personal folders or the desktop that triggers that task by writing to the event log in the requested manner. That batch would go:
powershell Write-EventLog -LogName Application -Source "Application" -EventId 999 -message 'This event was created by %username% for the sole purpose to launch the task NIC_restart' You prefer to provide a Powershell script? Sure. Just save it as NIC_Restart_Task.ps1and make it:
Write-EventLog -LogName Application -Source "Application" -EventId 999 -message "This event was created by $env:username for the sole purpose to launch the task NIC_restart" That’s it. If the user launches that batch/that Powershell script, the NIC will be disabled and re-enabled using administrative powers. Do this test now, it is easy and takes only 2 minutes to set up. The sole requirement is to have a Powershell script execution enabled (set-executionpolicy remotesigned).
If you followed this far, you might ask yourself
This looks like a funny method - why on earth would Microsoft make it that hard?
Good question. In fact, it did not use to be that hard on OS' prior to windows 10. On windows 2000 to windows 8.1, for example, we could simply alter the permissions on task files and registry keys to allow others to use them. Windows 10/Server 2016 made it finally even more complicated if not impossible (see "Windows Server 2016 and scheduled tasks" for a confirmation) - I once asked on the Technet forum and no MS expert was able to tell me what other, official method should be used for this goal – in fact, they were not even aware of this method.
Why would Microsoft not mention anywhere that the way I show is even possible?
As I wrote, it has security implications and since many company administrators have no idea what they are doing, changing these task ACLs, Microsoft saw overall security endangered. Since only a few people will even need this, they removed it completely (or so my theory goes). So be warned (again) and use this with caution: never enable users to modify the scripts that you enable them to use as system account! The scripts need to remain in restricted folders like my example folder c:\windows\admin which you can create below c:\windows, which is already protected.
Moin zusammen, ich werde dies nochmal genauer Testen.
Bisher habe ich eine Batch Datei angelegt mit WB-Admin, die meinen PC ins Netzwerk sichert.
Da ich lokal selbst Administrator bin erstmal nicht das Problem bezüglich "als Admin ausführen"
Dies werde ich noch mit einem Normal User Account testen.
Alternative würde wohl auch Veeam werden können. Da es bereits für unsere Server eingesetzt wird könnte ich mir dort einen eigenen Client-Bereich vorstellen.
Gruß
Futschel
Bisher habe ich eine Batch Datei angelegt mit WB-Admin, die meinen PC ins Netzwerk sichert.
Da ich lokal selbst Administrator bin erstmal nicht das Problem bezüglich "als Admin ausführen"
Dies werde ich noch mit einem Normal User Account testen.
Alternative würde wohl auch Veeam werden können. Da es bereits für unsere Server eingesetzt wird könnte ich mir dort einen eigenen Client-Bereich vorstellen.
Gruß
Futschel
Leider hat bisher nix direkt weitergeholfen.
Bei genauerem betrachten der verschiedenen Systeme ist uns eine entscheidende Kleinigkeit aufgefallen.
Die System mit dem Problem sind alle aus einem MDT Image installiert worden.
Eine saubere Windows Installation mit WDS oder Original Datenträger hat diese Probleme nicht.
Was könnte nun der MDT verbiegen ?
MfG
Futschel
Bei genauerem betrachten der verschiedenen Systeme ist uns eine entscheidende Kleinigkeit aufgefallen.
Die System mit dem Problem sind alle aus einem MDT Image installiert worden.
Eine saubere Windows Installation mit WDS oder Original Datenträger hat diese Probleme nicht.
Was könnte nun der MDT verbiegen ?
MfG
Futschel
