我正在使用 WBADMIN 将多个客户端备份到某些 Synology NAS 使用 SMB 发布的共享。该 NAS 集成在我的 Server 2019 AD 中,并且备份的 Windows 客户端是同一域的一部分。我的方法是在 AD 中为每个客户端创建一个特殊的备份用户,并仅为该用户配置对共享的访问权限。之后,我在 Windows 客户端的任务调度程序中创建了一个自定义任务,以执行一个 PowerShell 脚本,其中包含一些日志管理、发送邮件和类似的小东西来包装 WBADMIN 的执行。
重要的部分是创建的任务使用专门创建的域用户的凭据执行,仅用于备份这个客户端。所以最后我在 AD 中有 users 等backup_host1_wib。backup_host2_wib所有这些用户已经是域控制器上的组备份操作员的一部分,因为他们需要特殊权限才能由任务计划程序执行,访问要备份的文件等等。问题是即使这些用户被包含在内在域控制器上的该组中,客户端的任务计划程序拒绝执行任务,因为缺乏运行任务的权限。
相反,我需要做的是让每个主机的每个备份用户也成为客户端本地组备份操作员的成员。之后任务成功执行,WBADMIN 创建图像,一切都按预期工作。不过,因为我已经将这些用户添加到域控制器上的备份操作员中,所以我预计该组成员身份也会与各个客户端通信,并且我不需要手动为每个客户端分配组成员身份。
那么,这个特殊的组成员资格不向个人客户发布是设计行为还是我做错了什么?在我测试时,AD 上的组成员身份可能还没有发布给我的测试客户吗?虽然我认为我什至重新启动它并没有改变任何东西。
我是否真的需要创建一个 GPO 来让每个特殊备份用户获得每个相应客户端的预期权限,如下文所述?
对我来说没有太大意义,因为提到的 GPO 已经包含组备份操作员,并且添加到该组对我来说似乎更容易。
谢谢!
是的 - 众所周知,根据设计,域的“备份操作员”组与每台机器的“备份操作员”组不同。正如域的“管理员”组或“远程桌面用户”组不会自动与相关的本地组“同步”。它们是存在于不同范围内的同名对象。
“Backup Operators”是所有机器上的内置本地组。由于域控制器实际上没有本地组,因此域中的 BUILTIN\Backup Operators 组实际上是所有域控制器的“本地”备份操作员组。事实上,“BuiltIn”容器中的所有组本质上都是最初提升林中第一个域控制器时存在的原始本地组。链接文章中的默认值是指具有开箱即用所述用户权限的本地组。
我会重新考虑你目前的做法。您通过域的备份操作员组中的众多帐户(因为他们的备份权限)有效地实现了对您的域和敏感数据的攻击向量呈指数级扩大;这些帐户中的每一个(其密码现在存储在您的整个网络中)都能够远程连接到域控制器,执行备份(获取 ntds.dit 的副本以进行离线分析和破解)并恢复您的 Active Directory - 或可能是损坏或受损的副本。
我建议立即从域组中删除这些帐户。
实现您正在寻找的目标的一个方法是:
如何通过每台机器的专用用户帐户更轻松地实现这一点(我的看法)。
警告:如果指定帐户不存在,您将在机器的日志中生成警告事件。要么从 GPO 中排除这些机器,要么只处理这些事件。
样本: