问候
我的任务是创建一个自动备份系统,将用户的主驱动器备份到我们在文件服务器上的各自网络驱动器。经过很多麻烦才真正实现这一点,我终于找到了一个使用 robocopy 的好解决方案。唯一的问题是,它要求用户属于本地备份操作员组才能执行操作。我阅读了一些有关 GPO 中的受限用户的信息,所以我使用受限用户,将“域用户”组添加到每台计算机的本地备份操作员组。它正在执行我需要它使用 robocopy 执行的功能,但我对 Windows/AD 管理有点陌生,我本身并不是专家。将“域用户”组添加到每台计算机的备份操作员组会带来哪些(如果有的话)安全风险?
谢谢您的任何帮助或建议,我们将不胜感激。
答案1
这肯定太宽泛了。备份操作员可以访问您的主机。域用户是您域中的每个人。因此,现在您域中的任何人都可以访问您所有主机上的大多数文件。这不是一个好的安全态势。
最好创建一个全局组,例如“Robocopy 用户”,并添加需要使用 robocopy 进行备份的域用户(JohnC、MaryK),然后使用受限用户 GPO 将该全局组添加到备份操作员组。
答案2
这只是个想法,但如果您要从本地计算机备份到文件服务器,您可以让该文件共享拥有管理员和创建者所有者的完全访问权限,然后授予经过身份验证的用户创建文件夹的能力。这将允许他们创建他们可以拥有的文件夹,因此他们将拥有对该文件夹的完全访问权限,并且只能访问该文件夹。