域安全建议:备份操作员组

Question

问候

我的任务是创建一个自动备份系统，将一个用户的家庭驱动器备份到他们各自的网络驱动器上，我们在一个文件服务器上。在经历了大量的麻烦之后，我终于找到了一个使用机器人复制的好解决方案。唯一的问题是它要求用户在本地备份操作符组中才能执行操作。我读了一些关于GPO中受限用户的文章，所以我使用受限用户，我将“域用户”组添加到每个计算机本地备份操作员组中。它执行的功能，我需要它做的机器人复制，但我是一个新的Windows/AD管理，我不是一个专家本身。通过将“域用户”组添加到每个机器的备份操作员组中，我打开了哪些(如果有的话)安全风险？

谢谢您的帮助和建议，非常感谢。

Answer 1

这绝对太宽泛了。备份操作员可以访问您的主机。域用户是域上的每个人。因此，现在您域中的任何人都可以访问所有主机上的大多数文件。不是很好的安全姿势。

最好创建一个全局组，比如"Robocopy用户“，并添加需要使用机器人复制进行备份的域用户(JohnC、MaryK)，然后使用受限用户GPO将该全局组添加到备份操作员组中。

Answer 2

这只是一个想法，但是如果您要从本地机器备份到文件服务器，您可以让该文件共享拥有管理员和Creator所有者的完全访问权，然后赋予经过身份验证的用户创建文件夹的能力。这将允许他们创建他们能够拥有的文件夹，这样他们就可以完全访问该文件夹，并且只有该文件夹。