Benutzer nur für Backup

[petzi]

Und exakt DESHALB das andere Konto. NIEMAND außer dem Backup Task muß das dürfen.

Ich fange mal mit deinem Schlusssatz an. Auch, weil du die Sache scheinbar aus einem anderen Blickwinkel betrachtest.
Sorry, wenn ich wieder "erfinde" oder "interpretiere".

Heißt das, man braucht einen "BackupAdmin" (mit all den Rechten, die man halt für ein g'scheites, tiefes Sichern braucht, ausgestattet ist) nur fürs Backup. Fertig, aus.
Und ich entnehme daraus: Sonst braucht man nie so viel Rechte, der Standardnutzer sollte für fast alles andere reichen.

Was ja eigentlich eh der uralte, stets empfohlene Status bei Win ist, oder?
Der Installateur, der Admin legt ein Standard-Konto an und fortan reicht das für 99% aller Sachen.
Der Admin braucht sich nur bei administrativen Aufgaben wieder anmelden, wie eben z.B. ... Backup.

Etliche deiner Ausführungen verstehe ich nur am Rande, aber das alles bez. Automatisierung, Inkompatibilitäten, Kontosicherheit, ... usw. scheint in die Richtung zu weisen: Lass dem Admin das Backup machen, ansonsten lass den Admin abgemeldet und fahr mit dem Standardkonto.

Natürlich geht das unter Home so nicht

Das musste ich schon mal lernen, das Home nicht über so umfangreiche Einstellungen verfügt. Irgendwas mit "Gruppenrichtlinie" fällt mir da ein.

Backuptasks benötigen tatsächlich sehr weitgehende Berechtigungen.

Naja, da ich wie gesagt (in dem Fall) zu 99% mal nur die eignen Dateien sichere, ist das nicht ganz so.
Ich habs vorhin probiert: Und ja, man konnte alles auch ohne Admin sichern, aber genau die erwarteten Verzeichnisse aus AppData warfen die erwartete Meldung:
z.B. "Verzeichnis: C:\Users\petzi\AppData\Roaming\XnView\., Fehler: Zugriff verweigert" usw.

Dh. im Umkehrschluss: Wenn ich diese Anwendungsdaten nicht sichere, würde es auch ohne Adminrecht klappen.
Nur zum einen brauche ich einige AppData Sachen und im Falle eine Systemimages kann man sich ohne Admin komplett verabschieden.

sogar "verweigerte" Daten zu lesen (und schreiben).

Eben. Auch diese "Schattenkopien" gehen dann ja nicht

Ergänzung (31. Dezember 2022)

In der E-Mail geht es doch nicht um den lokalen Benutzer, sondern um den Benutzer, mit dem auf das NAS zugegriffen werden kann.

Achso ... ja ...
Das mit NAS wäre interessant, aber nix für Dummies. Das schaffe ich eh nicht.

Wenn die Software nicht in der Lage ist, mit einem vom Backup-Nutzer abweichenden Benutzer auf eine Netzwerk-Freigabe zuzugreifen, dann gehört das Programm eh in die Tonne

Verstehe ...

Und mit Verlaub: Diesem Benutzer würde ich auf dem NAS auch nur Zugriff auf die entsprechenden Backup-Freigabe erteilen - mehr nicht. So omnipotent muss die Backup-Software auch nicht sein.

Eh klar. Sicherlich hat der Supporter das in den weiteren Absätzen so erklärt und ich hab wie so oft einiges falsch verstanden ...
Ein NAS ist weit über meinem geistigen Horizont, auch wenn ich das faszinierend finde und das ständige abstöpseln der ext. Laufwerke ersparen würde. (aber bitte nun keine Empfehlungen bez. NAS, das ist dzt. nicht am Radar.)

 

[tollertyp]

Ist OT, aber ein NAS ist auch keine Raketenwissenschaft. Das Unbekannte klingt meist erst mal "kompliziert", aber ein Consumer-NAS ist auch für Laien einigermaßen leicht zu konfigurieren.

 

[petzi]

Ich vermute einfach mal die Aussage, das ein expliziter Benutzer fürs Backup sicherer ist, kommt eher aus dem Firmenumfeld.

Stimmt! Die von NovaBACKUP sind hpts. für Unternehmen da, aber nicht nur.
Und mir gefiel eben deren "NovaBACKUP PC", etwas umständlicher als vergleichbare Tools, aber sehr zuverlässig, schnell und das einzige Tool, das ich ansatzweise kapiert habe.

 

[Giggity]

Ganz einfaches Beispiel:
Es gibt ein NAS Benutzer A hat nur Leserechte auf Freigabe Backup.

Benutzer B hat Schreibrechte und macht die Backups.

(Benutzer A und B sind NAS Benutzer)

Sollte Windows Konto bzw Benutzer A gehackt werden kann man die Backups nicht löschen.

 

[tollertyp]

Außer - aber das ist unwahrscheinlich - die Credentials für den Backup-User werden irgendwie aus dem Backup-Programm "extrahiert". Aber das ist eher schon ein akademischer Fall, genauso könnte ja auch eine Sicherheitslücke auf dem NAS missbraucht werden usw...

Das sind dann eher Fälle für gezielte Angriffe, bei den typischen Angreifern nach dem Gießkannen-Prinzip gilt es ja, sich auf das zu konzentrieren, was die breite Masse verwendet.

 

[Ja_Ge]

Es geht hpts. um die Sicherung der "eigenen" Dateien + TB, FF Profil. Sonst nix.
Ergo auch Restore nur derselben.

Dann ist es doch ganz einfach da du eh Admin bist, sichern auf eine externe Festplatte und / oder ein NAS, indem du die Dateien regelmäßig kopierst und gut ist. Das ginge auch mit Boardmitteln wie xcopy oder robocopy, oder kostenlose Tools wie Synbackup, Personalbackup & co. Da braucht es weder einen weiteren Admin noch irgendwelche teuer bezahlen Lösungen.

Mehrstufig ist am besten, und wie schön geschrieben nach Backup das Medium entfernen. Externe Festplatte und NAS kostet beides nicht die Welt, warum nicht parallel betreiben. Cloud-Lösungen können je nach Leitung und Datenmenge auch parallel zur heimischen Sicherung funktionieren, wenn man die Dateien z.B. verschlüsselt hochläd.

 

[snaxilian]

@Ja_Ge Das vom TE verwendete Backupprogramm nutzt wie die meisten Backupprogramme VSS unter Windows, macht also Snapshots der Volumes und um VSS triggern zu können braucht man mindestens eine Mitgliedschaft in der Gruppe "backup operators". Wenn der TE keine Volumes von der Sicherung ausschließt dann sind auch die eigenen Daten damit gesichert.
https://learn.microsoft.com/en-us/w...e/understand-security-groups#backup-operators
Ja, die Doku bezieht sich hier auf AD-Rollen & -Berechtigungen aber gilt ebenso für lokale Gruppen.

 

[petzi]

Ein gutes Neues 2023 auch allen!​

@Giggity, dein

Ganz einfaches Beispiel

verstehe ich vllt. erst, wenn ich mir auch mal so ein NAS leiste und das in der Praxis sehen, begreifen kann.

Aber zeigt mir, dass mein Gerede vom "BackupAdmin" echt eher nur für so fortgeschrittene Sicherungs-Strategien, v.a. in Firmen empfehlenswert ist. Für das simple sichern auf eine temp. angehängte ext. Platte ist das unnötig.
Aber unnötig != schlecht. Daher werde ich es mal so machen:

• Systemimages und Dateisicherungen, welche ja auch Anwendungsdaten beinhalten, mit dem Admin-Konto
• Dh. ich kann wie immer mit dem Standard-Konto fahren, die Backup-SW switcht eh fürs Backup zum Admin.

Das ginge auch mit Boardmitteln

Ne, mit sowas komme ich nie zurecht und schon gar keiner im Haushalt, Homeoffice, usw. ...

kostenlose Tools wie

habe wochenlang Tools getestet, doch ich kam mit kaum einem zurecht, egal wie gratis oder teuer

Personalbackup

Das ist wohl gratis und sehr gut, mein Platz 2 hinter NovaBACKUP.
Aber es ist noch umfangreicher als mein Favorit. Und das will was heißen, denn einige Testportale beschrieben NovaBACKUP als "nur für Firmen mit IT-Abteilung ... kaum ein privater Nutzer wird sich die umfangreiche Konfiguration antun". (naja, ich finde, es ist umständlicher als die 3-Klick-Lösungen von Acronis, Paragon, Aomei & Co, aber weit einfacher als PersonalBackup)

Externe Festplatte und NAS kostet beides nicht die Welt, warum nicht parallel betreiben.

Das wär toll: Alles am NAS und daran temp. eine ext. Platte. Aber das ist vllt. für später mal ein Plan. Dzt. sind andere Ausgaben wichtiger und so ein NAS kostet schon eine Menge.

um VSS triggern zu können braucht man mindestens eine Mitgliedschaft in der Gruppe "backup operators".

Und da man mit Win "Home" das ang. nicht so fein abstimmen kann (einen Nutzer, der nur backuppen darf (falls das überhaupt möglich ist?)), muss halt der normale Admin das machen.

die Doku bezieht sich hier auf AD-Rollen

Da hakts bei mir schon aus, ich habe keinen Dunst, was "AD" ist. Glaube Active Directory oder so. Aber ich wills gar nicht wissen, denn evtl. kann man mit der Home eh nicht da rein. (was in meinem Fall gut ist, ansonsten qualmts)