9
Wbadmin - Backupuserpasswort verschlüsselt übergeben?
Hallo zusammen
Ich stolperte gestern über das Tool wbadmin.exe (in diesem Forum). Da ich momentan gerade nach einem Backuptool suche, welches automatisch die Clientcomputer backupt und auf ein NAS speichert, schaute ich mir das mal näher an. Das ganze scheint wie folgt auch zu funktionieren:
wbadmin.exe ENABLE BACKUP -addtarget:\\NAS\Ordner\ -schedule:19:00 -allCritical -vssFULL -user:DOMAIN\backupuser -password:XXX
Da ich das ganze über einen Backup-User lösen will, welcher lokal einfach in der Sicherungsoperatoren-Gruppe ist, wäre ich froh wenn das Passwort jedoch verschlüsselt übergeben wird.
(Grund: Verschlüsselungsvirus --> wenigstens Backup-Images der Clients nicht betroffen)
Ist dies mit wbadmin.exe überhaupt möglich?
Allenfalls gibt es auch eine viel einfachere Lösung, bin froh um alle Erfahrungswerte!
Würde mir auch schon helfen wenn ihr einen Link kennt wo ich solche Verschlüsselungsthematiken finden kann.
Habe im Zusammenhang mit wbadmin in google leider nichts gefunden.
Danke und Gruss aus der Schweiz
KMUlife
Ich stolperte gestern über das Tool wbadmin.exe (in diesem Forum). Da ich momentan gerade nach einem Backuptool suche, welches automatisch die Clientcomputer backupt und auf ein NAS speichert, schaute ich mir das mal näher an. Das ganze scheint wie folgt auch zu funktionieren:
wbadmin.exe ENABLE BACKUP -addtarget:\\NAS\Ordner\ -schedule:19:00 -allCritical -vssFULL -user:DOMAIN\backupuser -password:XXX
- Windows 10
- Synologoy (NAS)
- Windows SBS Server 2008
Da ich das ganze über einen Backup-User lösen will, welcher lokal einfach in der Sicherungsoperatoren-Gruppe ist, wäre ich froh wenn das Passwort jedoch verschlüsselt übergeben wird.
(Grund: Verschlüsselungsvirus --> wenigstens Backup-Images der Clients nicht betroffen)
Ist dies mit wbadmin.exe überhaupt möglich?
Allenfalls gibt es auch eine viel einfachere Lösung, bin froh um alle Erfahrungswerte!
Würde mir auch schon helfen wenn ihr einen Link kennt wo ich solche Verschlüsselungsthematiken finden kann.
Habe im Zusammenhang mit wbadmin in google leider nichts gefunden.
Danke und Gruss aus der Schweiz
KMUlife
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 304338
Url: https://administrator.de/contentid/304338
Printed on: April 23, 2024 at 16:04 o'clock
9 Comments
Latest comment
Hallo,
Lege eine Task (lokal) für diesen Job an und dort dann die Credentials für deinen ausgesuchten Benutzer nutzen. Schtasks /? bspw. oder evtl. noch die PSExec von Sysinternals...
Gruß,
Peter
Lege eine Task (lokal) für diesen Job an und dort dann die Credentials für deinen ausgesuchten Benutzer nutzen. Schtasks /? bspw. oder evtl. noch die PSExec von Sysinternals...
Gruß,
Peter
Hi.
Dafür legt man ein einer Domäne keine Konten an, sondern nimmt einfach das Systemkonto, es kann auch auf das NAS schreiben, sofern Dein NAS AD-Konten versteht. Somit braucht man kein Kennwort, das Systemkonto einfach im Task als ausführendes Konto eintragen.
Dafür legt man ein einer Domäne keine Konten an, sondern nimmt einfach das Systemkonto, es kann auch auf das NAS schreiben, sofern Dein NAS AD-Konten versteht. Somit braucht man kein Kennwort, das Systemkonto einfach im Task als ausführendes Konto eintragen.
Hallo zusammen,
Danke erstmals für eure Beiträge!
Also hab das ganze jetzt mit psexec probiert zu builden. Jedoch stecke ich bei der korrekten übermittlung des "Systemkontos" fest.
Testeshalber habe ich folgende Zeile auf dem Server ausgeführt:
(Das ganze wird dann in eine Aufgabenplanung eingebunden.)
Jedoch will wbadmin immernoch ein User und pw um aufs NAS zuzugreifen. Auf dem \\NAS\wbadmin\test habe ich jedoch das "SYSTEM"-Konto als Lesen/Schreiben-Berechtigung eingebunden und das NAS ist auch in die Domain eingebunden.
*Edit* auch mit zusätzlichem -user:NT-Autorität\SYSTEM gings ned.*
Sieht gerade jemand was ich falsch mache? Bzw. reicht die Option PsExec.exe -i -s nicht um der komplette Task als NT-Autorität\SYSTEM auszuführen?
Danke für eure Hilfe!
Grüsse
KMUlife
Danke erstmals für eure Beiträge!
Also hab das ganze jetzt mit psexec probiert zu builden. Jedoch stecke ich bei der korrekten übermittlung des "Systemkontos" fest.
Testeshalber habe ich folgende Zeile auf dem Server ausgeführt:
(Das ganze wird dann in eine Aufgabenplanung eingebunden.)
C:\Windows\system32>C:\Tools\PSTools\PsExec.exe \\Computer -i -s wbadmin.exe
START BACKUP -backupTarget:\\NAS\wbadmin\test -allCritical -vssFULL -quietJedoch will wbadmin immernoch ein User und pw um aufs NAS zuzugreifen. Auf dem \\NAS\wbadmin\test habe ich jedoch das "SYSTEM"-Konto als Lesen/Schreiben-Berechtigung eingebunden und das NAS ist auch in die Domain eingebunden.
*Edit* auch mit zusätzlichem -user:NT-Autorität\SYSTEM gings ned.*
Sieht gerade jemand was ich falsch mache? Bzw. reicht die Option PsExec.exe -i -s nicht um der komplette Task als NT-Autorität\SYSTEM auszuführen?
Danke für eure Hilfe!
Grüsse
KMUlife
Du musst das Systemkonto des Rechners berechtigen, der wbadmin ausführt. Heißt der PC1, dannn muss pc1$ berechtigt werden.
Zum Test: auf "pc1" psexec -s -i cmd auf einer elevated shell ausführen -> es öffnet sich eine weitere Shell mit Systemrechten.
Dort dann
md \\nas\wbadmin\test\schreibtest
ausführen und schauen, ob es gelingt. Wenn nicht erfolgreich, checke auch die Freigaberechte, nicht nur die NTFS-Rechte.
Zum Test: auf "pc1" psexec -s -i cmd auf einer elevated shell ausführen -> es öffnet sich eine weitere Shell mit Systemrechten.
Dort dann
md \\nas\wbadmin\test\schreibtest
ausführen und schauen, ob es gelingt. Wenn nicht erfolgreich, checke auch die Freigaberechte, nicht nur die NTFS-Rechte.
Hallo DerWoWusste
Anscheinend ist trotzdem was mit den Berechtigungen nicht in Ordnung wie der Test zeigt.
Jedoch begreife ich nicht wo ich noch Berechtigunseinstellungen vornehmen muss:
Aufm Synology finde ich nur folgende Einstellung:
Übersehe ich da was?
Grüsse
KMUlife
Anscheinend ist trotzdem was mit den Berechtigungen nicht in Ordnung wie der Test zeigt.
Jedoch begreife ich nicht wo ich noch Berechtigunseinstellungen vornehmen muss:
Aufm Synology finde ich nur folgende Einstellung:
Übersehe ich da was?
Grüsse
KMUlife
Ja, du übersiehst, dass das Konto "System" das Rechnerkonto des Servers ist und nicht das des Clients. Ich lad Dir mal einen Screenshot hoch, wie es aussehen soll (zugreifendes Systemkonto ist das von PC "Mars"):
JETZT HATS KLICK GEMACHT!
DANKE =)
Also entweder ich hab anno dazumals in der Berufsschule geschlafen als man uns das erklärt hat oder ich weiß echt auch nicht. :/
Also nochmals zur "Verständnis-Klärung" für mich:
Wenn ich mit dem Systemkonto eines Rechners in einen Ordner schreiben will, welcher sich nicht lokal auf dem Rechner befindet, muss ich zwingend dem Computer Schreibrechte zu Verfügung stellen. Also Simuliert MARS$ eigentlich den Systemuser von Mars?
Heisst also Grundsätzlich, wenn ich 'n' PC's habe welche auf dem NAS ein automatisiertes Backup machen sollen. Muss ich 'n' die Berechtigungen dafür geben. Wahrscheinlich funktioniert das in diesem Fall auch mit einer Gruppe wo alle 'n' PCs drin sind?!
- In welchen Fällen braucht man das Rechnerkonto sonst noch?
Wenns dich kackt Lehrer für mich zu spielen würde ich das verstehen
.
Aber Mensch heute habe ich was Wichtiges dazugelernt
.
Grüsse
KMUlife
DANKE =)
Also entweder ich hab anno dazumals in der Berufsschule geschlafen als man uns das erklärt hat oder ich weiß echt auch nicht. :/
Also nochmals zur "Verständnis-Klärung" für mich:
Wenn ich mit dem Systemkonto eines Rechners in einen Ordner schreiben will, welcher sich nicht lokal auf dem Rechner befindet, muss ich zwingend dem Computer Schreibrechte zu Verfügung stellen. Also Simuliert MARS$ eigentlich den Systemuser von Mars?
Heisst also Grundsätzlich, wenn ich 'n' PC's habe welche auf dem NAS ein automatisiertes Backup machen sollen. Muss ich 'n' die Berechtigungen dafür geben. Wahrscheinlich funktioniert das in diesem Fall auch mit einer Gruppe wo alle 'n' PCs drin sind?!
- In welchen Fällen braucht man das Rechnerkonto sonst noch?
Wenns dich kackt Lehrer für mich zu spielen würde ich das verstehen
.Aber Mensch heute habe ich was Wichtiges dazugelernt
.Grüsse
KMUlife
Wenn man auf PC A (welcher Mitglied der selben Domäne ist wie ein zweiter (Ziel-)PC B) das Systemkonto nutzen will, um auf Freigaben von B zu kommen, so muss man in der ACL auf B das Konto A$ berechtigen oder die Domänengruppe "Domänen-Computer", wenn man gleich alle Rechnerkonten berechtigen will. [Das heißt übrigens keineswegs, dass nun jeder Nutzer von PC A Zugriff bekommt, nein, nur das Systemkonto].
Das Rechnerkomnto wird in erster Linie dann benutzt, wenn der Rechner startet und sich mit dem Domänencontroller "unterhält". Es greift zu auf \\DC\sysvol und \\dc\netlogon und schaut nach, ob Gruppenrichtlinien für den Rechner umgesetzt werden müssen.
Ich verwende auch sehr gerne das Systemkonto, wenn ich alle Firmenrechner "bitten will", regelmäßig etwas zu erledigen, beispielsweise ein Log zu schreiben über lokale Probleme wie Abstürze, Füllstand der Platten oder sonstwas - da verteile ich dann geplante Aufgaben per GPO, die mit dem Rechnerkonto laufen und somit alles auf dem PC machen dürfen (selbe bzw. teilweise noch höhere Rechtestufe als das lokale Adminkonto).
Wa man falsch machen kann/bedenken muss: lokale Administratoren können problemlos als Systemkonto handeln und somit muss man sich klar machen, dass alle Freigaben, die man dem Systemkonto von Rechner A bereitstellt, auch von ggf. vorhandenen lokalen Administratoren von diesem Rechner A ausgelesen werden können. Beispiel: Du willst eine Software verteilen und schreibst ein Skript, das installiert und gleich die teuer gekaufte Seriennummer mit übergibt. Der neugierige Entwickler auf PC A (er ist lokaler Administrator) hat dies mitbekommen und nimmt sich einfach psexec (wie oben schon dargestellt), öffnet eine Shell als System, und liest nun munter alle Skripte durch, die in Sysvol liegen und schreibt sich die teure Seriennummer einfach auf und verkauft sie...
Das Rechnerkomnto wird in erster Linie dann benutzt, wenn der Rechner startet und sich mit dem Domänencontroller "unterhält". Es greift zu auf \\DC\sysvol und \\dc\netlogon und schaut nach, ob Gruppenrichtlinien für den Rechner umgesetzt werden müssen.
Ich verwende auch sehr gerne das Systemkonto, wenn ich alle Firmenrechner "bitten will", regelmäßig etwas zu erledigen, beispielsweise ein Log zu schreiben über lokale Probleme wie Abstürze, Füllstand der Platten oder sonstwas - da verteile ich dann geplante Aufgaben per GPO, die mit dem Rechnerkonto laufen und somit alles auf dem PC machen dürfen (selbe bzw. teilweise noch höhere Rechtestufe als das lokale Adminkonto).
Wa man falsch machen kann/bedenken muss: lokale Administratoren können problemlos als Systemkonto handeln und somit muss man sich klar machen, dass alle Freigaben, die man dem Systemkonto von Rechner A bereitstellt, auch von ggf. vorhandenen lokalen Administratoren von diesem Rechner A ausgelesen werden können. Beispiel: Du willst eine Software verteilen und schreibst ein Skript, das installiert und gleich die teuer gekaufte Seriennummer mit übergibt. Der neugierige Entwickler auf PC A (er ist lokaler Administrator) hat dies mitbekommen und nimmt sich einfach psexec (wie oben schon dargestellt), öffnet eine Shell als System, und liest nun munter alle Skripte durch, die in Sysvol liegen und schreibt sich die teure Seriennummer einfach auf und verkauft sie...
Zitat von @DerWoWusste:
[Das heißt übrigens keineswegs, dass nun jeder Nutzer von PC A Zugriff bekommt, nein, nur das Systemkonto].
[Das heißt übrigens keineswegs, dass nun jeder Nutzer von PC A Zugriff bekommt, nein, nur das Systemkonto].
Das ist noch Wichtig
.Super! Danke vielmals für die Hilfe & Erklärungen @DerWoWusste!
Grüsse und n schöner Tag
KMUlife
