Modifica dell'account di accesso su sistemi Windows

Nella scheda Seleziona componenti dell'agente, definire l'account nel quale eseguire i servizi specificando Account di accesso per il servizio agente. È possibile selezionare una delle seguenti opzioni:

  • Usa gli account degli utenti del servizio (impostazione predefinita per il servizio agente)

    Gli account degli utenti del servizio sono account di sistema Windows usati per eseguire i servizi. Questa impostazione è vantaggiosa perché i criteri di sicurezza del dominio non influiscono sui diritti utente di questi account. Per impostazione predefinita l’agente viene eseguito con l'account Sistema locale.

  • Crea un nuovo account

    Il nome account sarà l'Agent User dell'agente.

  • Usa il seguente account

    Se l'agente viene installato in un controller di dominio, il sistema chiede di specificare gli account esistenti (o lo stesso account) per l'agente. Per motivi di sicurezza, il sistema non crea automaticamente nuovi account su un controller di dominio.

    All'account utente specificato deve essere assegnato il diritto Accedi come servizio quando il programma di installazione viene eseguito su un controller di dominio. Questo account deve essere già stato utilizzato nel controller di dominio, affinché la cartella del relativo profilo possa essere creata in tale sistema.

    Vedere anche Utilizzo degli account gMSA con l'agente Cyber Protection.

    Per ulteriori informazioni sull'installazione dell'agente in un controller di dominio di sola lettura, consultare questo articolo della Knowledge Base.

Se si sceglie l’opzione Crea un nuovo account o Usa il seguente account, verificare che i criteri di sicurezza del dominio non influiscano sui diritti degli account correlati. Se un account viene privato dei diritti utente assegnati durante l’installazione, il componente potrebbe non funzionare correttamente.
Non è consigliabile modificare manualmente gli account di accesso una volta completata l'installazione.

Privilegi richiesti per l'account di accesso

L'agente di Cyber Protection per Windows viene eseguito come servizio MMS (Managed Machine Service) su sistemi protetti Windows. L'account nel quale viene eseguito l'agente dispone delle credenziali per il corretto funzionamento dell'agente stesso. L'account utente del servizio MMS deve essere configurato come segue:

  1. L'utente deve essere incluso nei gruppi Operatori di Backup e Administrators. Nel controller di dominio, l'utente deve essere incluso nel gruppo degli amministratori di dominio.
  2. All'utente è concessa l'autorizzazione Controllo completo per la cartella %PROGRAMDATA%\Acronis e le sue sottocartelle. Per
  3. All'utente è concessa l'autorizzazione Controllo completo per le chiavi di registro all'interno della chiave seguente: HKEY_LOCAL_MACHINE\SOFTWARE\Acronis.

  4. All'utente sono assegnati i diritti utente seguenti:

    • Accesso come servizio
    • Regolazione limite risorse memoria per un processo
    • Sostituzione di token a livello di processo
    • Modifica dei valori di ambiente firmware

Come assegnare i diritti utente

Attenersi alla procedura seguente per assegnare i diritti utente; questo esempio utilizza il diritto utente Accesso come servizio, ma i passaggi sono gli stessi per gli altri diritti utente:

  1. Accedere al computer utilizzando un account con privilegi di amministrazione.
  2. Da Pannello di controllo di Windows, aprire Strumenti di amministrazione, quindi aprire Policy di sicurezza locali.
  3. Espandere le Policy locali e fare clic su Assegnazione diritti utente.
  4. Nel riquadro di destra, fare clic con il pulsante destro del mouse su Accesso come servizio e selezionare Proprietà.
  5. Fare clic sul pulsante Aggiungi utente o gruppo... per aggiungere un nuovo utente.
  6. Nella finestra Seleziona utenti, computer, account di servizio o gruppi, individuare l'account a cui si desidera assegnare questo privilegio e fare clic su OK.
  7. Fare clic su OK in Accesso come servizio > Proprietà per salvare le modifiche.

Accertarsi che l'utente aggiunto al diritto utente Accesso come servizio non sia elencato nel criterio Nega accesso come servizio in Criteri di sicurezza locali.

Utilizzo degli account gMSA con l'agente Cyber Protection

Gli account di servizio gestiti di gruppo (gMSA) possono essere utilizzati per eseguire servizi su più server senza dover gestire la password.

La seguente procedura è applicabile se si desidera modificare l'account utente utilizzato dall'agente Acronis Cyber Protection dopo l'installazione, in modo che l'agente possa utilizzare un gMSA.

Tutti i piani di protezione precedentemente assegnati al sistema su cui si sta modificando l'account di accesso smetteranno di funzionare e sarà necessario revocarli e riapplicarli dopo aver modificato l'account.

Per abilitare l'uso di un gMSA per l'agente Cyber Protection

  1. Creare un gMSA seguendo la procedura standard documentata nella Microsoft Knowledge Base.
  2. Configurare il gMSA come descritto nella sezione Privilegi richiesti per l'account di accesso.
  3. Assegnare il gMSA come account di accesso per il servizio MMS nel sistema in cui viene eseguito l'agente.

    1. Aprire il menu Start di Windows e immettere services.msc per aprire l'elenco dei servizi locali.

    2. Fare clic con il pulsante destro del mouse su Acronis Managed Machine Service e su Proprietà.

    3. Nella scheda Accesso, selezionare Questo account e quindi fare clic su Sfoglia per trovare il gMSA che si desidera utilizzare.

    4. Fare clic su OK.

  4. Applicare i piani di protezione secondo necessità.
    • Se erano stati applicati dei piani di protezione al sistema prima di cambiare l'account di accesso, revocare tali piani e riapplicarli.
    • Se non erano stati applicati piani di protezione al sistema, crearne di nuovi o selezionare dei piani esistenti e applicarli.