Zmienianie konta logowania na komputerach z systemem Windows

Na karcie Wybierz komponenty agenta wskaż konto, na którym będą działać usługi, w polu Konto logowania dla usługi agenta. Można wybrać jedną z następujących opcji:

  • Użyj kont użytkowników usługi (domyślne w przypadku usługi agenta)

    Konta użytkowników usługi to konta w systemie Windows używane do uruchamiania usług. Ustawienie to ma tę zaletę, że zasady zabezpieczeń domeny nie wpływają na prawa użytkowników tych kont. Domyślnie agent działa na koncie System lokalny.

  • Utwórz nowe konto

    Nazwą konta dla danego agenta będzie Agent User.

  • Użyj następującego konta

    Jeśli agent zostanie zainstalowany na kontrolerze domeny, system wyświetli monit o określenie istniejących już kont (lub tego samego konta) na potrzeby agenta. Ze względów bezpieczeństwa system nie tworzy automatycznie nowych kont na kontrolerze domeny.

    Konto użytkownika określone podczas uruchamiania programu instalacyjnego na kontrolerze domeny musi mieć przyznane prawo Logowanie jako usługa. Konto to musi już być używane na kontrolerze domeny, aby jego folder profilu został utworzony na tym komputerze.

    Zobacz także: Używanie kont gMSA z agentem Cyber Protection.

    Dodatkowe informacje o instalowaniu agenta na kontrolerze domeny w trybie tylko do odczytu można znaleźć w tym artykule z bazy wiedzy Knowledge Base.

W przypadku wybrania opcji Utwórz nowe konto lub Użyj następującego konta dopilnuj, aby zasady zabezpieczeń domeny nie wpływały na prawa powiązanych kont. Jeśli konto straci prawa użytkownika przypisane podczas instalacji, komponent może działać niepoprawnie lub wcale nie działać.
Warto zauważyć, że nie zaleca się ręcznej zmiany konta logowania po zakończeniu instalacji.

Uprawnienia wymagane w przypadku konta logowania

Agent Cyber Protection dla systemu Windows jest uruchamiany jako usługa Managed Machine Service (MMS) na chronionych komputerach z systemem Windows. Aby agent działał jak należy, konto, na którym zostanie uruchomiony, musi mieć określone prawa. Dlatego konto użytkownika usługi MMS należy skonfigurować następująco:

  1. Przynależność do grup Operatorzy kopii zapasowych i Administratorzy. W przypadku kontrolera domeny użytkownik musi należeć do grupy Administratorzy domeny.

  2. Nadane uprawnienie Pełna kontrola do folderu %PROGRAMDATA%\Acronis i jego podfolderów.

    W przypadku systemów Windows XP i Server 2003 uprawnienia należy przyznać dla folderu %ALLUSERSPROFILE%\Application Data\Acronis i jego podfolderów.

  3. Uprawnienie Pełna kontrola do pewnych kluczy rejestru w kluczu: HKEY_LOCAL_MACHINE\SOFTWARE\Acronis.

  4. Przyznane następujące prawa użytkownika:

    • Zaloguj jako usługa
    • Dostosuj przydziały pamięci dla procesu
    • Zamień token na poziomie procesu
    • Modyfikuj wartości środowiskowe oprogramowania układowego

Jak przypisać prawa użytkownika

Aby przypisać prawa użytkownika, należy postąpić zgodnie z poniższymi instrukcjami (w przykładzie posłużono się prawem użytkownika Logowanie w trybie usługi, ale instrukcje są takie same w przypadku wszystkich praw):

  1. Zaloguj się do komputera przy użyciu konta z uprawnieniami administracyjnymi.
  2. W oknie Panel sterowania w systemie Windows otwórz Narzędzia administracyjne, a następnie otwórz Zasady zabezpieczeń lokalnych.
  3. Rozwiń węzeł Zasady lokalne i kliknij Przypisywanie praw użytkownika.
  4. W prawym okienku kliknij prawym przyciskiem myszy Logowanie w trybie usługi i wybierz Właściwości.
  5. Kliknij przycisk Dodaj użytkownika lub grupę, aby dodać nowego użytkownika.
  6. W oknie Wybierz użytkowników, komputery, konta usług lub grupy znajdź konto, któremu chcesz przypisać uprawnienie, a następnie kliknij OK.
  7. W oknie Logowanie w trybie usługi > Właściwości kliknij OK, aby zapisać zmiany.

Dopilnuj, aby użytkownik, któremu przyznano prawo Logowanie w trybie usługi, nie znajdował się na liście zasad Odmowa logowania w trybie usługi w sekcji Zasady zabezpieczeń lokalnych.

Używanie kont gMSA z agentem Cyber Protection

Konta usług zarządzane przez grupy (gMSA) mogą służyć do uruchamiania usług na wielu serwerach bez zarządzania hasłem.

Poniższa procedura ma zastosowanie, jeśli chcesz zmienić konto użytkownika używane przez agenta Acronis Cyber Protection po instalacji, tak aby agent mógł używać konta gMSA.

Wszystkie plany ochrony przypisane wcześniej do komputera, na którym zmieniasz konto logowania, przestaną działać i po zmianie konta trzeba będzie je odwołać i zastosować ponownie.

Aby włączyć użycie konta gMSA w przypadku agenta Cyber Protection

  1. Utwórz konto gMSA zgodnie ze standardową procedurą opisaną w bazie wiedzy firmy Microsoft.
  2. Skonfiguruj konto gMSA zgodnie z opisem podanym w sekcji Uprawnienia wymagane w przypadku konta logowania.
  3. Przypisz konto gMSA jako konto logowania dla usługi MMS na komputerze, na którym działa agent.

    1. Otwórz menu Start systemu Windows i wpisz services.msc, aby otworzyć listę usług lokalnych.

    2. Kliknij prawym przyciskiem myszy Acronis Managed Machine Service i wybierz Właściwości.

    3. Na karcie Zaloguj się wybierz To konto, a następnie kliknij Przeglądaj, aby znaleźć konto gMSA, którego chcesz użyć.

    4. Kliknij OK.

  4. Zastosuj plany ochrony stosownie do potrzeb.
    • Jeśli przed zmianą konta logowania na komputerze były zastosowane plany ochrony, należy je odwołać i zastosować ponownie.
    • Jeśli na komputerze nie był zastosowany żaden plan ochrony, utwórz nowe plany lub wybierz już istniejący plan i go zastosuj.