Inhaltsverzeichnis
PersBackup

Personal Backup Version 5.8

© 2001 − 2017, Dr. Jürgen Rathlev

Backups unter einem anderem Konto ausführen


PbStarter

Übersicht

Ab Version 5.8 enthält Personal Backup das Zusatzprogramm PbStarter, mit dem Backups unter einem anderen Benutzerkonto als dem des angemeldeten Benutzers ausgeführt werden können, ohne dass dieser sich dazu abmelden muss. Im Windows-Startmenü findet man es in der Programmgruppe Personal Backup unter Datensicherung unter anderem Konto. Hintergrund für dieses Verfahren ist eine zusätzliche Absicherung des Backups gegen Schadprogramme, die die Daten des Benutzers verschlüsseln, um ein Lösegeld zu erpressen (sog. Ransomware).
Zum Schutz davor wird das Backup in einem Verzeichnis abgelegt, in dem der oder die normalerweise angemeldeten Benutzer nur Leserechte besitzen, d.h. alle Programme, die unter ihrem Konto gestartet werden, können nicht in das Verzeichnis mit den gesicherten Daten schreiben und damit dort auch nichts verändern. Für die Datensicherung wird über die Windows-Systemsteuerung ein neuer Benutzer angelegt, dessen Konto ausschließlich für diesen Zweck benutzt wird. Er darf als einziger in das Backup-Verzeichnis schreiben. Normale Arbeiten werden unter diesem Konto nicht ausgeführt.

Wichtige Voraussetzung: Um die Berechtigungen für das Backup-Verzeichnis einstellen zu können, ist es notwendig, dass das Laufwerk oder die Laufwerks-Partition, auf dem sich dieses Verzeichnis befindet, im NTFS-Dateisystem (Windows-Standard) formatiert ist. Unter FAT32-Dateisystemen, wie sie häufig noch auf USB-Sticks verwendet werden, können keine Sicherheitseinstellungen vorgenommen werden.

Um ein Programm unter einem anderen Konto zu starten, kann zwar auch das Windows-Konsolenprogramm RunAs eingesetzt werden. Dieses kann aber keine Kennwörter speichern und erfordert bei jedem Backup eine entsprechende Eingabe. Auch die Einrichtung der benötigten Konfiguration ist eher etwas für Experten. PbStarter dagegen kann optional das erforderliche Kennwort in verschlüsselter Form speichern, so dass jeder Benutzer, auch ohne das benötigte Kennwort zu kennen, ein sicheres Backup starten kann. Die Eingabe des Kennworts erfolgt nur einmal während der Konfiguration des Backups durch den dafür autorisierten Benutzer. Außerdem ist die Konfiguration des Backups durch die grafische Benutzeroberfläche sehr viel einfacher und übersichtlicher.

Erforderliche Vorbereitungen

Bevor man dieses Verfahren anwenden kann, sind einige Vorbereitungen zu treffen. Um das auch dem Laien einigermaßen verständlich zu machen, wird es nachfolgend Schritt für Schritt erklärt. Zu beachten ist, dass es dabei teilweise kleine Unterschiede zwischen den verschiedenen Windows-Versionen 7,8 und 10 gibt.

Wichtige Vorbemerkung:

Die nachfolgenden Beschreibungen wurden sorgfältig zusammengestellt. Der Autor übernimmt aber keine Gewährleistung für die Aktualität, Richtigkeit, Vollständigkeit und Qualität der bereit gestellten Informationen. Jeder Anwender muss sich der Risiken bewusst sein, die Änderungen an den Systemeinstellungen zur Folge haben können. Eine Haftung für daraus resultierende Schäden an Hard- oder Software des Benutzers wird ausgeschlossen.

Anpassen und Einrichten der Benutzer

Leider wird während der Windows-Installation (unverständlicherweise immer noch) der dabei neu angelegte Benutzer automatisch mit Administratorrechten. versehen. Für alle normalen Arbeiten am Computer (Mail, Internet, Textbearbeitung, Fotobearbeitung, etc.) ist dies aber in keiner Weise erforderlich. Andererseits ist es gar kein Problem neue Programme zu installieren oder Systemeinstellungen vorzunehmen, auch wenn man nur als Standardbenutzer angemeldet ist. Sobald höhere Rechte benötigt werden, meldet sich automatisch die Windows-Benutzerkontensteuerung und fordert zur vorübergehenden Anmeldung mit einem Administratorkonto auf.
Es wird daher aus Sicherheitsgründen dringend empfohlen, den jeweiligen Benutzern nur die Rechte zuzuteilen, die für die von ihnen normalerweise getätigten Aufgaben erforderlich sind. Sie lassen sich drei Gruppen aufteilen:

Dieser Idee folgend sind zunächst einige Änderungen bei den Benutzerkonten erforderlich:

  1. Aktivieren des Administratorkontos:
    Nach einer Windows-Neuinstallation bleibt das eigentliche Administratorkonto zunächst deaktiviert. Zur Aktivierung ruft man in der Windows-Systemsteuerung die Funktion Verwaltung auf und klickt dort doppelt auf Computerverwaltung. In dem Baum auf der linken Seite klickt man auf Lokale Benutzer und Gruppen und dann auf Benutzer. Mit einem Doppelklick auf Administrator öffnet man im Eigenschaftsfenster die Seite Allgemein. Das Häkchen bei Konto ist deaktiviert wird entfernt. Nach OK klickt man mit der rechten Maustaste auf Administrator und wählt Kennwort festlegen und Fortsetzen. Die Warnmeldung kann man an dieser Stelle ignorieren, da das Konto bislang noch nicht benutzt wurde. Anschließend gibt man zweimal ein nicht zu einfaches Kennwort ein, das an einem sicheren Ort verwahrt werden sollte. Als letztes schließt man die Computerverwaltung und kehrt zur Systemsteuerung zurück.
  2. Zweites Administratorkonto:
    Zur Sicherheit wird ein weiteres Administratorkonto mit einem beliebigen Namen angelegt. Man ruft dazu in der Systemsteuerung die Funktion Benutzerkonten - Anderes Konto verwalten auf. Dort klickt man auf Neuen Benutzer in den PC-Einstellungen hinzufügen und Konto hinzufügen. Die seit Windows 8 vorhandene Möglichkeit sich über ein Online-Konto bei Microsoft anzumelden, sollte man hier nicht nutzen Man wählt deshalb Ohne Microsoft-Konto anmelden (nicht empfohlen) und klickt dann auf Lokales Konto. Man gibt einen beliebigen Namen an und zweimal das Kennwort. Es ist ganz nützlich, hier das gleiche Kennwort einzugeben, das der normalerweise angemeldete Benutzer verwendet. Für diesen Benutzer ist es dann sehr einfach, neue Programme oder Updates zu installieren. Beim Start des Setups wird er automatisch vom Windows-System aufgefordert, sich mit einem Administratorkonto anzumelden. Er wählt dann dieses neu angelegte Konto aus und gibt einfach sein eigenes Kennwort an.
    Anschließend klickt man auf Weiter und Fertig stellen. In der Liste Andere Konten verwalten klickt man auf den neuen Benutzer und Kontotyp ändern. Hier wird Administrator ausgewählt und mit einem Klick auf Kontotyp ändern bestätigt.
  3. Anpassung der anderen Benutzerkonten:
    Man ruft dazu in der Systemsteuerung die Funktion Benutzerkonten - Anderes Konto verwalten auf. Es wird eine Liste aller aktiven Konten angezeigt, dabei auch der Administrator und das zuvor angelegt neue zweite Administratorkonto. Man klickt jetzt nacheinander auf alle anderen Konten und wählt jeweils Kontotyp ändern. Anschließend klickt man auf Standardbenutzer und Kontotyp ändern.
  4. Neues Konto für Backup erstellen:
    Für die Durchführung der Backups wird ein neuer Standardbenutzer (z.B. mit dem Namen BackupUser) mit Kennwort angelegt. Unter Benutzerkonten - Anderes Konto verwalten klickt man auf Neuen Benutzer in den PC-Einstellungen hinzufügen und Konto hinzufügen. Genauso wie unter 2. beschrieben wird ein neues Lokales Konto angelegt. Der Kontotyp bleibt aber bei Standardbenutzer. Dieses Konto wird später nicht für eine normale Anmeldung benutzt. Es wird von dem o.g. Programm PbStarter nur für die Zeit des Backups benötigt.

Sicherheitseinstellungen für die Verzeichnisse

Wie anfangs beschrieben, muss der Schreib-Zugriff auf das Backup-Verzeichnis für alle Standardbenutzer außer dem speziellen Backupbenutzer gesperrt werden. Zusätzlich muss sichergestellt werden, dass der Backupbenutzer auf alle zu sichernden Verzeichnisse Leserechte erhält.

Für das Verständnis der Verfahrensweise bei der Änderung der Sicherheitseinstellungen für die Verzeichnisse ist es wichtig zu wissen, dass die Berechtigungen eines übergeordneten Verzeichnisses immer automatisch auf alle untergeordneten Objekte (Dateien und Unterverzeichnisse) vererbt werden. Wenn also beispielsweise auf dem Laufwerk F:\ ein neues Verzeichnis angelegt wird, werden alle seine Sicherheitseinstellungen vom übergeordneten Verzeichnis F:\ übernommen. Man kann dies leicht überprüfen: Nach einem Rechtsklick auf das neue Verzeichnis und Auswahl von Eigenschaften - Sicherheit wird im oberen Bereich des sich öffnenden Fensters eine Liste alle Benutzer und Gruppen mit Rechten auf diese Verzeichnis angezeigt, darunter ausgegraut (da geerbt) die dem jeweils ausgewählten Benutzer, bzw. der Gruppe zugeordneten Zugriffsrechte. In einer Gruppe sind immer verschiedene Benutzer zusammengefasst, so dass sie beim Vergeben der Rechte nicht alle einzeln aufgeführt werden müssen. Die angezeigten Berechtigungen gelten dann für alle Mitglieder der jeweiligen Gruppe.

  1. Anpassung der Sicherheitseinstellungen für das Backupverzeichnis:
    Aus diesem Verzeichnis sollen alle normalen Benutzer nur lesen können. Nur der Backupbenutzer (s.o. BackupUser) soll das Recht zum Schreiben haben. In der nachfolgenden Beschreibung wird angenommen, dass das Backup in ein neu anzulegendes Verzeichnis mit dem Namen Backup auf dem Laufwerk F:\ erfolgen soll:
  2. Anpassung der Sicherheitseinstellungen für die zu sichernden Verzeichnisse:
    Der Backupbenutzer (s.o. BackupUser) muss aus allen zu sichernden Verzeichnissen lesen können. Wenn bei der Datensicherung das Archivbit zurückgesetzt werden muss (Alles neu und Inkrementell), benötigt dieser Benutzer zusätzlich das Recht zum Ändern der Datei-Attribute. Für ein Backup im Modus Aktualisieren oder Differenziell ist dies nicht erforderlich.
    Wenn sich die persönlichen Daten der Benutzer alle in den von Windows voreingestellten Verzeichnissen befinden, genügt es, die Sicherheitseinstellungen für das Verzeichnis C:\Users (mit all seinen Unterverzeichnissen) so anzupassen, wie es nachfolgend beschrieben ist. Die gleichen Schritte sind in entsprechender Weise auch für alle weiteren zu sichernden Verzeichnisse erforderlich, die sich an anderen Orten befinden.

Das Zusatzprogramm PbStarter

Desktop

Übersicht

Verschiedene Backup-Aufträge, die zuvor mit Personal Backup konfiguriert wurden, können mit diesem Programm zu einer Gruppe zusammengefasst werden. Jede Gruppe enthält außerdem die Angaben zu dem Benutzerkonto, unter dem die Backup-Aufträge ausgeführt werden sollen (z.B. der o.g. BackupUser). Mit einem Klick auf die Schaltfläche Sicherung starten werden alle Backup-Aufträge der ausgewählten Gruppe unter dem Konto des jeweils angegebenen Benutzers gestartet. Die Aufträge werden in der Reihenfolge der Liste abgearbeitet. Zusätzlich kann noch eingestellt werden, wie die Statusanzeige während der Backups dargestellt werden soll. Das Kennwort des Backupbenutzers kann entweder bei jedem Start einer Sicherung abgefragt oder auch dauerhaft in verschlüsselter Form gespeichert werden.

Bedienung

Nach dem ersten Start des Programms sind die Felder (siehe Abb. rechts) zunächst alle leer. Als erstes gibt man der neu zu erstellenden Gruppe im Feld Beschreibung einen eindeutigen Namen. Oben rechts trägt man den Namen des Benutzerkontos ein, unter dem die Backups dieser Gruppe ausgeführt werden sollen. Mit einem Klick auf die Schaltfläche rechts daneben kann das zugehörige Kennwort eingegeben werden. Es wird dann in verschlüsselter Form gespeichert. Wird kein festes Kennwort eingestellt, muss es jedes Mal vor dem Start der Backups vom Benutzer eingegeben werden.
Anschließend wählt man die Backupaufträge (buj-Dateien) für diese Gruppe aus. Dazu klickt man auf die linke Schaltfläche unter dem Listenfeld und wählt eine oder mehrere buj-Dateien aus (siehe dazu auch die wichtigen Hinweise weiter unten).
Kurze Beschreibung der Schaltflächen:

Hinzufügen Hinzufügen von Backup-Aufträgen zur Liste
Entfernen Entfernen des ausgewählten Backup-Auftrags aus der Liste
Bearbeiten Bearbeiten des ausgewählten Backup-Auftrags unter dem Konto des Backupbenutzers
Protokoll Anzeige des Protokolls für den ausgewählten Backup-Auftrag
nach oben nach unten Änderung der Reihenfolge der Backup-Aufträge

Rechts kann ausgewählt werden, in welcher Form das Statusfenster für den Backupverlauf der einzelnen Aufträge angezeigt werden soll. Ist Automatisch schließen oder Nur bei Fehlern auf Eingabe warten ausgewählt, kann außerdem die Zeitdauer der Anzeige eingestellt werden.
Links unten kann ein Verzeichnis ausgewählt werden, in das die Protokolle der Backups geschrieben werden. Wird hier nichts angegeben, werden die Protokolle in das Standardverzeichnis des ausgewählten Backupbenutzers geschrieben (z.B. C:\users\BackupUser\AppData\Roaming\PersBackup5\).

Die so erstellte Gruppen-Konfiguration wird automatisch beim Beenden des Programms oder beim Start eines Backups gespeichert. Durch Klick auf den kleinen Pfeil rechts im Feld für die Beschreibung kann zwischen den verschiedenen Gruppen gewechselt werden.

Verknüpfungs-Einstellungen

Desktop-Verknüpfung erstellen

Verknüpfung Die Schaltfläche ganz unten, zweite von links dient zum Anlegen einer Desktopverknüpfung, über die mehrere ausgewählte Backups mit einem Klick gestartet werden können. Optional kann die Datensicherung mit einer nachfolgenden Aktion (z.B. Ausschalten) kombiniert werden. Auf diese Weise ist es sehr einfach ein sicheres Backup vor dem Ausschalten des Computers realisieren. Der Computer wird nicht, wie sonst üblich, über die Windows-Funktion Start - Herunterfahren, sondern durch Doppelklick auf diese Desktopverknüpfung ausgeschaltet.

Die erforderlichen Einstellungen für die Desktopverknüpfung nimmt man über das rechts dargestellte Dialogfenster vor. Links werden alle konfigurierten Backup-Gruppen angezeigt. Man wählt die Gruppen, die mit der Desktopverknüpfung gestartet werden sollen durch Klick und Strg-Klick aus. Rechts stellt man ein, ob nach den Backups eine der zur Auswahl stehenden Aktionen ausgeführt werden soll. Wählt man Anfragen, so wird nach einem Doppelklick auf die Desktop-Verknüpfung das Backup nicht sofort gestartet, sondern der Benutzer aufgefordert eine nachfolgende Aktion auszuwählen (siehe Abb. unten). Auf diese Weise kann man jederzeit ein sicheres Backup unter einem anderen Benutzerkonto starten und dabei jeweils frei entscheiden, was danach gemacht werden soll (z.B. Ruhezustand, Ausschalten oder auch Weitermachen).
Optional kann außerdem noch eingestellt werden, ob vor dem Backup alle laufenden Programme des angemeldeten Benutzers beendet werden und ob ein Protokoll geschrieben werden soll. Nach Klick auf OK wird die Desktop-Verknüpfung angelegt.
Start-Auswahl

Befehlszeile für die Windows-Aufgabenplanung erzeugen

Befehlszeilenoptionen Mit der Schaltfläche ganz unten links wird der gleich Dialog geöffnet wie zuvor beschrieben. Es wird aber eine Befehlszeile anstelle einer Desktop-Verknüpfung mit der gleichen Funktion erzeugt. Die Befehlszeile wird automatisch in die Windows-Zwischenablage kopiert und kann dann entweder in Batch-Dateien eingefügt oder bei der Erstellung einer Aufgabe in der Windows-Aufgabenplanung verwendet werden.

PbStarter-Protokoll anzeigen

Protokoll Im Protokoll werden Start- und Endzeitpunkt, die ausgeführten Backupgruppen mit ihren Aufträgen und dabei eventuell aufgetretene Fehler (z.B. dass ein laufendes Programm nicht beendet werden oder dass Personal Backup nicht richtig gestartet werden konnte) festgehalten. Mit einem Klick auf diese Schaltfläche kann das Protokoll angezeigt werden.
Wenn während der Backups Fehler aufgetreten sind, erhält man detaillierte Informationen dazu in den Protokollen der jeweiligen Aufträge (siehe oben).

Eine beliebige Anwendung unter einem anderen Benutzerkonto starten

Anwendung starten Da der angemeldete Benutzer keinen Schreibzugriff auf das Backupverzeichnis hat (siehe oben), kann er dort auch keine Änderungen vornehmen. Durch Klick auf diese Schaltfläche kann ein auswählbarer Dateimanager, z.B. TotalCommander oder FreeCommander, und eine weitere beliebige Anwendung, z.B. ein Text-Editor wie PsPad, unter dem jeweils angezeigten Benutzerkonto gestartet werden. Mit der so gestarteten Anwendung können dann auch im Backup-Verzeichnis erforderliche Änderungen durchgeführt werden.
Hinweis: Der Windows-Explorer kann nicht auf diese Weise gestartet werden.

Weitere wichtige Hinweise

Über das Programm Die auszuführenden Backupaufträge müssen sich in einem Verzeichnis befinden, in das der Backupbenutzer schreiben darf. Es wird daher empfohlen, dazu im Backupverzeichnis (siehe oben: F:\Backup) ein Unterverzeichnis anzulegen (z.B. F:\Backup\Tasks) und dort die benötigten buj-Dateien abzulegen. Gleiches gilt für die Protokolle. Für einen einfachen Zugriff darauf wird ein weiteres Unterverzeichnis F:\Backup\Logs anlegt und in der Gruppen-Konfiguration (siehe oben) entsprechend eingetragen.


J. Rathlev, D-24222 Schwentinental, März 2017