Exchange Yedek ve Restore işlemleri Yetki Dökümanı

Microsoft Exchange Yedekleme Yetkileri Dökümanı

Bu doküman, Microsoft Exchange ortamlarında yedekleme işlemlerinin gerçekleştirilebilmesi için gerekli olan minimum yetkileri ve önerilen yetkileri açıklamak amacıyla hazırlanmıştır. Doküman, özellikle kurumsal yedekleme yazılımları (ör. EraBackup vb.) kullanılarak yapılan Exchange yedekleme işlemleri için referans niteliğindedir.

1. Desteklenen Exchange Bileşenleri

- Exchange Mailbox Database
- Exchange Mailbox Server
- DAG (Database Availability Group) yapıları
- Transaction Log dosyaları
- Mailbox ve Public Folder verileri

2. Exchange Yedekleme Yöntemleri

Exchange yedekleme işlemleri genellikle aşağıdaki yöntemlerle yapılır:
- VSS (Volume Shadow Copy Service) tabanlı yedekleme
- Agent tabanlı Exchange backup
- Mailbox seviyesinde API tabanlı yedekleme
- Snapshot tabanlı VM backup

3. Minimum Gerekli Yetkiler

Exchange ortamında yedekleme işleminin yapılabilmesi için aşağıdaki minimum yetkiler gereklidir:

Active Directory Yetkileri:

- Domain User hesabı
- Exchange Organization içindeki sunuculara erişim

Exchange Yetkileri:

- View-Only Organization Management
- Exchange Server üzerinde Read erişimi
- Mailbox Database bilgilerini okuyabilme yetkisi

Sunucu Yetkileri:

- Exchange Server üzerinde Local Logon yetkisi
- Windows üzerinde aşağıdaki haklar:
  * Log on as a service
  * Log on as batch job

4. Önerilen Yetkiler (Best Practice)

Kurumsal ortamlarda Exchange yedekleme işlemlerinin sorunsuz çalışması için aşağıdaki yetkiler önerilir:

Active Directory Yetkileri:

- Domain Admin (opsiyonel)
- Organization Management (Exchange Role Group)

Exchange Role Yetkileri:

- Organization Management
- Recipient Management
- View-Only Configuration

Sunucu Yetkileri:

- Exchange Server üzerinde Local Administrator
- VSS işlemleri için disk erişimi
- Transaction log klasörlerine erişim

5. Network Gereksinimleri

Yedekleme sunucusu ile Exchange sunucusu arasında aşağıdaki portların açık olması gerekir:

- TCP 135 (RPC)
- TCP 445 (SMB)
- TCP 5985 / 5986 (WinRM)
- TCP 443 (Exchange Web Services)
- Dinamik RPC portları (49152-65535)

6. Güvenlik Önerileri

- Yedekleme işlemleri için ayrı bir servis hesabı kullanılmalıdır.
- Domain Admin yerine mümkün olduğunca rol bazlı yetki verilmelidir.
- Backup servis hesabının parolası düzenli olarak değiştirilmelidir.
- Yedekleme işlemleri loglanmalı ve izlenmelidir.

7. Örnek Servis Hesabı

Örnek servis hesabı:
Username: svc_exchange_backup
Role: Organization Management
Server Permission: Local Administrator (Exchange Server)