Έχω φτιάξει μια εφαρμογή (σε C#) για backup αρχείων. Ας υποθέσουμε ότι υπάρχει ένα NAS ή ένας Windows Server που θέλω να αποθηκεύω τα αρχεία ασφάλειας που δημιουργεί. Σε αυτόν τον χώρο δεν θέλω οι χρήστες να έχουν πρόσβαση στο συγκεκριμένο unc folder (πχ. \\192.168.1.200\Backup\). Έχοντας τα credentials για αυτό το folder πως μπορώ να έχω access ΜΟΝΟ στο context της εφαρμογής; 
Κάποιες «λύσεις» που βρήκα όταν η εφαρμογή έχει access στο φάκελο (έτρεχε) τότε ο τρέχον χρήστης έχει access από τον files explorer. Όταν η εφαρμογή τερμάτιζε μετά από λίγο έχανε και ο τρέχον χρήστης το access.

Τι θέλεις να κάνεις και τι εννοείς backup? Κατά κανόνα το job το οποίο εκτελεί ένα backup τρέχει με συγκεκριμένο account, άσχετο από τους χρήστες, το οποίο έχει πρόσβαση πχ. και στις βάσεις ή τα αρχεία, και στο share όπου θα αποθηκευθούν τα αρχεία. Αυτό είναι απείρως πιο ασφαλές από το να βάζεις credentials "κάπου" και να ελπίζεις ότι δεν θα τα βρουν οι χρήστες.

 Από κι και πέρα, οι εφαρμογές οι οποίες εκτελούν εργασίες ως άλλοι χρήστες ουσιαστικά κάνουν impersonate: παρουσιάζουν δηλαδή τα credentials ενός account στο λειτουργικό και για ένα ορισμένο διάστημα δουλεύουν ως αυτός ο χρήστης. Αυτό απαιτεί όμως ότι κάπου θα μπορέσεις να αποθηκεύσεις τα username/password με ασφαλή τρόπο. 

 Το impersonation απαιτεί κάποιες κλήσεις Win32, κλήσεις στην WindowsIdentity.Impersonate και χειρισμό hanldes όπως φαίνεται σε αυτή την απάντηση στο SO. Ευτυχώς, ο Martin Johnson έφτιαξε ένα Nuget package που μετατρέπει όλη τη μανούρα σε μία απλή κλήση

 using (Impersonation.LogonUser(domain, username, password, logonType))

{
    // do whatever you want as this user.
}

Αυτό όμως δεν λύνει το θέμα του *πως* και *πού* θα αποθηκεύσεις τα credentials. 

Καταρχήν, αν όλα μαζί τα μηχανήματα δεν είναι σε domain, σημαίνει ότι δουλεύεις με workgroup και δεν έχει καμία σημασία πως λέγεται ο χρήστης στο Windows Server. Όλα τα μηχανήματα και οι χρήστες είναι ισότιμοι (χονδρικά). Αν *δεν* υπάρχει το ίδιο username/password και στα άλλα μηχανήματα, δεν έχει κανένα δικαίωμα να συνδεθεί. Το ότι υπάρχει κάποιος χρήστης που λέγεται BackupUser στο server, δεν δίνει κανένα δικαίωμα στο μηχάνημα NikosPC. 

Αυτό που δεν καταλαβαίνω είναι γιατί να φτιάξεις από το μηδέν εφαρμογή για backup όταν υπάρχουν ήδη τέτοιες εφαρμογές, οι οποίες μάλιστα καλύπτουν πολύ καλύτερα σενάρια που δεν έχεις ακόμα σκεφθεί, όπως η διαχείριση ανοικτών αρχείων, η χρήση shadow volumes για να αποφύγεις να αντιγράψεις "μισά" αρχεία, η χρήση system journal για να εντοπίζει μόνο τα αλλαγμένα αρχεία, η χρήση ειδικών permissions για να διαβάσουν αρχεία χωρίς να δοθούν admin δικαιώματα στην εφαρμογή backup, κλπ.

Αν τα μηχανήματα είναι σε domain θα μπορούσες να ορίσεις ένα domain account για να κάνει backups και να χρησιμοποιήσεις το backup service των Windows για να κάνεις όλο το backup. Ακόμα, θα μπορούσες να στήσεις versioning στα client μηχανήματα έτσι ώστε να μπορούν να κάνουν μόνοι τους οι χρήστες restore χωρίς να χρειαστεί να ζητήσουν από κάποιον να τους κάνει Restore τα αρχεία.

Δεν είπες ότι υπάρχει ήδη μηχάνημα Windows Server? Δεν κοστίζει κάτι παραπάνω να το κάνεις domain. Ειδικά στην Ελλάδα της κρίσης, όπου είναι πολύ ακριβό να φτιάξεις custom λύση για να αντικαταστήσεις κάτι που είναι διαθέσιμο out-of-the-box. Ακόμα και αν σε απασχολεί μήπως χρειαστούν CALs - ήδη χρειάζονται CALs. 

Όσο για τους χρήστες - ήδη τα server file shares γίνονται version κεντρικά και μπορούν να ληφθούν backups. Και μιλάω για 2003. Οι μεταγενέστερες εκδόσεις προσθέσαν features τα οποία μπορεί να σου επιτρέπουν ήδη να κάνεις backup από τα client machines. Σίγουρα υπάρχει από το 2003 η δυνατότητα να κάνεις backup τα user folders (Documents, Application Data, Desktop κλπ). Επίσης, ήδη από τα NT 4 υπάρχει το DFS  το οποίο επιτρέπει shares από πολλά μηχανήματα να εμφανίζονται ως ένα file system, replication με differential compression, synchronization αρχείων κλπ.
Η ερώτηση αυτή θα έπρεπε να γίνει στο Autoexec.gr, όχι στο DotNetZone. 

Όσο για το αν υπάρχει λύση - δεν θα βρεις όσο προσπαθείς να πας αντίθετα στο λειτουργικό και να βρεις κάτι που κάνει ακριβώς ότι έχεις φανταστεί. Ψάχνεις κάτι ανάμεσα σε backup και OneDrive.  Κι αυτά υπάρχουν και μάλιστα ως πολύ φθηνή υπηρεσία του Azure. Και εταιρικό OneDrive υπάρχει, και Azure AD Domain Services υπάρχει, το οποίο χρεώνεται από $37/μήνα.

Όσο για τα συγκεκριμένα πράγματα που ψάχνεις δεν θα δουλέψουν ακριβώς γιατί γίνονται ανάποδα - δεν έχει νόημα να χρησιμοποιήσεις το (παλιό) DPAPI γιατί προσπαθείς να κρύψεις τα credentials από τον ίδιο το χρήστη. Γι αυτό υπάρχει το group Backup Operators, *και* στους clients. 

Ενδιαφέρον προσπάθεια 

Να πω μια ακόμα οπτική.

Γιατί να χρησιμοποιήσεις Shared Folders και να έχεις να αντιμετωπίσεις όλα τα προβλήματα που έχεις παραπάνω.

Η λύση του FTP/SFTP την έχεις σκεφτεί?

Έτσι ο Server μπορεί να είναι ότι θέλεις. Από Windows Server μέχρι Linux Mint, Μέχρι και ένα κλασσικό χαζό NAS κουτί που υποστηρίζει SFTP πρωτόκολλο.

Στην κύρια εφαρμογή που έχουμε, έχω φτιάξει file manager μέσω WCF και «τρέχει» ως windows service. Επίσης έχει λογική plug-in για μπορείς σε κάθε διαφορετική port να μπορεί να φορτώνεις διαφορετικά «application servers». Αλλά το backup δεν θέλω να το «βαρύνω» τόσο.