Делегираме правата за възстановяване на виртуални машини, файлове и обекти на приложения с помощта на

Една от последните публикации говори за това как можете да делегирате възстановяването на файлове на виртуална машина на обикновени потребители, използвайки уеб портала за самообслужващо възстановяване на файлове на Veeam. Днес, както обещах, ще говоря за делегиране на права за възстановяване на различни обекти от архив с помощта на Veeam Backup Enterprise Manager. В организациите (особено големите) с течение на времето се налага да се разделят областите на отговорност на ИТ специалистите. Например, единият от тях отговаря за работата на сървърите на бази данни, другият за пощенските сървъри, третият за SharePoint и т.н. Освен това е организирана услуга за поддръжка за вътрешни потребители, чиито задължения включват, наред с други неща, помощ при възстановяване на конкретни машини, файлове и др. За да изпълняват задачи по възстановяване, хората ще се нуждаят от подходящи права и удобен за потребителя интерфейс. Тук е разумно да използвате Veeam Backup Enterprise Manager, по-специално настройките на потребителската му роля. За подробности, добре дошли под кат.

виртуални

Разпределяне на роли

Преди да започнем делегирането на права, нека се уверим, че услугата Veeam Backup Enterprise Manager работи под акаунт, който е част от домейна на Active Directory - тогава ще бъде възможно да присвоите необходимите роли на потребители и групи от AD.

Отиваме в уеб портала на Enterprise Manager, използвайки акаунт с администраторски права на портала - по подразбиране ги има този, който е извършил инсталацията, и тези, които са членове на групата локални администратори на тази машина.

    Щракнете върхуКонфигурациягоре вдясно и след това изберете разделаРоливляво:

делегираме

  • Да седобавете нов потребител на портала, щракнете върхуДобавяне.
  • В диалоговия прозорец, който се отваря, започнете с полетоТип акаунт:

    • виртуални

    • От падащия списък изберетеПотребител, ако искаме да дадем права на един потребител.
    • За да присвоите права на група, изберете съответноГрупа.
  • В полетоАкаунтвъведете акаунта, на който ще дадем права, във форматдомейн/име.
  • Нека преминем към списъка с потребителски роли на Enterprise Manager.
  • Администратор на портала- Тези, на които е назначена тази роля, имат достъп до всички настройки и функции на Enterprise Manager. Те ще могат да търсят и възстановяват всички архивирани виртуални машини и файлове, както и да задават параметрите на Enterprise Manager в панела с настройки (като щракнете върхуКонфигурация). Този панел не е достъпен за потребители с други роли.
  • Потребител на порталаиОператор на възстановяване– Потребителите с тези роли обикновено имат достъп до ограничен набор от виртуални машини (това е техният „разрешен обхват“). Например, има смисъл администратор на база данни да получи права за възстановяване на SQL и Oracle сървъри. В разделитеVMsиFilesслед влизане такъв потребител ще види само данните на онези машини, които са включени в неговия „обхват“.Потребителите на порталаще видят резервни статистики за достъпните за тях виртуални машини в разделаТабла за управление.
    • Важно!Ако имате Veeam Backup & Replication Enterprise Plus, обхватът може да варира до машината; в други случаи обхватът ще включва всички виртуални машини (Всички виртуални машини), но гъвкавостта при задаване на права е напълно достатъчна - може да бъде цяла виртуална машина, всичкиили отделни файлове.

    Настройте „разрешен обхват“

    За нашия потребител, който има роляПотребител на порталаилиОператор на възстановяване, искаме да изберем конкретни машини, които ще му бъде позволено да възстанови.

    1. За да направите това, изберетеСамо избрани виртуални машиниот опциитеВъзстановяване на обхвати натиснете бутонаИзбор.
    2. В диалоговия прозорецУправление на обхват обектищракнете върхуДобавяне на обекти изберете какъв тип обект ще бъде добавен към списъка с обекти, разрешени за възстановяване от нашия потребител:

    възстановяване

    След това избираме конкретни обекти в дървото:

    виртуални
    НатиснетеOK, за да запазите настройките.

    Ако делегирането на права за възстановяване на ниво VM е достатъчно, тогава нашите стъпки са завършени. Ако трябва да издадете разрешения с по-високо ниво на детайлност, продължете.

    Присвояване на гранулирани права

    В същия диалогов прозорецАкаунтотидете на опциитеРазрешаване на възстановяване наи изберете какво ще бъде разрешено за възстановяване на този потребител:

    • Цялата виртуална машина (Цялата виртуална машина) - машините от "обхвата", очертан по-рано, ще бъдат видими за потребителя, когато той отвори разделаVMs. Възстановяването на машината с едно щракване е описано подробно в раздела „Извършване на възстановяване на виртуална машина с 1 щракване“ на ръководството за потребителя. Накратко: изисква се лиценз Enterprise или Enterprise Plus; машината ще бъде възстановена на първоначалното си местоположение (където се е намирала при създаването на архива); Възстановяването от моментни снимки на хранилище не се поддържа от уеб портала на Enterprise Manager (ще работи само от конзолата за управление на Veeam Backup). Системните файлове за гости ще бъдат скрити от потребителя, освен ако не изберете следната опция.
    • Гост системни файлове (Гост файлове) - тук са възможни опции:
    • Разрешаване на възстановяване само до първоначалното местоположение (Разрешаване само на възстановяване на ниво файл на място) – в този случай потребителят няма да има право да записва файлове на своята локална машина, бутонътИзтеглянеще бъде неактивен.
    • Разрешаване на възстановяване само на файлове с тези разширения (Разрешаване на възстановяване на файлове само с тези разширения) е още по-строго ограничение: ние указваме, разделени със запетаи, какви типове файлове може да възстанови нашият потребител.
  • Ако нашият потребител е администратор на сървъра на Exchange и искаме да му позволим да възстановява елементи от пощенски кутии (т.е. писма, задачи или календар), тогава изберетеЕлементи на Microsoft Exchange
  • Ако потребителят е администратор на SQL база данни и ние му позволяваме да възстанови бази данни до момента, в който се нуждае, тогава изберетеБази данни на Microsoft SQL Server. Тук можете да наложите допълнително ограничение, което показва, че на потребителя не е позволено да възстановява до производство, което може да презапише текущите данни с данни от архива (Отказ на възстановяване на база данни на място (по-безопасно)).

    • виртуални

    Всички тези администратори ще видят резервните копия на своите приложения и ще могат да възстановят желаните елементи, като отворят разделаЕлементив Enterprise Manager. Повече подробности за процесите на възстановяване за тези приложения са описани в раздела „Архивиране и възстановяване на елементи от приложения“ на ръководството за потребителя. Накрая натиснетеOK, за да запазите настройките. Моля, имайте предвид, че „обхватът“ се актуализира автоматично веднъж на ден, а също и след всяко редактиране на разрешения съгласно описаната процедура.

    • Ако потребителят, след като влезе, не вижда машините, които сте му позволили да възстанови, той трябва да щракне върху връзкатаНе виждам своите виртуални машини, за да обновите данните в изгледа.
    • Притежателите на администраторски права могат ръчно да актуализират изгледа „обхвати“ за всички роли, които са конфигурирани в Enterprise Manager наведнъж – за да направите това, отворете изгледаКонфигурация, изберетеРолиотляво и щракнете върху бутонаПреустрояване на роли.
    Това завършва процедурата за настройка на ролята.