В одном из недавних постов шла речь о том, как можно делегировать рядовым пользователям операции восстановления файлов виртуальных машин, используя веб-портал Veeam Self-Service File Restore. Сегодня же, как и было обещано, я расскажу о делегировании прав на восстановление различных объектов из бэкапа с помощью Veeam Backup Enterprise Manager.
В организациях (особенно крупных) со временем возникает необходимость разделить области ответственности ИТ-специалистов. Например, один из них отвечает за работу серверов баз данных, другой – за почтовые сервера, третий – за SharePoint, и так далее. Кроме того, организуется служба поддержки внутренних пользователей, а в её обязанности входит, в том числе, и помощь в восстановлении конкретных машин, файлов, и т.д. Для выполнения задач восстановления людям понадобятся соответствующие права и удобный интерфейс. Здесь разумно задействовать Veeam Backup Enterprise Manager, в частности, его настройки пользовательских ролей.
За подробностями добро пожаловать под кат.
До того, как начать делегирование прав, удостоверимся, что сервис Veeam Backup Enterprise Manager работает под учетной записью, входящей в домен Active Directory – тогда можно будет назначать нужные роли пользователям и группам из AD.
Заходим на веб-портал Enterprise Manager, используя учетную запись с правами администратора портала – по умолчанию они есть у того, кто выполнял установку, и у тех, кто входит в группу локальных администраторов на данной машине.
Важно! Если у вас редакция Veeam Backup & Replication Enterprise Plus, то область действия можно варьировать с точностью до машины; в остальных случаях область действия будет включать в себя все ВМ (All VMs), но гибкость в назначении прав вполне достаточная – это может быть виртуальная машина целиком, все или отдельно взятые файлы.
Для нашего пользователя, имеющего роль Portal User либо Restore Operator, хотим выбрать конкретные машины, которые ему будет позволено восстанавливать.
Нажимаем ОК, чтобы сохранить настройки.
Если достаточно делегирования прав на восстановление на уровне ВМ, то на этом наши шаги завершены.
Если же нужно выдать права с большим уровнем гранулярности, то идем дальше.
В том же диалоге Account переходим к опциям Allow restore of и выбираем, что будет разрешено восстанавливать данному пользователю:
Все эти администраторы увидят бэкапы своих приложений и смогут выполнять восстановление нужных объектов, открыв в Enterprise Manager вкладку Items. Более детально процессы восстановления для этих приложений описываются в разделе руководства пользователя "Backup and Restore of Application Items" (на англ. яз.).
В завершение нажимаем OK, сохраняя настройки.
Следует иметь в виду, что «область действия» обновляется автоматически один раз в сутки, а также после любого редактирования прав согласно описанной процедуре.
На этом процедура настройки ролей закончена.
В организациях (особенно крупных) со временем возникает необходимость разделить области ответственности ИТ-специалистов. Например, один из них отвечает за работу серверов баз данных, другой – за почтовые сервера, третий – за SharePoint, и так далее. Кроме того, организуется служба поддержки внутренних пользователей, а в её обязанности входит, в том числе, и помощь в восстановлении конкретных машин, файлов, и т.д. Для выполнения задач восстановления людям понадобятся соответствующие права и удобный интерфейс. Здесь разумно задействовать Veeam Backup Enterprise Manager, в частности, его настройки пользовательских ролей.
За подробностями добро пожаловать под кат.
Назначаем роли
До того, как начать делегирование прав, удостоверимся, что сервис Veeam Backup Enterprise Manager работает под учетной записью, входящей в домен Active Directory – тогда можно будет назначать нужные роли пользователям и группам из AD.
Заходим на веб-портал Enterprise Manager, используя учетную запись с правами администратора портала – по умолчанию они есть у того, кто выполнял установку, и у тех, кто входит в группу локальных администраторов на данной машине.
- Нажимаем Configuration справа вверху и затем слева выбираем вкладку Roles:
- Чтобы добавить нового пользователя портала, нажимаем Add.
- В открывшемся диалоге начинаем с поля Account type:
- В выпадающем списке выбираем User, если хотим дать права отдельно взятому пользователю.
- Для назначения прав группе выбираем, соответственно, Group.
- В поле Account вводим учетную запись, которой будем назначать права, в формате домен/имя.
- Переходим к списку пользовательских ролей Enterprise Manager.
- Portal Administrator – те, кому назначена эта роль, получают доступ ко всем настройкам и возможностям Enterprise Manager. Они смогут выполнять поиск и восстановление любых забэкапленных виртуальных машин и файлов, а также задавать параметры работы Enterprise Manager в панели настроек (по нажатию Configuration). Пользователям с другими ролями эта панель недоступна.
- Portal User и Restore Operator – пользователи с такими ролями, как правило, имеют доступ к ограниченному ряду виртуальных машин (это их «разрешенная область действия»). Например, администратору баз данных резонно дать права на восстановление серверов SQL и Oracle. На вкладках VMs и Files после логина такой пользователь увидит только данные тех машин, которые входят в его «область действия». Portal Users будут видеть статистику бэкапов для доступных им ВМ на вкладке Dashboards.
Важно! Если у вас редакция Veeam Backup & Replication Enterprise Plus, то область действия можно варьировать с точностью до машины; в остальных случаях область действия будет включать в себя все ВМ (All VMs), но гибкость в назначении прав вполне достаточная – это может быть виртуальная машина целиком, все или отдельно взятые файлы.
Настраиваем «разрешенную область действия»
Для нашего пользователя, имеющего роль Portal User либо Restore Operator, хотим выбрать конкретные машины, которые ему будет позволено восстанавливать.
- Для этого из опций Restore scope выбираем Selected virtual machines only и нажимаем кнопку Choose.
- В диалоге Manage scope objects нажимаем на Add object и выбираем, какого типа объект будет добавлен в перечень разрешенных к восстановлению нашим пользователем:
- Затем выбираем в дереве конкретные объекты:
Нажимаем ОК, чтобы сохранить настройки.
Если достаточно делегирования прав на восстановление на уровне ВМ, то на этом наши шаги завершены.
Если же нужно выдать права с большим уровнем гранулярности, то идем дальше.
Назначаем гранулярные права
В том же диалоге Account переходим к опциям Allow restore of и выбираем, что будет разрешено восстанавливать данному пользователю:
- ВМ целиком (Entire virtual machine) – машины из «области действия», очерченной ранее, будут видны пользователю, когда он откроет вкладку VMs. О восстановлении машин «в один клик» подробно рассказывается в разделе руководства пользователя "Performing 1-Click VM Restore" (на англ. яз). Вкратце: требуется лицензия Enterprise либо Enterprise Plus; машина будет восстановлена в исходное местоположение (туда, где она располагалась при создании бэкапа); восстановление из аппаратных снимков не поддерживается из веб-портала Enterprise Manager (сработает только из консоли управления Veeam Backup). Файлы гостевой системы будут скрыты для пользователя, если только вы не выберете следующую опцию.
- Файлы гостевой системы (Guest files) – тут возможны варианты:
- Разрешить только восстановление в исходное местоположение (Allow in-place file level restores only) – в таком случае пользователь не будет иметь права сохранять файлы к себе на локальную машину, кнопка Download будет неактивна.
- Разрешить только восстановление файлов со следующими расширениями (Allow restores of files with these extensions only) – еще более строгое ограничение: через запятую указываем, какие типы файлов может восстанавливать наш пользователь.
- Если наш пользователь – администратор сервера Exchange, и мы хотим позволить ему восстанавливать объекты из почтовых ящиков (то есть письма, задачи или календарь), то выбираем Microsoft Exchange items
- Если пользователь – администратор баз SQL, и мы разрешаем ему восстанавливать базы на нужный ему момент времени, то выбираем Microsoft SQL Server databases. Здесь можно наложить дополнительное ограничение, указав, что пользователю не разрешается восстановление в продакшен, которое могло бы перезаписать текущие данные данными из бэкапа (Deny in-place database restores (safer)).
Все эти администраторы увидят бэкапы своих приложений и смогут выполнять восстановление нужных объектов, открыв в Enterprise Manager вкладку Items. Более детально процессы восстановления для этих приложений описываются в разделе руководства пользователя "Backup and Restore of Application Items" (на англ. яз.).
В завершение нажимаем OK, сохраняя настройки.
Следует иметь в виду, что «область действия» обновляется автоматически один раз в сутки, а также после любого редактирования прав согласно описанной процедуре.
- Если пользователь после логина не видит машинки, которые вы разрешили ему восстанавливать, ему следует кликнуть по ссылке I don’t see my VMs, чтобы обновить данные в представлении.
- Обладатели админских прав могут обновить представление «области действия» вручную сразу для всех ролей, которые настроены в Enterprise Manager – для этого нужно открыть представление Configuration, слева выбрать Roles и нажать кнопку Rebuild roles.
На этом процедура настройки ролей закончена.
Что еще почитать
Поделиться с друзьями