Делегуємо права на відновлення віртуальних машин, файлів та об’єктів програм за допомогою

В одному з недавніх постів йшлося про те, як можна делегувати пересічним користувачам операції відновлення файлів віртуальних машин, використовуючи веб-портал Veeam Self-Service File Restore. Сьогодні ж, як і було обіцяно, я розповім про делегування прав на відновлення різних об'єктів з бекапу за допомогою Veeam Backup Enterprise Manager. В організаціях (особливо великих) згодом виникає необхідність розділити галузі відповідальності ІТ-фахівців. Наприклад, один з них відповідає за роботу серверів баз даних, інший – за поштові сервери, третій – за SharePoint тощо. З іншого боку, організується служба підтримки внутрішніх користувачів, а її обов'язки входить, зокрема, й допомогу у відновленні конкретних машин, файлів, тощо. Для виконання завдань відновлення людям знадобляться відповідні права та зручний інтерфейс. Тут розумно задіяти Veeam Backup Enterprise Manager, зокрема, його налаштування ролей користувача. За подробицями ласкаво просимо під кат.

віртуальних

Призначаємо ролі

Перш ніж розпочати делегування прав, переконаємося, що сервіс Veeam Backup Enterprise Manager працює під обліковим записом, що входить до домену Active Directory – тоді можна буде призначати потрібні ролі користувачам та групам з AD.

Заходимо на веб-портал Enterprise Manager, використовуючи обліковий запис з правами адміністратора порталу – за замовчуванням вони є у того, хто виконував інсталяцію, і тих, хто входить до групи локальних адміністраторів на цій машині.

    НатискаємоConfigurationправоруч угорі і потім зліва вибираємо вкладкуRoles:

відновлення

  • Щобдодати нового користувача порталу, натискаємоAdd.
  • У діалозі починаємо з поляAccount type:

    • делегуємо

    • У списку вибираємоUser, якщо хочемо дати права окремо взятому користувачеві.
    • Для призначення прав групі вибираємо, відповідно,Group.
  • У поліAccountвводимо обліковий запис, яким призначатимемо права, у форматідомен/ім'я.
  • Переходимо до списку ролей користувача Enterprise Manager.
  • Portal Administrator– ті, кому призначена ця роль, отримують доступ до всіх налаштувань та можливостей Enterprise Manager. Вони зможуть здійснювати пошук та відновлення будь-яких забекаплених віртуальних машин і файлів, а також задавати параметри роботи Enterprise Manager на панелі налаштувань (натисканнямConfiguration). Користувачам з іншими ролями ця панель недоступна.
  • Portal UserтаRestore Operator– користувачі з такими ролями, як правило, мають доступ до обмеженого ряду віртуальних машин (це їх «дозволена область дії»). Наприклад, адміністратору баз даних резонно дати права на відновлення серверів SQL та Oracle. На вкладкахVMsіFilesпісля логіну такий користувач побачить лише дані тих машин, які входять до його «області дії».Portal Usersбудуть бачити статистику бекапів для доступних їм ВМ на вкладціDashboards.
    • Важливо!Якщо у вас редакція Veeam Backup & Replication Enterprise Plus, область дії можна варіювати з точністю до машини; в інших випадках область дії буде включати всі ВМ (All VMs), але гнучкість у призначенні прав цілком достатня - це може бути віртуальна машина цілком, всеабо окремо взяті файли.

    Налаштовуємо «дозволену область дії»

    Для нашого користувача, що має рольPortal UserабоRestore Operator, хочемо вибрати конкретні машини, які буде дозволено відновлювати.

    1. Для цього з опційRestore scopeвибираємоSelected virtual machines onlyі натискаємо кнопкуChoose.
    2. У діалозіManage scope objectsнатискаємо наAdd objectі вибираємо, якого типу об'єкт буде додано до переліку дозволених для відновлення нашим користувачем:

    віртуальних

    Потім вибираємо у дереві конкретні об'єкти:

    віртуальних
    НатискаємоОК, щоб зберегти налаштування.

    Якщо достатньо делегування прав на відновлення на рівні ВМ, на цьому наші кроки завершені. Якщо потрібно видати права з великим рівнем гранулярності, то йдемо далі.

    Призначаємо гранулярні права

    У тому ж діалозіAccountпереходимо до опційAllow restore ofі вибираємо, що буде дозволено відновлювати цьому користувачу:

    • ВМ повністю (Entire virtual machine) – машини з «області дії», окресленої раніше, будуть видні користувачеві, коли він відкриє вкладкуVMs. Про відновлення машин "в один клік" докладно розповідається в розділі посібника користувача "Performing 1-Click VM Restore" (англійською мовою). Коротко: потрібна ліцензія Enterprise чи Enterprise Plus; машина буде відновлена ​​у вихідне місце (туди, де вона розташовувалася при створенні бекапу); відновлення з апаратних знімків не підтримується з веб-порталу Enterprise Manager (спрацює лише з консолі керування Veeam Backup). Файли гостьової системи будуть приховані для користувача, якщо ви не оберете наступну опцію.
    • Файли гостьової системи (Guest files) – тут можливі варіанти:
    • Дозволити лише відновлення у вихідне місце (Allow in-place file level restores only) – у такому разі користувач не матиме права зберігати файли до себе на локальну машину, кнопкаDownloadбуде неактивна.
    • Дозволити лише відновлення файлів з наступними розширеннями (Allow restores of files with these extensions only) – ще суворіше обмеження: через кому вказуємо, які типи файлів може відновлювати наш користувач.
  • Якщо наш користувач є адміністратором сервера Exchange, і ми хочемо дозволити йому відновлювати об'єкти з поштових скриньок (тобто листи, завдання або календар), то вибираємоMicrosoft Exchange items
  • Якщо користувач - адміністратор баз SQL, і ми дозволяємо йому відновлювати бази на потрібний момент часу, то вибираємоMicrosoft SQL Server databases. Тут можна накласти додаткове обмеження, вказавши, що користувачу не дозволяється відновлення в продакшен, яке могло б перезаписати поточні дані з бекапу (Deny in-place database restores (safer)).

    • відновлення

    Всі ці адміністратори побачать бекапи своїх програм і зможуть виконувати відновлення потрібних об'єктів, відкривши в Enterprise Manager вкладкуItems. Більш детально процеси відновлення для цих програм описуються в розділі посібника користувача "Backup and Restore of Application Items" (англ. яз.). На завершення натискаємоOK, зберігаючи налаштування. Слід мати на увазі, що «область дії» оновлюється автоматично один раз на добу, а також після будь-якого редагування прав згідно з описаною процедурою.

    • Якщо користувач після логіну не бачить машинки, які ви дозволили йому відновлювати, йому потрібно клікнути за посиланнямI don't see my VMs, щоб оновити дані в поданні.
    • Власники адмінських прав можуть оновити подання «області дії» вручну відразу для всіх ролей, які налаштовані в Enterprise Manager – для цього потрібно відкрити поданняConfiguration, ліворуч вибратиRolesта натиснути кнопкуRebuild roles.
    На цьому процедура налаштування ролей закінчена.