Делегуємо права на відновлення віртуальних машин, файлів і об'єктів додатків за допомогою Enterprise Manager

В одному з недавніх постів йшлося про те, як можна делегувати рядовим користувачам операції відновлення файлів віртуальних машин, використовуючи веб-портал Veeam Self-Service File Restore. Сьогодні ж, як і було обіцяно, я розповім про делегування прав на відновлення різних об'єктів з бекапа за допомогою Veeam Backup Enterprise Manager.
В організаціях (особливо великих) з часом виникає необхідність розділити відповідальності ІТ-фахівців. Наприклад, один з них відповідає за роботу серверів баз даних, інший – за поштові сервера, третій – за SharePoint, і так далі. Крім того, організується служба підтримки внутрішніх користувачів, а в її обов'язки входить, у тому числі, і допомога у відновленні конкретних машин, файлів, і т. д. Для виконання завдань відновлення людям знадобляться відповідні права і зручний інтерфейс. Тут розумно задіяти Veeam Backup Enterprise Manager, зокрема, його налаштування користувацьких ролей.
За подробицями ласкаво просимо під кат.




Призначаємо ролі
До того, як почати делегування прав, переконаємося, що сервіс Veeam Backup Enterprise Manager працює під обліковим записом, що входить в домен Active Directory – тоді можна буде призначати потрібні ролі користувачам і групам з AD.

Заходимо на веб-портал Enterprise Manager, використовуючи обліковий запис з правами адміністратора порталу – за замовчуванням вони є у того, хто виконував установку, і у тих, хто входить в групу локальних адміністраторів на даній машині.

  1. Натискаємо Configuration праворуч вгорі і потім зліва вибираємо вкладку Roles:



  2. Щоб додати нового користувача порталу, натискаємо Add.
  3. В діалозі починаємо з поля Account type:



    • У випадаючому списку вибираємо User, якщо хочемо дати права окремо взятому користувачеві.
    • Для призначення прав групі вибираємо, відповідно, Group.
  4. У полі Account вводимо обліковий запис, якій будемо призначати права, у форматі домен/ім'я.
  5. Переходимо до списку ролей Enterprise Manager.
    • Portal Administrator – ті, кому призначена ця роль, отримують доступ до всіх налаштувань і можливостей Enterprise Manager. Вони зможуть виконувати пошук і відновлення будь-яких забэкапленных віртуальних машин і файлів, а також задавати параметри роботи Enterprise Manager в панелі налаштувань (по натисненню Configuration). Користувачам з іншими ролями ця панель недоступна.
    • Portal User Restore Operator – користувачі з такими ролями, як правило, мають доступ до обмеженого ряду віртуальних машин (це їх «дозволена область дії»). Наприклад, адміністратора баз даних резонно дати права на відновлення серверів SQL Oracle. На вкладках VMs та Files після логіна такий користувач побачить тільки дані тих машин, які входять в його «область дії». Portal Users будуть бачити статистику бекапів для доступних їм ВМ на вкладці Dashboards.
Важливо! Якщо у вас редакція Veeam Backup & Replication Enterprise Plus, область дії можна варіювати з точністю до машини; в інших випадках область дії буде включати в себе всі ВМ (All VMs), але гнучкість у призначенні прав цілком достатня – це може бути віртуальна машина цілком, або окремо взяті файли.

Налаштовуємо «дозволену область дії»
Для нашого користувача, що має роль Portal User або Restore Operator, хочемо вибрати конкретні машини, які йому буде дозволено відновлювати.
  1. Для цього з опцій Restore scope вибираємо Selected virtual machines only і натискаємо кнопку Choose.
  2. У діалоговому вікні Manage scope objects натискаємо Add object і вибираємо, якого типу об'єкт буде додано до переліку дозволених до відновлення нашим користувачем:



  3. Потім вибираємо в дереві конкретні об'єкти:


Натискаємо OK, щоб зберегти налаштування.

Якщо досить делегування прав на відновлення на рівні ВМ, то на цьому наші кроки завершені.
Якщо ж потрібно видати права з великим рівнем гранулярности, то йдемо далі.

Призначаємо гранулярні права
В тому ж вікні Account переходимо до опцій Allow restore of і вибираємо, що буде дозволено відновлювати користувачу:
  • ВМ (Entire virtual machine) – машини з області дії», окресленої раніше, будуть користувачеві видно, коли він відкриє вкладку VMs. Про відновлення машин «в один клік» детально розповідається в розділі керівництва користувача "Performing 1-Click VM Restore" (на англ. яз). Коротко: потрібна ліцензія Enterprise або Enterprise Plus; машина буде відновлена у вихідне місце розташування (туди, де вона розташовувалася при створенні бекапа); відновлення з апаратних знімків не підтримується веб-порталу Enterprise Manager (спрацює тільки з консолі управління Veeam Backup). Файли гостьової системи будуть приховані для користувача, якщо тільки ви не виберете таку опцію.
  • Файли гостьової системи (Guest files) – тут можливі варіанти:
    • Дозволити лише відновлення в початкове розташування (Allow in-place file level restores only) – в такому випадку користувач не буде мати права зберігати файли до себе на локальну машину, кнопка Завантажити буде неактивна.
    • Дозволити тільки відновити файли з наступними розширеннями (Allow restores of files with these extensions only) – ще більш суворе обмеження: через кому вказуємо, які типи файлів може відновлювати наш користувач.

  • Якщо наш користувач – адміністратор сервера Exchange, і ми хочемо дозволити йому відновлювати об'єкти з поштових скриньок (тобто листи, завдання або календар), то вибираємо Microsoft Exchange items
  • Якщо користувач – адміністратор баз SQL, і ми дозволяємо йому відновлювати бази на потрібний йому момент часу, то вибираємо Microsoft SQL Server databases. Тут можна накласти обмеження, вказавши, що користувачу не дозволяється відновлення в продакшен, яке могло б замінити поточні дані даними з бекапа (Deny in-place database restores (safer)).



Всі ці адміністратори побачать бекапи своїх додатків і зможуть виконувати відновлення потрібних об'єктів, відкривши в Enterprise Manager вкладку Items. Більш детально процеси відновлення для цих додатків описуються в розділі керівництва користувача "Backup and Restore of Application Items" (на англ. яз.).
На завершення натискаємо OK, зберігаючи налаштування.
Слід мати на увазі, що «область дії» оновлюються автоматично один раз в добу, а також після будь-якого редагування прав згідно з описаною процедурою.
  • Якщо користувач після логіна не бачить машинки, які ви дозволили йому відновлювати, йому слід клікнути по посиланню I don't see my VMs, щоб оновити дані в поданні.
  • Володарі адмінських прав можуть оновити подання «області дії» вручну відразу для всіх ролей, які налаштовані в Enterprise Manager – для цього потрібно відкрити подання Configuration, зліва вибрати Roles і натиснути кнопку Rebuild roles.
На цьому процедура налаштування ролей закінчена.

Що ще почитати


Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.