所需权限

在本页面

    请确保您计划使用的用户帐户具有以下部分所述的权限。

    安装和使用 Veeam Backup & Replication

    用于安装和使用 Veeam Backup & Replication 的帐户必须具有以下权限。

    帐户名称

    所需权限

    设置帐号

    用于产品安装的帐户必须在目标机器上具有本地管理员权限。

    Veeam Backup & Replication 控制台权限

    当您第一次打开Veeam Backup & Replication控制台时,或在备份服务器上安装累积补丁程序后,您必须在具有安装控制台的机器上具有本地管理员权限的帐户下运行控制台。在其他情况下(文件级还原除外),您可以使用安装了控制台的机器上的Users(用户)组成员的帐户运行该备份。

    要对 Microsoft Windows 虚拟机执行文件级还原,该帐户必须具有以下权限:

    • 启动 Veeam Backup & Replication 控制台的本地管理员权限
    • 用于连接到 Veeam 备份服务器和启动还原流程的 SeBackupPrivilegeSeRestorePrivilege

    在大多数环境中,SeBackupPrivilegeSeRestorePrivilege 被分配给添加到管理员组的用户帐户。更多信息,请参见Microsoft 文档

    属于受保护用户 Active Directory 组的帐户不能用于通过 Veeam Backup & Replication 控制台远程访问备份服务器。更多信息,请参见Microsoft 文档

    Veeam Backup Service 帐户

    用于运行 Veeam Backup Service 的帐户必须是 LocalSystem 帐户,或者必须在备份服务器上具有本地管理员权限。

    Microsoft SQL Server
    (存储配置数据库的位置)

    在以下情况中,您需要不同的 Microsoft SQL 权限集:

    • 安装(远程或本地):当前帐户需要在 SQL Server 级别上具有 CREATE ANY DATABASE 权限。创建数据库后,该帐户将自动获得一个 db_owner 角色,并可以对数据库执行所有操作。如果当前帐户没有此权限,则数据库管理员可以提前创建一个空数据库,并将 db_owner 角色授予将用于安装 Veeam Backup & Replication 的帐户。
    • 升级:当前帐户应具有该数据库的足够权限。要通过角色分配授予这些权限,建议您使用具有 db_owner 角色的帐户。
    • 操作:用于运行 Veeam Backup Service 的帐户需要 db_datareaderdb_datawriter 角色以及为 Microsoft SQL Server 上的配置数据库执行存储程序的权限。或者,您可以将此数据库的 db_owner 角色分配给服务帐户。

    更多信息,请参见 Microsoft 文档

    使用虚拟化服务器和主机

    以下是在数据保护任务期间使用虚拟化服务器和主机所需的权限。 

    角色

    所需权限

    源端 /目标端Hyper-V主机或集群

    管理员权限。

    SCVMM

    任何SCVMM用户。

    Windows Server
    添加到备份基础架构中

    管理员权限

    Linux 服务器
    添加到备份基础架构中

    添加Linux服务器时,您指定的帐户权限因计划分配给该服务器的角色而异:

    • Veeam Data Mover必须具有持久性(强化/不可变存储库)的角色需要根或等效权限。有关角色的完整列表,请参见Veeam Data Mover
    • 与NFS共享进行通信的网关服务器需要具有根或等效权限。
    • 备份存储库需要对存储备份的文件夹具有读写权限。您将在备份存储库向导Configure Backup Repository Settings (配置备份存储库设置)步骤中配置此文件夹。
    • 其他角色需要对服务器将运行的文件和文件夹具有读写权限。

    SMB 备份存储库

    在目标文件夹和共享上的写入权限。

     

    执行来宾处理

    要使用来宾操作系统处理(应用感知处理、预冻结和解冻后脚本、事务日志处理、来宾文件索引及文件排除),请确保根据本节所列要求配置您的帐户。有关来宾处理的更多信息,请参见来宾处理

    用于来宾处理的所有用户帐户必须具有以下权限:

    • 已授予作为批处理作业登录
    • 未设置拒绝作为批处理作业登录

    其他权限取决于您备份的应用程序。您可以在下表中找到备份操作的权限。有关还原操作的权限,请参见 Veeam Explorers 用户指南中的所需权限部分

    应用程序

    所需权限

    Microsoft SQL Server

    要备份 Microsoft SQL Server 数据,必须分配以下角色:

    • 目标虚拟机上的管理员角色。
    • 目标 Microsoft SQL Server 上的 Sysadmin 角色。

    如果需要提供最小权限,必须为帐户分配以下角色和权限:

    • SQL Server 实例级角色:publicdbcreator
    • 数据库级角色和模型系统数据库的角色:db_backupoperatordb_denydatareaderpublic
      用于主系统数据库—db_backupoperatordb_datareaderpublic
      用于msdb系统数据库—db_backupoperatordb_datareaderpublic,db_datawriter
    • 安全对象:查看任何定义查看服务器状态,连接SQL

    Microsoft Active Directory

    要备份Microsoft Active Directory数据,该帐户必须是内置Administrators组的成员。

    Microsoft Exchange

    要备份 Microsoft Exchange 数据,该帐户必须在安装 Microsoft Exchange 的机器上具有本地管理员权限。

    甲骨文

    Guest Processing (客户机处理)步骤中指定的帐户必须配置如下:

    • 对于基于 Windows 的虚拟机,该帐户必须是 Local Administrator 组和 ORA_DBA 组的成员(如果使用操作系统身份验证)。此外,如果使用 ASM,则该帐户必须是 ORA_ASMADMIN 组的成员(对于 Oracle 12 及更高版本)。
    • 对于基于 Linux 的虚拟机,该帐户必须是提升为用户的 Linux 用户。

    要备份 Oracle 数据库,请确保在 Oracle 选项卡上指定的帐户已被授予 SYSDBA 权限。如果帐户是基于Windows的虚拟机和OSASM的ORA_DBA组,基于Linux的虚拟机的OSDBA和OINSTALL组的成员,则可以使用在Guest Processing (客户机处理)步骤中指定的帐户。 ,例如SYS Oracle帐户或已授予SYSDBA权限的任何其他Oracle帐户。

    为了对Linux Server上的Oracle数据库进行来宾处理, 需要确保/tmp 目录挂载时使用exec 选项. 否则,会报拒绝访问错误。

    Microsoft Exchange

    要备份 Microsoft SharePoint 服务器,必须为该帐户分配 Farm Administrator 角色

    要备份 Microsoft SharePoint Server 的 Microsoft SQL 数据库,该帐户必须具有与 Veeam Explorer for Microsoft SQL Server 帐户相同的权限。

    选择用户帐户时,请考虑以下一般要求:

    • [对于来宾操作系统文件索引] 对于基于 Windows 的工作负载,请选择具有管理员权限的帐户。对于基于 Linux 的工作负载,请选择根用户或提升为根用户的帐户。
    • 如要使用无网络来宾处理 PowerShell Direct您必须在备份向导的Guest Processing (客户机处理)步骤中指定以下帐户之一。检查该帐户是否也具有表中列出的权限。
    • 如果启用了Windows用户帐户控制(UAC),请指定本地管理员(MACHINE \ Administrator)或域管理员(DOMAIN \ Administrator)帐户。
    • 如果禁用了UAC,请指定属于内置Administrators组的成员的帐户。
    • 使用 Active Directory 账户时,确保以 DOMAIN\Username(域\用户名)格式提供帐户。
    • 使用本地用户帐户时,请确保以 用户名或 HOST\Username(主机\用户名)格式提供帐户。
    • 要处理域控制器服务器,请确保您使用的帐户是 DOMAIN\Administrators(域\管理员)组的成员。
    • 若要备份只读域控制器,委派的 RODC 管理员帐户便已足够。更多信息,请参见这篇 Microsoft 文章

    使用对象存储库

    Amazon S3 对象存储权限

    请注意以下信息:

    以下是使用已禁用不可变性的 Amazon S3 对象存储所需的权限。

    {

     "s3:ListBucket",

     "s3:GetBucketLocation",

     "s3:GetObject",

     "s3:PutObject",

     "s3:DeleteObject",

     "s3:ListAllMyBuckets",

     "s3:GetBucketVersioning"

    }

     

    以下是使用已启用不可变性的 Amazon S3 对象存储所需的权限。有关不可变性的更多信息,请参见不可变性

    {

     "s3:ListBucket",

     "s3:GetBucketLocation",

     "s3:GetObject",

     "s3:PutObject",

     "s3:DeleteObject",

     "s3:ListAllMyBuckets",

     "s3:GetBucketVersioning",

     "s3:GetBucketObjectLockConfiguration",

     "s3:ListBucketVersions",

     "s3:GetObjectVersion",

     "s3:GetObjectRetention",

     "s3:GetObjectLegalHold",

     "s3:PutObjectRetention",

     "s3:PutObjectLegalHold",

     "s3:DeleteObjectVersion"

    }

     

    有关示例,请参见 this Veeam KB article。有关权限的更多信息,请参见这篇 Amazon 文章

    Google Cloud 对象存储权限

    请考虑以下事项:如果您在New Object Repository (新建对象存储库)向导Bucket (存储桶)步骤中明确指定存储桶名称,则不需要storage.buckets.list权限

    所有者 IAM 角色不一定授予使用 Google Cloud Storage 所需的权限。

    以下是使用 Google Cloud 对象存储所需的权限。

    {

     "storage.buckets.get",

     "storage.buckets.list",

     “ storage.objects.create”,

     “ storage.objects.delete”,

     "storage.objects.get",

     "storage.objects.list"

    }

    Amazon S3 Glacier 存储权限

    Amazon S3 Glacier的权限取决于您使用启用还是禁用不变性的存储。

    以下是使用禁用了不可变性的Amazon S3 Glacier对象存储所需的权限

    • VPC将子网和安全组设置为Create new

    {

    “ Version”:“ 2012-10-17”,

    “声明”:[

       {

    “ Sid”:“ VisualEditor0”,

    “ Effect”:“ Allow”,

    “ Action”:[

           "s3:DeleteObject",

           "s3:PutObject",

           "s3:GetObject",

           "s3:RestoreObject",

           "s3:ListBucket",

           "s3:AbortMultipartUpload",

           "s3:GetBucketVersioning",

           "s3:ListAllMyBuckets",

           "s3:GetBucketLocation",

           "s3:GetBucketObjectLockConfiguration",

           "ec2:DescribeInstances",

           "ec2:CreateKeyPair",

           "ec2:DescribeKeyPairs",

           "ec2:RunInstances",

           "ec2:DeleteKeyPair",

           "ec2:DescribeVpcAttribute",

           "ec2:CreateTags",

           "ec2:DescribeSubnets",

           "ec2:TerminateInstances",

           "ec2:DescribeSecurityGroups",

           "ec2:DescribeImages",

           "ec2:DescribeVpcs",

           "ec2:CreateVpc",

           "ec2:CreateSubnet",

           "ec2:DescribeAvailabilityZones",

           "ec2:CreateRoute",

           "ec2:CreateInternetGateway",

           "ec2:AttachInternetGateway",

           "ec2:ModifyVpcAttribute",

           "ec2:CreateSecurityGroup",

           "ec2:DeleteSecurityGroup",

           "ec2:AuthorizeSecurityGroupIngress",

           "ec2:AuthorizeSecurityGroupEgress",

           "ec2:DescribeRouteTables",

           "ec2:DescribeInstanceTypes"

         ],

    “ Resource”:“*”

       }

     ]

    }

    • 借助预配置的VPC,子网和安全组

    {

     "Version": "2012-10-17",

     "Statement": [

       {

         "Sid": "VisualEditor0",

         "Effect": "Allow",

         "Action": [

           "s3:DeleteObject",

           "s3:PutObject",

           "s3:GetObject",

           "s3:RestoreObject",

           "s3:ListBucket",

           "s3:AbortMultipartUpload",

           "s3:GetBucketVersioning",

           "s3:ListAllMyBuckets",

           "s3:GetBucketLocation",

           "s3:GetBucketObjectLockConfiguration",

           "ec2:DescribeInstances",

           "ec2:CreateKeyPair",

           "ec2:DescribeKeyPairs",

           "ec2:RunInstances",

           "ec2:DeleteKeyPair",

           "ec2:DescribeVpcAttribute",

           "ec2:CreateTags",

           "ec2:DescribeSubnets",

           "ec2:TerminateInstances",

           "ec2:DescribeSecurityGroups",

           "ec2:DescribeImages",

           "ec2:DescribeVpcs"

         ],

         "Resource": "*"

       }

     ]

    }

    以下是使用启用了不可变性Amazon S3对象存储所需的权限

    • With VPC, subnet and security group set as Create new

    {

     "Version": "2012-10-17",

     "Statement": [

       {

         "Sid": "VisualEditor0",

         "Effect": "Allow",

         "Action": [

           "s3:DeleteObject",

           "s3:PutObject",

           "s3:GetObject",

           "s3:RestoreObject",

           "s3:ListBucket",

           "s3:AbortMultipartUpload",

           "s3:GetBucketVersioning",

           "s3:ListAllMyBuckets",

           "s3:GetBucketLocation",

           "s3:GetBucketObjectLockConfiguration",

           "s3:PutObjectRetention",

           "s3:GetObjectVersion",

           "s3:PutObjectLegalHold",

           "s3:GetObjectRetention",

           "s3:DeleteObjectVersion",

           "s3:ListBucketVersions",

           "ec2:DescribeInstances",

           "ec2:CreateKeyPair",

           "ec2:DescribeKeyPairs",

           "ec2:RunInstances",

           "ec2:DeleteKeyPair",

           "ec2:DescribeVpcAttribute",

           "ec2:CreateTags",

           "ec2:DescribeSubnets",

           "ec2:TerminateInstances",

           "ec2:DescribeSecurityGroups",

           "ec2:DescribeImages",

           "ec2:DescribeVpcs",

           "ec2:CreateVpc",

           "ec2:CreateSubnet",

           "ec2:DescribeAvailabilityZones",

           "ec2:CreateRoute",

           "ec2:CreateInternetGateway",

           "ec2:AttachInternetGateway",

           "ec2:ModifyVpcAttribute",

           "ec2:CreateSecurityGroup",

           "ec2:DeleteSecurityGroup",

           "ec2:AuthorizeSecurityGroupIngress",

           "ec2:AuthorizeSecurityGroupEgress",

           "ec2:DescribeRouteTables",

           "ec2:DescribeInstanceTypes"

         ],

         "Resource": "*"

       }

     ]

    }

    • With preconfigured VPC, subnet and security group

    {

     "Version": "2012-10-17",

     "Statement": [

       {

         "Sid": "VisualEditor0",

         "Effect": "Allow",

         "Action": [

           "s3:DeleteObject",

           "s3:PutObject",

           "s3:GetObject",

           "s3:RestoreObject",

           "s3:ListBucket",

           "s3:AbortMultipartUpload",

           "s3:GetBucketVersioning",

           "s3:ListAllMyBuckets",

           "s3:GetBucketLocation",

           "s3:GetBucketObjectLockConfiguration",

           "s3:PutObjectRetention",

           "s3:GetObjectVersion",

           "s3:PutObjectLegalHold",

           "s3:GetObjectRetention",

           "s3:DeleteObjectVersion",

           "s3:ListBucketVersions",

           "ec2:DescribeInstances",

           "ec2:CreateKeyPair",

           "ec2:DescribeKeyPairs",

           "ec2:RunInstances",

           "ec2:DeleteKeyPair",

           "ec2:DescribeVpcAttribute",

           "ec2:CreateTags",

           "ec2:DescribeSubnets",

           "ec2:TerminateInstances",

           "ec2:DescribeSecurityGroups",

           "ec2:DescribeImages",

           "ec2:DescribeVpcs"

         ],

         "Resource": "*"

       }

     ]

    }

    Azure 归档对象存储权限

    以下是使用 Azure 归档对象存储所需的权限。

    {

    “ properties”:{

    “ roleName”:“ CUSTOM_ROLE_MINIMAL_PERMISSIONS”,

    “ description”:“ CUSTOM_ROLE_MINIMAL_PERMISSIONS”,

    “ assignableScopes”:[

         "/subscriptions/111111-1111-1111-0000-00000000000"

       ],

    “ permissions”:[

         {

    “ actions”:[

    “ Microsoft.Authorization/*/read”,

    “ Microsoft.Compute/locations/*”,

    “ Microsoft.Compute/virtualMachines/*”,

    “ Microsoft.Network/locations/*”,

    “ Microsoft.Network/networkInterfaces/*”,

    “ Microsoft.Network/networkSecurityGroups/join/action”,

    “ Microsoft.Network/networkSecurityGroups/read”,

    “ Microsoft.Network/networkSecurityGroups/write”,

    “ Microsoft.Network/networkSecurityGroups/delete”,

    “ Microsoft.Network/publicIPAddresses/join/action”,

    “ Microsoft.Network/publicIPAddresses/read”,

    “ Microsoft.Network/publicIPAddresses/write”,

    “ Microsoft.Network/publicIPAddresses/delete”,

    “ Microsoft.Network/virtualNetworks/read”,

    “ Microsoft.Network/virtualNetworks/write”,

    “ Microsoft.Network/virtualNetworks/subnets/join/action”,

    “ Microsoft.Storage/storageAccounts/listkeys/action”,

    “ Microsoft.Storage/storageAccounts/read”,

    “ Microsoft.Resources/deployments/*”,

    “ Microsoft.Resources/subscriptions/resourceGroups/read”,

    “ Microsoft.Resources/checkResourceName/action”,

    “ Microsoft.Resources/subscriptions/resourceGroups/write”,

    “ Microsoft.Resources/subscriptions/locations/read”

           ],

    “ notActions”:[],

    “ dataActions”:[],

    “ notDataActions”:[]

         }

       ]

     }

    }

    集成存储系统

    要使用存储快照执行数据保护和灾难恢复操作,用于连接至存储系统的帐户必须具有必要权限。

    NetApp Data ONTAP/Lenovo Thinksystem DM 权限

    用于连接到 NetApp Data ONTAP/Lenovo Thinksystem DM 存储系统的帐户必须拥有以下权限:

    7-模式

    CDOT(VMware集成)

    命令/目录

    访问/查询级别

    默认

    只读

    集群

    只读

    Metrocluster

    只读

    fcp

    只读

    文件

    只读

    igroup

    全部

    iscsi

    全部

    网络

    只读

    节点

    只读

    安全性

    只读

    安全登录

    只读

    设置

    只读

    SnapMirror

    全部

    系统

    只读

    版本

    只读

    qtree

    只读

    lun

    全部

    NFS

    全部

    快照

    全部

    全部

    vserver

    全部

    仅作为SVM(VMware集成)

    命令/目录

    访问/查询级别

    默认

    lun

    全部

    lun igroup

    全部

    网络

    只读

    安全性

    只读

    安全登录

    只读

    snapmirror

    全部

    系统

    只读

    版本

    只读

    全部

    卷文件

    只读

    卷q树

    全部

    卷快照

    全部

    vserver

    全部

    vserver fcp

    全部

    vserver iscsi

    全部

    vserver nfs

    全部

    CDOT(NAS备份集成)

    命令/目录

    访问/查询级别

    默认

    只读

    安全性

    只读

    安全登录

    只读

    卷快照

    全部

    vserver

    全部

    vserver nfs

    全部

    仅作为SVM(NAS备份集成)

    命令/目录

    访问/查询级别

    默认

    none

    lun

    只读

    网络

    只读

    安全性

    只读

    安全登录

    只读

    snapmirror

    只读

    版本

    只读

    只读

    卷快照

    全部

    vserver

    全部

    CDOT(Veeam Agent集成)

    命令/目录

    访问/查询级别

    集群

    只读

    lun

    全部

    Metrocluster

    只读

    网络

    只读

    系统许可

    只读

    系统节点

    只读

    版本

    只读

    全部

    卷快照

    全部

    vserver

    全部

    仅作为SVM(Veeam Agent集成)

    命令/目录

    访问/查询级别

    lun

    全部

    网络

    只读

    版本

    只读

    全部

    卷快照

    全部

    vserver

    全部

    通用存储 API 集成系统权限

    用于连接到通用存储 API 集成系统的帐户必须在存储系统控制台中分配必要的角色和/或具有一组必要的权限。

     

    有关将NAS备份特性与Dell EMC Isilon/PowerScale集成所需的特权,请参见NAS备份支持部分的与Dell EMC Isilon/PowerScale集成

    对于上面没有提到的存储系统,该帐户必须具有管理员角色。

    相关主题

    有关 Veeam Backup Enterprise Manager 所需的权限,请参见 Enterprise Manager 用户指南中的所需权限