所需权限
请确保您计划使用的用户帐户具有以下部分所述的权限。
安装和使用 Veeam Backup & Replication
用于安装和使用 Veeam Backup & Replication 的帐户必须具有以下权限。
帐户名称 | 所需权限 |
|---|---|
设置帐号 | 用于产品安装的帐户必须在目标机器上具有本地管理员权限。 |
Veeam Backup & Replication 控制台权限 | 当您第一次打开Veeam Backup & Replication控制台时,或在备份服务器上安装累积补丁程序后,您必须在具有安装控制台的机器上具有本地管理员权限的帐户下运行控制台。在其他情况下(文件级还原除外),您可以使用安装了控制台的机器上的Users(用户)组成员的帐户运行该备份。 要对 Microsoft Windows 虚拟机执行文件级还原,该帐户必须具有以下权限:
在大多数环境中,SeBackupPrivilege 和 SeRestorePrivilege 被分配给添加到管理员组的用户帐户。更多信息,请参见Microsoft 文档。 属于受保护用户 Active Directory 组的帐户不能用于通过 Veeam Backup & Replication 控制台远程访问备份服务器。更多信息,请参见Microsoft 文档。 |
Veeam Backup Service 帐户 | 用于运行 Veeam Backup Service 的帐户必须是 LocalSystem 帐户,或者必须在备份服务器上具有本地管理员权限。 |
Microsoft SQL Server | 在以下情况中,您需要不同的 Microsoft SQL 权限集:
更多信息,请参见 Microsoft 文档。 |
以下是在数据保护任务期间使用虚拟化服务器和主机所需的权限。
角色 | 所需权限 |
|---|---|
源/目标主机 | ESXi 主机上的根权限。 如果将 vCenter Server 添加到备份基础架构,则需要具有管理权限的帐户。 |
Windows Server | 管理员权限 |
Linux 服务器 | 添加Linux服务器时,您指定的帐户权限因计划分配给该服务器的角色而异:
|
SMB 备份存储库 | 在目标文件夹和共享上的写入权限。 |
要使用来宾操作系统处理(应用感知处理、预冻结和解冻后脚本、事务日志处理、来宾文件索引及文件排除),请确保根据本节所列要求配置您的帐户。有关来宾处理的更多信息,请参见来宾处理。
用于来宾处理的所有用户帐户必须具有以下权限:
- 已授予作为批处理作业登录
- 未设置拒绝作为批处理作业登录
其他权限取决于您备份的应用程序。您可以在下表中找到备份操作的权限。有关还原操作的权限,请参见 Veeam Explorers 用户指南中的所需权限部分。
应用程序 | 所需权限 |
|---|---|
要备份 Microsoft SQL Server 数据,必须分配以下角色:
如果需要提供最小权限,必须为帐户分配以下角色和权限:
| |
要备份Microsoft Active Directory数据,该帐户必须是内置Administrators组的成员。 | |
要备份 Microsoft Exchange 数据,该帐户必须在安装 Microsoft Exchange 的机器上具有本地管理员权限。 | |
在Guest Processing (客户机处理)步骤中指定的帐户必须配置如下:
要备份 Oracle 数据库,请确保在 Oracle 选项卡上指定的帐户已被授予 SYSDBA 权限。如果帐户是基于Windows的虚拟机和OSASM的ORA_DBA组,基于Linux的虚拟机的OSDBA和OINSTALL组的成员,则可以使用在Guest Processing (客户机处理)步骤中指定的帐户。 ,例如SYS Oracle帐户或已授予SYSDBA权限的任何其他Oracle帐户。 为了对Linux Server上的Oracle数据库进行来宾处理, 需要确保/tmp 目录挂载时使用exec 选项. 否则,会报拒绝访问错误。 | |
要备份 Microsoft SharePoint 服务器,必须为该帐户分配 Farm Administrator 角色。 要备份 Microsoft SharePoint Server 的 Microsoft SQL 数据库,该帐户必须具有与 Veeam Explorer for Microsoft SQL Server 帐户相同的权限。 |
选择用户帐户时,请考虑以下一般要求:
- [对于来宾操作系统文件索引] 对于基于 Windows 的工作负载,请选择具有管理员权限的帐户。对于基于 Linux 的工作负载,请选择根用户或提升为根用户的帐户。
- 如要使用无网络来宾处理 VMware VIX/vSphere Web Services您必须在备份向导的Guest Processing (客户机处理)步骤中指定以下帐户之一。检查该帐户是否也具有表中列出的权限。
- 如果启用了Windows用户帐户控制(UAC),请指定本地管理员(MACHINE \ Administrator)或域管理员(DOMAIN \ Administrator)帐户。
- 如果禁用了UAC,请指定属于内置Administrators组的成员的帐户。
- 对于基于Linux的虚拟机,请指定一个根帐户。
- [对于基于VMware VIX的无网络来宾处理]为了能够执行超过1000个来宾处理操作,您指定的用于来宾处理的用户必须至少登录一次虚拟机。
- 使用 Active Directory 账户时,确保以 DOMAIN\Username(域\用户名)格式提供帐户。
- 使用本地用户帐户时,请确保以 用户名或 HOST\Username(主机\用户名)格式提供帐户。
- 要处理域控制器服务器,请确保您使用的帐户是 DOMAIN\Administrators(域\管理员)组的成员。
- 若要备份只读域控制器,委派的 RODC 管理员帐户便已足够。更多信息,请参见这篇 Microsoft 文章。
请注意以下信息:
- 确保您使用的帐户有权访问 Amazon 存储桶和文件夹。
- 如果您在New Object Repository (新建对象存储库)向导的Bucket (存储桶)步骤中明确指定存储桶名称,则不需要ListAllMyBuckets权限。
以下是使用已禁用不可变性的 Amazon S3 对象存储所需的权限。
{ "s3:ListBucket", "s3:GetBucketLocation", "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:ListAllMyBuckets", "s3:GetBucketVersioning" } |
以下是使用已启用不可变性的 Amazon S3 对象存储所需的权限。有关不可变性的更多信息,请参见不可变性。
{ "s3:ListBucket", "s3:GetBucketLocation", "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:ListAllMyBuckets", "s3:GetBucketVersioning", "s3:GetBucketObjectLockConfiguration", "s3:ListBucketVersions", "s3:GetObjectVersion", "s3:GetObjectRetention", "s3:GetObjectLegalHold", "s3:PutObjectRetention", "s3:PutObjectLegalHold", "s3:DeleteObjectVersion" } |
有关示例,请参见 this Veeam KB article。有关权限的更多信息,请参见这篇 Amazon 文章。
请考虑以下事项:如果您在New Object Repository (新建对象存储库)向导的Bucket (存储桶)步骤中明确指定存储桶名称,则不需要storage.buckets.list权限。
注 |
所有者 IAM 角色不一定授予使用 Google Cloud Storage 所需的权限。 |
以下是使用 Google Cloud 对象存储所需的权限。
{ "storage.buckets.get", "storage.buckets.list", “ storage.objects.create”, “ storage.objects.delete”, "storage.objects.get", "storage.objects.list" } |
Amazon S3 Glacier的权限取决于您使用启用还是禁用不变性的存储。
以下是使用禁用了不可变性的Amazon S3 Glacier对象存储所需的权限。
- VPC将子网和安全组设置为Create new
{ “ Version”:“ 2012-10-17”, “声明”:[ { “ Sid”:“ VisualEditor0”, “ Effect”:“ Allow”, “ Action”:[ "s3:DeleteObject", "s3:PutObject", "s3:GetObject", "s3:RestoreObject", "s3:ListBucket", "s3:AbortMultipartUpload", "s3:GetBucketVersioning", "s3:ListAllMyBuckets", "s3:GetBucketLocation", "s3:GetBucketObjectLockConfiguration", "ec2:DescribeInstances", "ec2:CreateKeyPair", "ec2:DescribeKeyPairs", "ec2:RunInstances", "ec2:DeleteKeyPair", "ec2:DescribeVpcAttribute", "ec2:CreateTags", "ec2:DescribeSubnets", "ec2:TerminateInstances", "ec2:DescribeSecurityGroups", "ec2:DescribeImages", "ec2:DescribeVpcs", "ec2:CreateVpc", "ec2:CreateSubnet", "ec2:DescribeAvailabilityZones", "ec2:CreateRoute", "ec2:CreateInternetGateway", "ec2:AttachInternetGateway", "ec2:ModifyVpcAttribute", "ec2:CreateSecurityGroup", "ec2:DeleteSecurityGroup", "ec2:AuthorizeSecurityGroupIngress", "ec2:AuthorizeSecurityGroupEgress", "ec2:DescribeRouteTables", "ec2:DescribeInstanceTypes" ], “ Resource”:“*” } ] } |
- 借助预配置的VPC,子网和安全组
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "s3:DeleteObject", "s3:PutObject", "s3:GetObject", "s3:RestoreObject", "s3:ListBucket", "s3:AbortMultipartUpload", "s3:GetBucketVersioning", "s3:ListAllMyBuckets", "s3:GetBucketLocation", "s3:GetBucketObjectLockConfiguration", "ec2:DescribeInstances", "ec2:CreateKeyPair", "ec2:DescribeKeyPairs", "ec2:RunInstances", "ec2:DeleteKeyPair", "ec2:DescribeVpcAttribute", "ec2:CreateTags", "ec2:DescribeSubnets", "ec2:TerminateInstances", "ec2:DescribeSecurityGroups", "ec2:DescribeImages", "ec2:DescribeVpcs" ], "Resource": "*" } ] } |
以下是使用启用了不可变性的Amazon S3对象存储所需的权限。
- With VPC, subnet and security group set as Create new
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "s3:DeleteObject", "s3:PutObject", "s3:GetObject", "s3:RestoreObject", "s3:ListBucket", "s3:AbortMultipartUpload", "s3:GetBucketVersioning", "s3:ListAllMyBuckets", "s3:GetBucketLocation", "s3:GetBucketObjectLockConfiguration", "s3:PutObjectRetention", "s3:GetObjectVersion", "s3:PutObjectLegalHold", "s3:GetObjectRetention", "s3:DeleteObjectVersion", "s3:ListBucketVersions", "ec2:DescribeInstances", "ec2:CreateKeyPair", "ec2:DescribeKeyPairs", "ec2:RunInstances", "ec2:DeleteKeyPair", "ec2:DescribeVpcAttribute", "ec2:CreateTags", "ec2:DescribeSubnets", "ec2:TerminateInstances", "ec2:DescribeSecurityGroups", "ec2:DescribeImages", "ec2:DescribeVpcs", "ec2:CreateVpc", "ec2:CreateSubnet", "ec2:DescribeAvailabilityZones", "ec2:CreateRoute", "ec2:CreateInternetGateway", "ec2:AttachInternetGateway", "ec2:ModifyVpcAttribute", "ec2:CreateSecurityGroup", "ec2:DeleteSecurityGroup", "ec2:AuthorizeSecurityGroupIngress", "ec2:AuthorizeSecurityGroupEgress", "ec2:DescribeRouteTables", "ec2:DescribeInstanceTypes" ], "Resource": "*" } ] } |
- With preconfigured VPC, subnet and security group
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "s3:DeleteObject", "s3:PutObject", "s3:GetObject", "s3:RestoreObject", "s3:ListBucket", "s3:AbortMultipartUpload", "s3:GetBucketVersioning", "s3:ListAllMyBuckets", "s3:GetBucketLocation", "s3:GetBucketObjectLockConfiguration", "s3:PutObjectRetention", "s3:GetObjectVersion", "s3:PutObjectLegalHold", "s3:GetObjectRetention", "s3:DeleteObjectVersion", "s3:ListBucketVersions", "ec2:DescribeInstances", "ec2:CreateKeyPair", "ec2:DescribeKeyPairs", "ec2:RunInstances", "ec2:DeleteKeyPair", "ec2:DescribeVpcAttribute", "ec2:CreateTags", "ec2:DescribeSubnets", "ec2:TerminateInstances", "ec2:DescribeSecurityGroups", "ec2:DescribeImages", "ec2:DescribeVpcs" ], "Resource": "*" } ] } |
以下是使用 Azure 归档对象存储所需的权限。
{ “ properties”:{ “ roleName”:“ CUSTOM_ROLE_MINIMAL_PERMISSIONS”, “ description”:“ CUSTOM_ROLE_MINIMAL_PERMISSIONS”, “ assignableScopes”:[ "/subscriptions/111111-1111-1111-0000-00000000000" ], “ permissions”:[ { “ actions”:[ “ Microsoft.Authorization/*/read”, “ Microsoft.Compute/locations/*”, “ Microsoft.Compute/virtualMachines/*”, “ Microsoft.Network/locations/*”, “ Microsoft.Network/networkInterfaces/*”, “ Microsoft.Network/networkSecurityGroups/join/action”, “ Microsoft.Network/networkSecurityGroups/read”, “ Microsoft.Network/networkSecurityGroups/write”, “ Microsoft.Network/networkSecurityGroups/delete”, “ Microsoft.Network/publicIPAddresses/join/action”, “ Microsoft.Network/publicIPAddresses/read”, “ Microsoft.Network/publicIPAddresses/write”, “ Microsoft.Network/publicIPAddresses/delete”, “ Microsoft.Network/virtualNetworks/read”, “ Microsoft.Network/virtualNetworks/write”, “ Microsoft.Network/virtualNetworks/subnets/join/action”, “ Microsoft.Storage/storageAccounts/listkeys/action”, “ Microsoft.Storage/storageAccounts/read”, “ Microsoft.Resources/deployments/*”, “ Microsoft.Resources/subscriptions/resourceGroups/read”, “ Microsoft.Resources/checkResourceName/action”, “ Microsoft.Resources/subscriptions/resourceGroups/write”, “ Microsoft.Resources/subscriptions/locations/read” ], “ notActions”:[], “ dataActions”:[], “ notDataActions”:[] } ] } } |
要使用存储快照执行数据保护和灾难恢复操作,用于连接至存储系统的帐户必须具有必要权限。
NetApp Data ONTAP/Lenovo Thinksystem DM 权限
用于连接到 NetApp Data ONTAP/Lenovo Thinksystem DM 存储系统的帐户必须拥有以下权限:
7-模式
- Login-http-admin
- api-system-*
- api-license-*(api-license-list-info)
- api-volume-*
- api-net-*
- api-apis-*
- api-vfiler-*
- api-qtree-*
- api-nfs-*
- api-snapshot-*
- api-lun-*
- api-iscsi-*
- api-feature-*
- api-registry-*
- api-fcp-*
- api-file-*
- api-igroup-*
- api-clone-*
- api-snapvault-*
- api-snapmirror-*
- api-cf-*
- CLI选项
- security-api-vfiler
CDOT(VMware集成)
命令/目录 | 访问/查询级别 |
|---|---|
默认 | 只读 |
集群 | 只读 |
Metrocluster | 只读 |
fcp | 只读 |
文件 | 只读 |
igroup | 全部 |
iscsi | 全部 |
网络 | 只读 |
节点 | 只读 |
安全性 | 只读 |
安全登录 | 只读 |
设置 | 只读 |
SnapMirror | 全部 |
系统 | 只读 |
版本 | 只读 |
qtree | 只读 |
lun | 全部 |
NFS | 全部 |
快照 | 全部 |
卷 | 全部 |
vserver | 全部 |
仅作为SVM(VMware集成)
命令/目录 | 访问/查询级别 |
|---|---|
默认 | 无 |
lun | 全部 |
lun igroup | 全部 |
网络 | 只读 |
安全性 | 只读 |
安全登录 | 只读 |
snapmirror | 全部 |
系统 | 只读 |
版本 | 只读 |
卷 | 全部 |
卷文件 | 只读 |
卷q树 | 全部 |
卷快照 | 全部 |
vserver | 全部 |
vserver fcp | 全部 |
vserver iscsi | 全部 |
vserver nfs | 全部 |
CDOT(NAS备份集成)
命令/目录 | 访问/查询级别 |
|---|---|
默认 | 只读 |
安全性 | 只读 |
安全登录 | 只读 |
卷快照 | 全部 |
vserver | 全部 |
vserver nfs | 全部 |
仅作为SVM(NAS备份集成)
命令/目录 | 访问/查询级别 |
|---|---|
默认 | none |
lun | 只读 |
网络 | 只读 |
安全性 | 只读 |
安全登录 | 只读 |
snapmirror | 只读 |
版本 | 只读 |
卷 | 只读 |
卷快照 | 全部 |
vserver | 全部 |
CDOT(Veeam Agent集成)
命令/目录 | 访问/查询级别 |
|---|---|
集群 | 只读 |
lun | 全部 |
Metrocluster | 只读 |
网络 | 只读 |
系统许可 | 只读 |
系统节点 | 只读 |
版本 | 只读 |
卷 | 全部 |
卷快照 | 全部 |
vserver | 全部 |
仅作为SVM(Veeam Agent集成)
命令/目录 | 访问/查询级别 |
|---|---|
lun | 全部 |
网络 | 只读 |
版本 | 只读 |
卷 | 全部 |
卷快照 | 全部 |
vserver | 全部 |
用于连接到通用存储 API 集成系统的帐户必须在存储系统控制台中分配必要的角色和/或具有一组必要的权限。
- 对于Dell EMC PowerMax,必须为该帐户分配存储管理员角色。
- 对于富士通ETERNUS,必须为帐户分配Software(软件)角色。
- 对于 NetApp SolidFire/HCI,该帐户必须具有以下权限:
- 卷
- 集群管理员
- 对于 Western Digital IntelliFlash,必须为帐户分配 Veeam 管理员角色。
- 对于 DataCore,该帐户必须具有以下权限:
- 一般信息
- 端口
- 主机
- 虚拟磁盘
- 快照
- 物理磁盘
- 对于Hitachi VSP,必须为帐户分配以下角色:
- 存储管理员(仅查看)
- 存储管理员(配置)
- 存储管理员(本地副本)
- 对于HPE XP,必须为帐户分配以下角色:
- 存储管理员(仅查看)
- 存储管理员(配置)
- 存储管理员(本地副本)
- 对于Dell EMC PowerStore,必须为帐户分配以下角色:
- 管理员
- 存储管理员
- 存储操作员
- 对于NEC Storage M系列,必须为帐户分配管理员角色
有关将NAS备份特性与Dell EMC Isilon/PowerScale集成所需的特权,请参见NAS备份支持部分的与Dell EMC Isilon/PowerScale集成。
对于上面没有提到的存储系统,该帐户必须具有管理员角色。
相关主题
有关 Veeam Backup Enterprise Manager 所需的权限,请参见 Enterprise Manager 用户指南中的所需权限。