必要な権限

使用する予定のユーザーアカウントに、次のセクションで説明している権限があることを確認します。

Veeam Backup & Replicationのインストールと使用

Veeam Backup & Replication のインストールと使用に使われるアカウントには、次の権限が必要です。

アカウント

必要な権限

セットアップアカウント

製品インストールに使用されるアカウントには、ターゲットマシンのLocal Administrator権限が必要です。

Veeam Backup & Replication コンソール権限

Veeam Backup & Replication コンソールを初めて開くとき、または累積パッチがバックアップサーバーにインストールされた後に、コンソールがインストールされているマシンのローカル管理者権限を持つアカウントでコンソールを実行する必要があります。その他の場合(ファイルレベルの復元を除く)は、コンソールがインストールされているマシンのUsersグループのメンバーであるアカウントで実行できます。

Microsoft Windows VMのファイルレベルのリストアを実行するには、次の権限と特権が必要です。

  • Veeam Backup & Replicationコンソールを起動するためのLocal Administrator権限
  • Veeamバックアップサーバーに接続してリストアプロセスを開始するためのSeBackupPrivilegeSeRestorePrivilege

ほとんどの環境で、SeBackupPrivilegeSeRestorePrivilegeはAdministratorsグループに追加されたユーザーアカウントに割り当てられます。詳細については、Microsoftのドキュメントを参照してください。

Protected Users Active Directoryグループのメンバーであるアカウントを使用して、Veeam Backup & Replication コンソール経由でバックアップサーバーにリモートでアクセスすることはできません。詳細については、Microsoftのドキュメントを参照してください。

Veeam Backup Serviceアカウント

Veeam Backup Serviceを実行するために使用されるアカウントは、LocalSystemアカウントであるか、バックアップサーバーのLocal Administrator権限が必要です。

Microsoft SQL Server
(構成データベースの保存先)

以下の事例ではMicrosoft SQL権限のさまざまな組み合わせが必要になります。

  • インストール(リモートまたはローカル):現在のアカウントは、SQL ServerレベルのCREATE ANY DATABASE権限を必要とします。データベース作成後、このアカウントは自動的にdb_ownerロールを取得し、データベースに対してすべての操作を実行できます。現在のアカウントがこの権限を持たない場合、Database Administratorは事前に空のデータベースを作成し、Veeam Backup & Replication のインストールに使用するアカウントにdb_ownerロールを付与することができます。
  • アップグレード:現在のアカウントはそのデータベースに対する十分な権限を持っているはずです。ロール割り当てを介してこれらの権限を付与するには、db_ownerロールを持つアカウントを使用することをお勧めします。
  • 操作:Veeam Backup Serviceを実行するために使用するアカウントには、db_datareaderおよびdb_datawriterロールのほか、Microsoft SQL Server上の設定情報データベースでストアド・プロシージャを実行する権限が必要です。別の方法として、このデータベースのdb_ownerのロールをサービスアカウントに割り当てることができます。

詳細については、Microsoftのドキュメントを参照してください。

仮想化サーバーとホストの使用

データ保護タスク中に仮想化サーバーとホストを使用するために必要な権限は次の通りです。 

ロール

必要な権限

ソース/ターゲットHyper-Vホストまたはクラスター

管理者権限

SCVMM

すべてのSCVMMユーザー。

Windows Server
は、バックアップインフラストラクチャに追加されている必要があります。

管理者権限。

Linuxサーバー
は、バックアップインフラストラクチャに追加されている必要があります。

Linux サーバーの追加時に指定するアカウントの権限は、このサーバーに割り当てる予定の役割に よって異なります。

  • Veeam Data Moverが永続的(強化/不変リポジトリ)である必要があるロールには、rootまたは同等の権限が必要です。役割の完全なリストについては、 VeeamDataMoversを参照してください。
  • NFS共有と通信するゲートウェイサーバーには、rootまたは同等のアクセス許可が必要です。
  • バックアップリポジトリには、バックアップが保存されるフォルダに対する読み取りおよび書き込み権限が必要です。このフォルダーは、バックアップリポジトリウィザードの[バックアップリポジトリ設定の構成]ステップで構成します。
  • 他の役割には、サーバーが動作するファイルとフォルダーに対する読み取りおよび書き込み権限が必要です。

SMBバックアップリポジトリ

ターゲットフォルダおよび共有の書き込み権限。

 

ゲスト処理の実行

ゲストOS処理(アプリケーション認識処理、プレスクリプトおよびポストスクリプト、トランザクションログ処理、ゲストファイルのインデックス作成、ファイルの除外)を使用するには、このセクションに記載されている要件に従ってアカウントを構成してください。ゲスト処理の詳細については、「ゲスト処理」を参照してください。

ゲスト処理に使用されるユーザーアカウントには、次の権限が必要です。

  • Logon as a batch jobが付与されている
  • Deny logon as a batch jobが設定されていない

その他の権限は、バックアップするアプリケーションによって変わります。バックアップ操作に必要な権限については、次の表を参照してください。リストア操作の権限については、『Veeam Explorersユーザーガイド』の「必要な権限」セクションを参照してください。

アプリケーション

必要な権限

Microsoft SQL Server

Microsoft SQL Serverデータをバックアップするには、次のロールが割り当てられてる必要があります。

  • ターゲットVMに対するAdministratorのロール。
  • ターゲットMicrosoft SQL Serverに対するSysadminのロール。

最小限の権限を提供する必要がある場合には、アカウントに次のロールと権限を割り当てなければなりません。

  • SQL Serverインスタンスレベルのロール:publicおよびdbcreator
  • データベースレベルのロールとモデルシステムデータベースのロール: db_backupoperatordb_denydatareaderpublic ;
    マスターシステムデータベースの場合— db_backupoperatordb_datareaderpublic ;
    msdbシステムデータベースの場合— db_backupoperatordb_datareaderpublic、db_datawriter
  • セキュリティ:任意の定義の表示、サーバー状態の表示、SQL接続

Microsoft Active Directory

Microsoft Active Directoryデータをバックアップするには、アカウントがbuilt-in Administratorsグループのメンバーである必要があります。

Microsoft Exchange

Microsoft Exchangeデータをバックアップするには、Microsoft Exchangeがインストールされているマシンに対して、アカウントがLocal Administrator権限を持っていることが必要です。

Oracle

Guest Processingのステップで指定したアカウントは、次のように設定する必要があります。

  • WindowsベースのVMの場合、アカウントはLocal AdministratorグループとORA_DBAグループの両方のメンバーである必要があります(OS認証が使用されている場合)。また、ASMが使用されている場合、対象のアカウントはORA_ASMADMINグループのメンバーである必要があります(Oracle 12以上の場合)。
  • LinuxベースのVMの場合、アカウントはrootに昇格したLinuxユーザーである必要があります。

Oracleデータベースをバックアップするには、[Oracle]タブで指定したアカウントにSYSDBA権限が付与されている必要があります。[Specify Guest Processing Settings]のステップで指定したアカウントがWindowsベースVMのORA_DBAグループおよびLinuxベースVMのOSASM、OSDBA、OINSTALLグループのメンバーである場合は、このようなアカウントを使用できます。または、たとえばSYS OracleアカウントやSYSDBA権限が付与されているその他のOracleアカウントを使用することもできます。

Linuxサーバー上のOracleデータベースのゲスト処理を実行するには、 /tmpディレクトリがexecオプションでマウントされていることを確認してください。そうしないと、アクセス権限の拒否でエラーが発生します。

Microsoft SharePoint

Microsoft SharePointサーバーをバックアップするには、アカウントにFarm Administratorのロールが割り当てられている必要があります

Microsoft SharePoint ServerのMicrosoft SQLデータベースをバックアップするには、アカウントにVeeam Explorer for Microsoft SQL Serverと同じ権限が割り当てられている必要があります。

ユーザーアカウントを選択する場合は、次の一般要件を考慮してください。

  • [ゲストOSファイルのインデックス作成の場合] Windowsベースのワークロードの場合は、管理者権限を持つアカウントを選択してください。Linuxベースのワークロードの場合は、rootユーザーまたはrootに昇格したユーザーのアカウントを選択してください。
  • ネットワークレスゲスト処理を使用するには PowerShell Direct、バックアップウィザードのゲスト処理ステップで次のアカウントのいずれかを指定する必要があります。アカウントに、表にリストされている権限もあることを確認してください。
  • Windowsユーザーアカウント制御(UAC)が有効になっている場合は、ローカル管理者(MACHINE \ Administrator)またはドメイン管理者(DOMAIN \ Administrator)のアカウントを指定します。
  • UACが無効になっている場合は、組み込みのAdministratorsグループのメンバーであるアカウントを指定します。
  • Active Directoryアカウントを使用する場合は、必ずDOMAIN\Usernameの形式でアカウントを指定してください。
  • ローカルのユーザーアカウントを使用する場合は、必ずUsernameまたはHOST\Usernameの形式でアカウントを指定してください。
  • ドメインコントローラサーバーを処理するには、DOMAIN\Administratorsグループのメンバーであるアカウントを使用してください。
  • 読み取り専用のドメインコントローラをバックアップするには、委任されたRODC管理者のアカウントで十分です。詳細については、こちらのMicrosoftの記事を参照してください。

オブジェクトストレージリポジトリの使用

Amazon S3オブジェクトストレージの権限

以下の点を考慮してください。

イミュータビリティを無効にしてAmazon S3オブジェクトストレージを使用するために必要な権限は次の通りです。

{{

 "s3:ListBucket"、

 "s3:GetBucketLocation"、

 "s3:GetObject"、

 "s3:PutObject"、

 "s3:DeleteObject"、

 "s3:ListAllMyBuckets",

 "s3:GetBucketVersioning"

}

 

イミュータビリティを有効にしてAmazon S3オブジェクトストレージを使用するために必要な権限は次の通りです。イミュータビリティの詳細については、「イミュータビリティ」を参照してください。

{

 "s3:ListBucket",

 "s3:GetBucketLocation",

 "s3:GetObject",

 "s3:PutObject",

 "s3:DeleteObject",

 "s3:ListAllMyBuckets",

 "s3:GetBucketVersioning",

 "s3:GetBucketObjectLockConfiguration"、

 "s3:ListBucketVersions"、

 "s3:GetObjectVersion"、

 "s3:GetObjectRetention"、

 "s3:GetObjectLegalHold"、

 "s3:PutObjectRetention"、

 "s3:PutObjectLegalHold"、

 "s3:DeleteObjectVersion"

}

 

例については、このVeeamナレッジベースの記事を参照してください。権限の詳細については、こちらのAmazonの記事を参照してください。

Google Cloudオブジェクトストレージの権限

次のことを考慮してください:New Object Repository ウィザードBucket ステップでバケット名を明示的に指定する場合は、storage.buckets.list パーミッションは必要ではありません。

Owner IAMロールは、Google Cloud Storageの操作に必要な権限を必ずしも付与するわけではありません。

Google Cloudオブジェクトストレージの使用に必要な権限は次の通りです。

{

 "storage.buckets.get"、

 "storage.buckets.list"、

 "storage.objects.create"、

 "storage.objects.delete"、

 "storage.objects.get"、

 「storage.objects.list」

}

Amazon S3 Glacierストレージの権限

Amazon S3 Glacierのアクセス許可は、不変性を有効または無効にしてストレージを使用するかどうかによって異なります。

イミュータビリティを無効にしてAmazon S3 Glacierオブジェクトストレージを使用するために必要な権限は次の通りです。

  • VPC、サブネット、およびセキュリティグループを[新規作成]として設定します

{

 "Version": "2012-10-17",

 "Statement": [

   {

     "Sid": "VisualEditor0",

     "Effect": "Allow",

     "Action": [

       "s3:DeleteObject",

       "s3:PutObject",

       "s3:GetObject",

"s3:RestoreObject",

"s3:ListBucket",

"s3:AbortMultiPartUpload",

               "s3:GetBucketVersioning",

"s3:ListAllMyBuckets",

"s3:GetBucketLocation",

"s3:GetBucketObjectLockConfiguration",

"ec2:DescribeInstances",

"ec2:CreateKeyPair",

"ec2:DescribeKeyPairs",

"ec2:RunInstances",

"ec2:DeleteKeyPair",

"ec2:DescribeVpcAttribute",

"ec2:CreateTags",

"ec2:DescribeSubnets",

"ec2:TerminateInstances",

"ec2:DescribeSecurityGroups",

"ec2:DescribeImages",

"ec2:DescribeVpcs",

               "ec2:CreateVpc",

               "ec2:CreateSubnet",

"ec2:DescribeAvailabilityZones",

               "ec2:CreateRoute",

               "ec2:CreateInternetGateway",

               "ec2:AttachInternetGateway",

               "ec2:ModifyVpcAttribute",

               "ec2:CreateSecurityGroup",

               "ec2:DeleteSecurityGroup",

               "ec2:AuthorizeSecurityGroupIngress",

               "ec2:AuthorizeSecurityGroupEgress",

       "ec2:DescribeRouteTables",

               "ec2:DescribeInstances",

],

"Resource": "*"

   }

 ]

}

  • 事前構成されたVPC、サブネット、およびセキュリティグループ

{

 "Version": "2012-10-17",

"Statement": [{

   {

     "Sid": "VisualEditor0",

     "Effect": "Allow",

     "Action": [

       "s3:DeleteObject",

       "s3:PutObject",

"s3:GetObject",

"s3:RestoreObject",

"s3:ListBucket",

"s3:AbortMultiPartUpload",

               "s3:GetBucketVersioning",

"s3:ListAllMyBuckets",

"s3:GetBucketLocation",

"s3:GetBucketObjectLockConfiguration",

"ec2:DescribeInstances",

"ec2:CreateKeyPair",

"ec2:DescribeKeyPairs",

"ec2:RunInstances",

"ec2:DeleteKeyPair",

"ec2:DescribeVpcAttribute",

"ec2:CreateTags",

"ec2:DescribeSubnets",

"ec2:TerminateInstances",

"ec2:DescribeSecurityGroups",

"ec2:DescribeImages",

"ec2:DescribeVpcs",

],

"Resource": "*"

   }

 ]

}

イミュータビリティを有効にしてAmazon S3オブジェクトストレージを使用するために必要な権限は次の通りです。

  • With VPC, subnet and security group set as Create new

{

 "Version": "2012-10-17",

"Statement": [{

   {

     "Sid": "VisualEditor0",

     "Effect": "Allow",

     "Action": [

       "s3:DeleteObject",

       "s3:PutObject",

"s3:GetObject",

"s3:RestoreObject",

"s3:ListBucket",

"s3:AbortMultiPartUpload",

               "s3:GetBucketVersioning",

"s3:ListAllMyBuckets",

"s3:GetBucketLocation",

"s3:GetBucketObjectLockConfiguration",

"s3:PutObjectRetention",

"s3:GetObjectVersion",

"s3:PutObjectLegalHold",

"s3:GetObjectRetention",

"s3:DeleteObjectVersion"

"s3:ListBucketVersions",

"ec2:DescribeInstances",

"ec2:CreateKeyPair",

"ec2:DescribeKeyPairs",

"ec2:RunInstances",

"ec2:DeleteKeyPair",

"ec2:DescribeVpcAttribute",

"ec2:CreateTags",

"ec2:DescribeSubnets",

"ec2:TerminateInstances",

"ec2:DescribeSecurityGroups",

"ec2:DescribeImages",

"ec2:DescribeVpcs",

               "ec2:CreateVpc",

               "ec2:CreateSubnet",

"ec2:DescribeAvailabilityZones",

               "ec2:CreateRoute",

               "ec2:CreateInternetGateway",

               "ec2:AttachInternetGateway",

               "ec2:ModifyVpcAttribute",

               "ec2:CreateSecurityGroup",

               "ec2:DeleteSecurityGroup",

               "ec2:AuthorizeSecurityGroupIngress",

               "ec2:AuthorizeSecurityGroupEgress",

       "ec2:DescribeRouteTables",

               "ec2:DescribeInstances",

],

"Resource": "*"

   }

 ]

}

  • With preconfigured VPC, subnet and security group

{

 "Version": "2012-10-17",

"Statement": [{

   {

     "Sid": "VisualEditor0",

     "Effect": "Allow",

     "Action": [

       "s3:DeleteObject",

       "s3:PutObject",

"s3:GetObject",

"s3:RestoreObject",

"s3:ListBucket",

"s3:AbortMultiPartUpload",

               "s3:GetBucketVersioning",

"s3:ListAllMyBuckets",

"s3:GetBucketLocation",

"s3:GetBucketObjectLockConfiguration",

"s3:PutObjectRetention",

"s3:GetObjectVersion",

"s3:PutObjectLegalHold",

"s3:GetObjectRetention",

"s3:DeleteObjectVersion"

"s3:ListBucketVersions",

"ec2:DescribeInstances",

"ec2:CreateKeyPair",

"ec2:DescribeKeyPairs",

"ec2:RunInstances",

"ec2:DeleteKeyPair",

"ec2:DescribeVpcAttribute",

"ec2:CreateTags",

"ec2:DescribeSubnets",

"ec2:TerminateInstances",

"ec2:DescribeSecurityGroups",

"ec2:DescribeImages",

"ec2:DescribeVpcs",

],

"Resource": "*"

   }

 ]

}

Azure Archiveオブジェクトストレージの権限

Azure Archiveオブジェクトストレージの使用に必要な権限は次の通りです。

{

 "properties": {

       "roleName": "CUSTOM_ROLE_MINIMAL_PERMISSIONS",

       "description": "CUSTOM_ROLE_MINIMAL_PERMISSIONS",

       "assignableScopes": [

     "/subscriptions/111111-1111-1111-0000-00000000000"

],

       "permissions": [

{

               "actions": [

                   "Microsoft.Authorization/*/read",

                   "Microsoft.Compute/locations/*",

                   "Microsoft.Compute/virtualMachines/*",

                   "Microsoft.Network/locations/*",

                   "Microsoft.Network/networkInterfaces/*",

'Microsoft.Network/networkSecurityGroups/join/action',

'Microsoft.Network/networkSecurityGroups/read',

'Microsoft.Network/networkSecurityGroups/write',

'Microsoft.Network/networkSecurityGroups/delete',

'Microsoft.Network/publicIPAddresses/join/action',

'Microsoft.Network/publicIPAddresses/read',

'Microsoft.Network/publicIPAddresses/write',

'Microsoft.Network/publicIPAddresses/delete',

'Microsoft.Network/virtualNetworks/read',

                   "Microsoft.Network/virtualNetworks/write",

'Microsoft.Network/virtualNetworks/subnets/join/action',

'Microsoft.Storage/storageAccounts/listkeys/action',

'Microsoft.Storage/storageAccounts/read',

                   "Microsoft.Resources/deployments/*",

'Microsoft.Resources/subscriptions/resourceGroups/read',

'Microsoft.Resources/checkResourceName/action',

'Microsoft.Resources/subscriptions/resourceGroups/write',

                   "Microsoft.Resources/subscriptions/locations/read"

       ],

               "notActions": [],

               "dataActions": [],

               "notDataActions": []

     }

   ]

 }

}

ストレージシステムとの統合

ストレージスナップショットでデータ保護と災害復旧の操作を実行するには、ストレージシステムへの接続に使用するアカウントに必要な権限が付与されていなければなりません。

NetApp Data ONTAP/Lenovo Thinksystem DMの権限

NetApp Data ONTAP/Lenovo Thinksystem DMストレージシステムへの接続に使用するアカウントには、次の権限が必要です。

7-Mode

CDOT(VMware統合)

コマンド/ディレクトリ

アクセス/クエリレベル

DEFAULT

readonly

cluster

readonly

metrocluster

readonly

fcp

readonly

file

readonly

igroup

all

iscsi

all

network

readonly

node

readonly

security

readonly

security login

readonly

set

readonly

snapmirror

all

system

readonly

version

readonly

qtree

readonly

lun

all

nfs

all

snapshot

all

volume

all

vserver

all

SVM(VMware Integration)としてのみ

コマンド/ディレクトリ

アクセス/クエリレベル

DEFAULT

none

lun

all

lun igroup

all

network

readonly

security

readonly

security login

readonly

snapmirror

all

system

readonly

version

readonly

volume

all

volume file

readonly

volume qtree

all

volume snapshot

all

vserver

all

vserver fcp

all

vserver iscsi

all

vserver nfs

all

CDOT (NAS Backup Integration)

コマンド/ディレクトリ

アクセス/クエリレベル

DEFAULT

readonly

security

readonly

security login

readonly

volume snapshot

all

vserver

all

vserver nfs

all

SVM(NASバックアップ統合)としてのみ

コマンド/ディレクトリ

アクセス/クエリレベル

DEFAULT

none

lun

readonly

network

readonly

security

readonly

security login

readonly

snapmirror

readonly

version

readonly

volume

readonly

volume snapshot

all

vserver

all

CDOT(Veeam Agent Integration)

コマンド/ディレクトリ

アクセス/クエリレベル

cluster

readonly

lun

all

metrocluster

readonly

network

readonly

システムライセンス

readonly

system node

readonly

version

readonly

volume

all

volume snapshot

all

vserver

all

SVM(Veeam Agent Integration)としてのみ

コマンド/ディレクトリ

アクセス/クエリレベル

lun

all

network

readonly

version

readonly

volume

all

volume snapshot

all

vserver

all

Universal Storage API統合化システムの権限

Universal Storage API統合化システムへの接続に使用するアカウントには、必要なロールがストレージシステムコンソールで割り当てられているか、必要な一連の権限が付与されているか、またはその両方が行われている必要があります。

 

NASバックアップ機能をDellEMCIsilon / PowerScaleと統合するために必要な権限については、NASバックアップサポートセクションの「 DellEMC Isilon/PowerScaleとの統合」を参照してください。

上記のストレージシステム以外の場合、このアカウントには管理者ロールが必要です。

関連トピック

Veeam Backup Enterprise Managerに必要な権限については、『Enterprise Managerユーザーガイド』の「必要な権限」を参照してください。