必要な権限

このページで

    使用する予定のユーザーアカウントに、次のセクションで説明している権限があることを確認します。

    Veeam Backup & Replicationのインストールと使用

    Veeam Backup & Replication のインストールと使用に使われるアカウントには、次の権限が必要です。

    アカウント

    必要な権限

    セットアップアカウント

    製品インストールに使用されるアカウントには、ターゲットマシンのLocal Administrator権限が必要です。

    Veeam Backup & Replication コンソール権限

    Veeam Backup & Replication コンソールを初めて開くとき、または累積パッチがバックアップサーバーにインストールされた後に、コンソールがインストールされているマシンのローカル管理者権限を持つアカウントでコンソールを実行する必要があります。その他の場合(ファイルレベルの復元を除く)は、コンソールがインストールされているマシンのUsersグループのメンバーであるアカウントで実行できます。

    Microsoft Windows VMのファイルレベルのリストアを実行するには、次の権限と特権が必要です。

    • Veeam Backup & Replicationコンソールを起動するためのLocal Administrator権限
    • Veeamバックアップサーバーに接続してリストアプロセスを開始するためのSeBackupPrivilegeSeRestorePrivilege

    ほとんどの環境で、SeBackupPrivilegeSeRestorePrivilegeはAdministratorsグループに追加されたユーザーアカウントに割り当てられます。詳細については、Microsoftのドキュメントを参照してください。

    Protected Users Active Directoryグループのメンバーであるアカウントを使用して、Veeam Backup & Replication コンソール経由でバックアップサーバーにリモートでアクセスすることはできません。詳細については、Microsoftのドキュメントを参照してください。

    Veeam Backup Serviceアカウント

    Veeam Backup Serviceを実行するために使用されるアカウントは、LocalSystemアカウントであるか、バックアップサーバーのLocal Administrator権限が必要です。

    Microsoft SQL Server
    (構成データベースの保存先)

    以下の事例ではMicrosoft SQL権限のさまざまな組み合わせが必要になります。

    • インストール(リモートまたはローカル):現在のアカウントは、SQL ServerレベルのCREATE ANY DATABASE権限を必要とします。データベース作成後、このアカウントは自動的にdb_ownerロールを取得し、データベースに対してすべての操作を実行できます。現在のアカウントがこの権限を持たない場合、Database Administratorは事前に空のデータベースを作成し、Veeam Backup & Replication のインストールに使用するアカウントにdb_ownerロールを付与することができます。
    • アップグレード:現在のアカウントはそのデータベースに対する十分な権限を持っているはずです。ロール割り当てを介してこれらの権限を付与するには、db_ownerロールを持つアカウントを使用することをお勧めします。
    • 操作:Veeam Backup Serviceを実行するために使用するアカウントには、db_datareaderおよびdb_datawriterロールのほか、Microsoft SQL Server上の設定情報データベースでストアド・プロシージャを実行する権限が必要です。別の方法として、このデータベースのdb_ownerのロールをサービスアカウントに割り当てることができます。

    詳細については、Microsoftのドキュメントを参照してください。

    仮想化サーバーとホストの使用

    データ保護タスク中に仮想化サーバーとホストを使用するために必要な権限は次の通りです。

    ロール

    必要な権限

    ソース/ターゲットホスト

    ESXiホストのルート権限。

    vCenter Serverがバックアップインフラストラクチャに追加された場合、管理権限を持っているアカウントが必要になります。
    Administratorのロールをアカウントに付与するか、VMware vSphere環境における特定のVeeam Backup & Replication操作に対するvCenter Serverの権限を細かく構成できます。詳細については、「必要な権限のリファレンス」を参照してください。

    Windows Server
    はバックアップインフラストラクチャに追加されている必要があります。

    管理者権限

    Linuxサーバー
    は、バックアップインフラストラクチャに追加されている必要があります。

    Linuxサーバーを追加するときに指定するアカウントのアクセス許可は、このサーバーに割り当てる予定の役割によって異なります。

    • Veeam Data Moverが永続的でなければならない役割(バックアッププロキシ、強化/不変リポジトリ)には、rootまたは同等の権限が必要です。役割の完全なリストについては、 VeeamDataMoversを参照してください。
    • NFS共有と通信するゲートウェイサーバーには、rootまたは同等のアクセス許可が必要です。
    • バックアップリポジトリには、バックアップが保存されるフォルダに対する読み取りおよび書き込み権限が必要です。このフォルダーは、バックアップリポジトリウィザードの[バックアップリポジトリ設定の構成]ステップで構成します。
    • 他の役割には、サーバーが動作するファイルとフォルダーに対する読み取りおよび書き込み権限が必要です。

    SMBバックアップリポジトリ

    ターゲットフォルダおよび共有の書き込み権限。

     

    ゲスト処理の実行

    ゲストOS処理(アプリケーション認識処理、プレスクリプトおよびポストスクリプト、トランザクションログ処理、ゲストファイルのインデックス作成、ファイルの除外)を使用するには、このセクションに記載されている要件に従ってアカウントを構成してください。ゲスト処理の詳細については、「ゲスト処理」を参照してください。

    ゲスト処理に使用されるユーザーアカウントには、次の権限が必要です。

    • Logon as a batch jobが付与されている
    • Deny logon as a batch jobが設定されていない

    その他の権限は、バックアップするアプリケーションによって変わります。バックアップ操作に必要な権限については、次の表を参照してください。リストア操作の権限については、『Veeam Explorersユーザーガイド』の「必要な権限」セクションを参照してください。

    アプリケーション

    必要な権限

    Microsoft SQL Server

    Microsoft SQL Serverデータをバックアップするには、次のロールが割り当てられてる必要があります。

    • ターゲットVMに対するAdministratorのロール。
    • ターゲットMicrosoft SQL Serverに対するSysadminのロール。

    最小限の権限を提供する必要がある場合には、アカウントに次のロールと権限を割り当てなければなりません。

    • SQL Serverインスタンスレベルのロール:publicおよびdbcreator
    • データベースレベルのロールとモデルシステムデータベースのロール: db_backupoperatordb_denydatareaderpublic ;
      マスターシステムデータベースの場合— db_backupoperatordb_datareaderpublic ;
      msdbシステムデータベースの場合— db_backupoperatordb_datareaderpublic、db_datawriter
    • セキュリティ:任意の定義の表示、サーバー状態の表示、SQL接続

    Microsoft Active Directory

    Microsoft Active Directoryデータをバックアップするには、アカウントがbuilt-in Administratorsグループのメンバーである必要があります。

    Microsoft Exchange

    Microsoft Exchangeデータをバックアップするには、Microsoft Exchangeがインストールされているマシンに対して、アカウントがLocal Administrator権限を持っていることが必要です。

    Oracle

    Guest Processingのステップで指定したアカウントは、次のように設定する必要があります。

    • WindowsベースのVMの場合、アカウントはLocal AdministratorグループとORA_DBAグループの両方のメンバーである必要があります(OS認証が使用されている場合)。また、ASMが使用されている場合、対象のアカウントはORA_ASMADMINグループのメンバーである必要があります(Oracle 12以上の場合)。
    • LinuxベースのVMの場合、アカウントはrootに昇格したLinuxユーザーである必要があります。

    Oracleデータベースをバックアップするには、[Oracle]タブで指定したアカウントにSYSDBA権限が付与されている必要があります。[Specify Guest Processing Settings]のステップで指定したアカウントがWindowsベースVMのORA_DBAグループおよびLinuxベースVMのOSASM、OSDBA、OINSTALLグループのメンバーである場合は、このようなアカウントを使用できます。または、たとえばSYS OracleアカウントやSYSDBA権限が付与されているその他のOracleアカウントを使用することもできます。

    Linuxサーバー上のOracleデータベースのゲスト処理を実行するには、 /tmpディレクトリがexecオプションでマウントされていることを確認してください。そうしないと、アクセス権限の拒否でエラーが発生します。

    Microsoft SharePoint

    Microsoft SharePointサーバーをバックアップするには、アカウントにFarm Administratorのロールが割り当てられている必要があります

    Microsoft SharePoint ServerのMicrosoft SQLデータベースをバックアップするには、アカウントにVeeam Explorer for Microsoft SQL Serverと同じ権限が割り当てられている必要があります。

    ユーザーアカウントを選択する場合は、次の一般要件を考慮してください。

    • [ゲストOSファイルのインデックス作成の場合] Windowsベースのワークロードの場合は、管理者権限を持つアカウントを選択してください。Linuxベースのワークロードの場合は、rootユーザーまたはrootに昇格したユーザーのアカウントを選択してください。
    • ネットワークレスゲスト処理を使用するには VIX API/vSphere Webサービス、バックアップウィザードのゲスト処理ステップで次のアカウントのいずれかを指定する必要があります。アカウントに、表にリストされている権限もあることを確認してください。
    • Windowsユーザーアカウント制御(UAC)が有効になっている場合は、ローカル管理者(MACHINE \ Administrator)またはドメイン管理者(DOMAIN \ Administrator)のアカウントを指定します。
    • UACが無効になっている場合は、組み込みのAdministratorsグループのメンバーであるアカウントを指定します。
    • LinuxベースのVMの場合、rootアカウントを指定します。
    • [VMwareVIXを介したネットワークレスゲスト処理の場合]1000を超えるゲスト処理操作を実行できるようにするには、ゲスト処理に指定したユーザーが少なくとも1回VMにログインしている必要があります。
    • Active Directoryアカウントを使用する場合は、必ずDOMAIN\Usernameの形式でアカウントを指定してください。
    • ローカルのユーザーアカウントを使用する場合は、必ずUsernameまたはHOST\Usernameの形式でアカウントを指定してください。
    • ドメインコントローラサーバーを処理するには、DOMAIN\Administratorsグループのメンバーであるアカウントを使用してください。
    • 読み取り専用のドメインコントローラをバックアップするには、委任されたRODC管理者のアカウントで十分です。詳細については、こちらのMicrosoftの記事を参照してください。

    オブジェクトストレージリポジトリの使用

    Amazon S3オブジェクトストレージの権限

    以下の点を考慮してください。

    イミュータビリティを無効にしてAmazon S3オブジェクトストレージを使用するために必要な権限は次の通りです。

    {{

     "s3:ListBucket"、

     "s3:GetBucketLocation"、

     "s3:GetObject"、

     "s3:PutObject"、

     "s3:DeleteObject"、

     "s3:ListAllMyBuckets",

     "s3:GetBucketVersioning"

    }

     

    イミュータビリティを有効にしてAmazon S3オブジェクトストレージを使用するために必要な権限は次の通りです。イミュータビリティの詳細については、「イミュータビリティ」を参照してください。

    {

     "s3:ListBucket",

     "s3:GetBucketLocation",

     "s3:GetObject",

     "s3:PutObject",

     "s3:DeleteObject",

     "s3:ListAllMyBuckets",

     "s3:GetBucketVersioning",

     "s3:GetBucketObjectLockConfiguration"、

     "s3:ListBucketVersions"、

     "s3:GetObjectVersion"、

     "s3:GetObjectRetention"、

     "s3:GetObjectLegalHold"、

     "s3:PutObjectRetention"、

     "s3:PutObjectLegalHold"、

     "s3:DeleteObjectVersion"

    }

     

    例については、このVeeamナレッジベースの記事を参照してください。権限の詳細については、こちらのAmazonの記事を参照してください。

    Google Cloudオブジェクトストレージの権限

    次のことを考慮してください:New Object Repository ウィザードBucket ステップでバケット名を明示的に指定する場合は、storage.buckets.list パーミッションは必要ではありません。

    Owner IAMロールは、Google Cloud Storageの操作に必要な権限を必ずしも付与するわけではありません。

    Google Cloudオブジェクトストレージの使用に必要な権限は次の通りです。

    {

     "storage.buckets.get"、

     "storage.buckets.list"、

     "storage.objects.create"、

     "storage.objects.delete"、

     "storage.objects.get"、

     「storage.objects.list」

    }

    Amazon S3 Glacierストレージの権限

    Amazon S3 Glacierのアクセス許可は、不変性を有効または無効にしてストレージを使用するかどうかによって異なります。

    イミュータビリティを無効にしてAmazon S3 Glacierオブジェクトストレージを使用するために必要な権限は次の通りです。

    • VPC、サブネット、およびセキュリティグループを[新規作成]として設定します

    {

     "Version": "2012-10-17",

     "Statement": [

       {

         "Sid": "VisualEditor0",

         "Effect": "Allow",

         "Action": [

           "s3:DeleteObject",

           "s3:PutObject",

           "s3:GetObject",

    "s3:RestoreObject",

    "s3:ListBucket",

    "s3:AbortMultiPartUpload",

                   "s3:GetBucketVersioning",

    "s3:ListAllMyBuckets",

    "s3:GetBucketLocation",

    "s3:GetBucketObjectLockConfiguration",

    "ec2:DescribeInstances",

    "ec2:CreateKeyPair",

    "ec2:DescribeKeyPairs",

    "ec2:RunInstances",

    "ec2:DeleteKeyPair",

    "ec2:DescribeVpcAttribute",

    "ec2:CreateTags",

    "ec2:DescribeSubnets",

    "ec2:TerminateInstances",

    "ec2:DescribeSecurityGroups",

    "ec2:DescribeImages",

    "ec2:DescribeVpcs",

                   "ec2:CreateVpc",

                   "ec2:CreateSubnet",

    "ec2:DescribeAvailabilityZones",

                   "ec2:CreateRoute",

                   "ec2:CreateInternetGateway",

                   "ec2:AttachInternetGateway",

                   "ec2:ModifyVpcAttribute",

                   "ec2:CreateSecurityGroup",

                   "ec2:DeleteSecurityGroup",

                   "ec2:AuthorizeSecurityGroupIngress",

                   "ec2:AuthorizeSecurityGroupEgress",

           "ec2:DescribeRouteTables",

                   "ec2:DescribeInstances",

    ],

    "Resource": "*"

       }

     ]

    }

    • 事前構成されたVPC、サブネット、およびセキュリティグループ

    {

     "Version": "2012-10-17",

    "Statement": [{

       {

         "Sid": "VisualEditor0",

         "Effect": "Allow",

         "Action": [

           "s3:DeleteObject",

           "s3:PutObject",

    "s3:GetObject",

    "s3:RestoreObject",

    "s3:ListBucket",

    "s3:AbortMultiPartUpload",

                   "s3:GetBucketVersioning",

    "s3:ListAllMyBuckets",

    "s3:GetBucketLocation",

    "s3:GetBucketObjectLockConfiguration",

    "ec2:DescribeInstances",

    "ec2:CreateKeyPair",

    "ec2:DescribeKeyPairs",

    "ec2:RunInstances",

    "ec2:DeleteKeyPair",

    "ec2:DescribeVpcAttribute",

    "ec2:CreateTags",

    "ec2:DescribeSubnets",

    "ec2:TerminateInstances",

    "ec2:DescribeSecurityGroups",

    "ec2:DescribeImages",

    "ec2:DescribeVpcs",

    ],

    "Resource": "*"

       }

     ]

    }

    イミュータビリティを有効にしてAmazon S3オブジェクトストレージを使用するために必要な権限は次の通りです。

    • With VPC, subnet and security group set as Create new

    {

     "Version": "2012-10-17",

    "Statement": [{

       {

         "Sid": "VisualEditor0",

         "Effect": "Allow",

         "Action": [

           "s3:DeleteObject",

           "s3:PutObject",

    "s3:GetObject",

    "s3:RestoreObject",

    "s3:ListBucket",

    "s3:AbortMultiPartUpload",

                   "s3:GetBucketVersioning",

    "s3:ListAllMyBuckets",

    "s3:GetBucketLocation",

    "s3:GetBucketObjectLockConfiguration",

    "s3:PutObjectRetention",

    "s3:GetObjectVersion",

    "s3:PutObjectLegalHold",

    "s3:GetObjectRetention",

    "s3:DeleteObjectVersion"

    "s3:ListBucketVersions",

    "ec2:DescribeInstances",

    "ec2:CreateKeyPair",

    "ec2:DescribeKeyPairs",

    "ec2:RunInstances",

    "ec2:DeleteKeyPair",

    "ec2:DescribeVpcAttribute",

    "ec2:CreateTags",

    "ec2:DescribeSubnets",

    "ec2:TerminateInstances",

    "ec2:DescribeSecurityGroups",

    "ec2:DescribeImages",

    "ec2:DescribeVpcs",

                   "ec2:CreateVpc",

                   "ec2:CreateSubnet",

    "ec2:DescribeAvailabilityZones",

                   "ec2:CreateRoute",

                   "ec2:CreateInternetGateway",

                   "ec2:AttachInternetGateway",

                   "ec2:ModifyVpcAttribute",

                   "ec2:CreateSecurityGroup",

                   "ec2:DeleteSecurityGroup",

                   "ec2:AuthorizeSecurityGroupIngress",

                   "ec2:AuthorizeSecurityGroupEgress",

           "ec2:DescribeRouteTables",

                   "ec2:DescribeInstances",

    ],

    "Resource": "*"

       }

     ]

    }

    • With preconfigured VPC, subnet and security group

    {

     "Version": "2012-10-17",

    "Statement": [{

       {

         "Sid": "VisualEditor0",

         "Effect": "Allow",

         "Action": [

           "s3:DeleteObject",

           "s3:PutObject",

    "s3:GetObject",

    "s3:RestoreObject",

    "s3:ListBucket",

    "s3:AbortMultiPartUpload",

                   "s3:GetBucketVersioning",

    "s3:ListAllMyBuckets",

    "s3:GetBucketLocation",

    "s3:GetBucketObjectLockConfiguration",

    "s3:PutObjectRetention",

    "s3:GetObjectVersion",

    "s3:PutObjectLegalHold",

    "s3:GetObjectRetention",

    "s3:DeleteObjectVersion"

    "s3:ListBucketVersions",

    "ec2:DescribeInstances",

    "ec2:CreateKeyPair",

    "ec2:DescribeKeyPairs",

    "ec2:RunInstances",

    "ec2:DeleteKeyPair",

    "ec2:DescribeVpcAttribute",

    "ec2:CreateTags",

    "ec2:DescribeSubnets",

    "ec2:TerminateInstances",

    "ec2:DescribeSecurityGroups",

    "ec2:DescribeImages",

    "ec2:DescribeVpcs",

    ],

    "Resource": "*"

       }

     ]

    }

    Azure Archiveオブジェクトストレージの権限

    Azure Archiveオブジェクトストレージの使用に必要な権限は次の通りです。

    {

     "properties": {

           "roleName": "CUSTOM_ROLE_MINIMAL_PERMISSIONS",

           "description": "CUSTOM_ROLE_MINIMAL_PERMISSIONS",

           "assignableScopes": [

         "/subscriptions/111111-1111-1111-0000-00000000000"

    ],

           "permissions": [

    {

                   "actions": [

                       "Microsoft.Authorization/*/read",

                       "Microsoft.Compute/locations/*",

                       "Microsoft.Compute/virtualMachines/*",

                       "Microsoft.Network/locations/*",

                       "Microsoft.Network/networkInterfaces/*",

    'Microsoft.Network/networkSecurityGroups/join/action',

    'Microsoft.Network/networkSecurityGroups/read',

    'Microsoft.Network/networkSecurityGroups/write',

    'Microsoft.Network/networkSecurityGroups/delete',

    'Microsoft.Network/publicIPAddresses/join/action',

    'Microsoft.Network/publicIPAddresses/read',

    'Microsoft.Network/publicIPAddresses/write',

    'Microsoft.Network/publicIPAddresses/delete',

    'Microsoft.Network/virtualNetworks/read',

                       "Microsoft.Network/virtualNetworks/write",

    'Microsoft.Network/virtualNetworks/subnets/join/action',

    'Microsoft.Storage/storageAccounts/listkeys/action',

    'Microsoft.Storage/storageAccounts/read',

                       "Microsoft.Resources/deployments/*",

    'Microsoft.Resources/subscriptions/resourceGroups/read',

    'Microsoft.Resources/checkResourceName/action',

    'Microsoft.Resources/subscriptions/resourceGroups/write',

                       "Microsoft.Resources/subscriptions/locations/read"

           ],

                   "notActions": [],

                   "dataActions": [],

                   "notDataActions": []

         }

       ]

     }

    }

    ストレージシステムとの統合

    ストレージスナップショットでデータ保護と災害復旧の操作を実行するには、ストレージシステムへの接続に使用するアカウントに必要な権限が付与されていなければなりません。

    NetApp Data ONTAP/Lenovo Thinksystem DMの権限

    NetApp Data ONTAP/Lenovo Thinksystem DMストレージシステムへの接続に使用するアカウントには、次の権限が必要です。

    7-Mode

    CDOT(VMware統合)

    コマンド/ディレクトリ

    アクセス/クエリレベル

    DEFAULT

    readonly

    cluster

    readonly

    metrocluster

    readonly

    fcp

    readonly

    file

    readonly

    igroup

    all

    iscsi

    all

    network

    readonly

    node

    readonly

    security

    readonly

    security login

    readonly

    set

    readonly

    snapmirror

    all

    system

    readonly

    version

    readonly

    qtree

    readonly

    lun

    all

    nfs

    all

    snapshot

    all

    volume

    all

    vserver

    all

    SVM(VMware Integration)としてのみ

    コマンド/ディレクトリ

    アクセス/クエリレベル

    DEFAULT

    none

    lun

    all

    lun igroup

    all

    network

    readonly

    security

    readonly

    security login

    readonly

    snapmirror

    all

    system

    readonly

    version

    readonly

    volume

    all

    volume file

    readonly

    volume qtree

    all

    volume snapshot

    all

    vserver

    all

    vserver fcp

    all

    vserver iscsi

    all

    vserver nfs

    all

    CDOT (NAS Backup Integration)

    コマンド/ディレクトリ

    アクセス/クエリレベル

    DEFAULT

    readonly

    security

    readonly

    security login

    readonly

    volume snapshot

    all

    vserver

    all

    vserver nfs

    all

    SVM(NASバックアップ統合)としてのみ

    コマンド/ディレクトリ

    アクセス/クエリレベル

    DEFAULT

    none

    lun

    readonly

    network

    readonly

    security

    readonly

    security login

    readonly

    snapmirror

    readonly

    version

    readonly

    volume

    readonly

    volume snapshot

    all

    vserver

    all

    CDOT(Veeam Agent Integration)

    コマンド/ディレクトリ

    アクセス/クエリレベル

    cluster

    readonly

    lun

    all

    metrocluster

    readonly

    network

    readonly

    システムライセンス

    readonly

    system node

    readonly

    version

    readonly

    volume

    all

    volume snapshot

    all

    vserver

    all

    SVM(Veeam Agent Integration)としてのみ

    コマンド/ディレクトリ

    アクセス/クエリレベル

    lun

    all

    network

    readonly

    version

    readonly

    volume

    all

    volume snapshot

    all

    vserver

    all

    Universal Storage API統合化システムの権限

    Universal Storage API統合化システムへの接続に使用するアカウントには、必要なロールがストレージシステムコンソールで割り当てられているか、必要な一連の権限が付与されているか、またはその両方が行われている必要があります。

     

    NASバックアップ機能をDellEMCIsilon / PowerScaleと統合するために必要な権限については、NASバックアップサポートセクションの「 DellEMC Isilon/PowerScaleとの統合」を参照してください。

    上記のストレージシステム以外の場合、このアカウントには管理者ロールが必要です。

    関連トピック

    Veeam Backup Enterprise Managerに必要な権限については、『Enterprise Managerユーザーガイド』の「必要な権限」を参照してください。