Отделы и учетные записи администратора

Для управления отделами и учетными записями администратора на веб-консоли Кибер Бэкап последовательно выберите пункты Настройки > Агенты. На панели Учетные записи отображается группа Организация с деревом отделов (при наличии), а также список учетных записей администраторов на выбранном уровне иерархии.

Отделы

Группа Организация автоматически создается при установке сервера управления. При наличии лицензии Кибер Бэкап Расширенная можно создать дочерние группы, называемые отделами, которые, как правило, соответствуют отделам или подразделениям организации, и добавить в них учетные записи администраторов. Таким способом можно делегировать управление защитой другим пользователям, для которых разрешения на доступ явным образом ограничены соответствующими отделами. Информацию о том, как создать отдел, см. в разделе Создание отделов.

Каждый отдел может иметь дочерние отделы. Учетные записи администраторов родительского отдела имеют одинаковые права во всех дочерних отделах. Группа Организация — это родительская группа верхнего уровня. Учетные записи администратора на этом уровне имеют одинаковые права во всех ее отделах.

Учетные записи администратора

Любой пользователь, учетная запись которого позволяет войти на веб-консоль Кибер Бэкап, является администратором.

На веб-консоли Кибер Бэкап любой пользователь с учетной записью администратора может просматривать все элементы на уровне иерархии своего отдела, а также управлять ими. Например, учетная запись администратора в организации имеет доступ к верхнему уровню, а соответственно и доступ ко всем отделам этой организации. Напротив, учетная запись администратора в определенном отделе может получить доступ только к данному отделу и своим дочерним отделам.

Какие учетные записи могут иметь роль администратора?

Если на машине Windows, включенной в домен Active Directory, установлен сервер управления, любому локальному пользователю, пользователю домена или группе пользователей можно предоставить права администратора.

Информацию о добавлении учетной записи администратора на сервере управления см. в разделе Добавление учетных записей администратора.

Роли учетной записи администратора

Каждой учетной записи администратора назначается роль с предварительно определенными правами, которые необходимы для выполнения определенных заданий. Роли учетной записи администратора перечислены ниже:

  • Администратор:
    роль предоставляет полный административный доступ к организации или отделу.

  • Оператор мониторинга:
    роль предоставляет доступ к инструментам мониторинга системы Кибер Бэкап. Роль позволяет создавать виджеты, просматривать уведомления о сбоях, действиях в системе, детали запущенных процессов, список агентов и узлов хранения, разрешает собирать данные диагностики Кибер Бэкап. Эта роль не позволяет изменять или запускать планы резервного копирования и восстанавливать резервные копии.

  • Только для чтения:
    роль предоставляет доступ только для чтения по отношению к веб-консоли Кибер Бэкап. Эта роль позволяет только собирать диагностические данные, такие как системные отчеты. Роль «Только для чтения» не позволяет выполнять обзор резервных копий.

  • Аудитор:
    роль предоставляет доступ только для чтения по отношению к вкладке Действия и разделу Журнал аудита в веб-консоли Кибер Бэкап. Дополнительную информацию об этих разделах см. в Панель мониторинга "Действия" и Журнал аудита. Эта роль не позволяет собирать или экспортировать какие-либо данные, включая системную информацию сервера управления.

Все изменения, внесенные в роли, отображаются на вкладке Действия.

Наследование ролей

Роли в родительском отделе наследуются дочерними отделами. Если для одной учетной записи пользователя назначены разные роли в родительском и дочернем отделах, эта учетная запись будет иметь обе роли.

Кроме того, роли можно явно назначить определенной учетной записи пользователя или наследовать от группы пользователей. Таким образом, учетная запись пользователя может иметь специально назначенную роль и наследованную роль.

Если учетная запись пользователя имеет различные роли (назначенные и (или) наследованные), такой пользователь может получить доступ и выполнять действия, разрешенные одной из этих ролей. Например, учетная запись пользователя с назначенной ролью «Только для чтения» и наследованной ролью «Администратор» будет иметь права администратора.

На веб-консоли Кибер Бэкап показаны только роли, которые явно назначены для текущего отдела. Никакие возможные отличия от наследованных ролей не отображаются. Во избежание возможных проблем с наследованными ролями настоятельно рекомендуем назначать роли «Администратор», «Только для чтения» и «Аудитор» отдельным учетным записям или группам.

Администраторы по умолчанию

В Windows

При установке сервера управления на машине происходит следующее:

  • Группа пользователей Acronis Centralized Admins создается на машине.

    На контроллере домена группе присваивается имя DCNAME $ Acronis Centralized Admins. DCNAME означает имя NetBIOS контроллера домена.

  • Все члены группы Администраторы добавляются в группу Acronis Centralized Admins. Если данная машина входит в домен, но не является контроллером домена, локальные пользователи (не входят в домен) исключаются. В контроллере домена нет пользователей, не принадлежащих к данному домену.
  • Группы Acronis Centralized Admins и Администраторы добавляются к серверу управления как администраторы организации. Если данная машина входит в домен, но не является контроллером домена, группа Администраторы не добавляется. Это необходимо, чтобы локальные пользователи (не входят в домен) не стали администраторами организации.

Можно удалить группу «Администраторы» из списка администраторов организации. Однако группу Acronis Centralized Admins невозможно удалить. В том маловероятном случае, когда удалены все администраторы организации, в Windows можно добавить учетную запись в группу Acronis Centralized Admins, а затем войти в веб-консоль Кибер Бэкап, используя эту учетную запись.

В ОС Linux

При установке сервера управления на машину пользователь root добавляется на сервер управления в качестве администратора организации.

Можно добавить других пользователей Linux в список администраторов сервера управления, как описано далее, а затем удалить пользователя root из этого списка. В маловероятном случае, когда удалены все администраторы организации, можно перезапустить службу acronis_asm. В результате пользователь root будет автоматически заново добавлен в качестве администратора организации.

В Linux вы можете также добавлять пользователей и назначать им роли (подробнее о добавлении пользователей см. Добавление учетных записей администратора).

Учетная запись администратора в нескольких отделах

Для учетной записи можно предоставить права администратора в любом количестве отделов. Для такой учетной записи, а также для учетных записей администраторов на уровне организации на веб-консоли Кибер Бэкап отображается селектор отдела. Этот селектор позволяет пользователю с этой учетной записью по отдельности просмотреть каждый отдел и выполнить управление.

Учетная запись, которая имеет разрешения на все отделы в организации, не имеет разрешений для организации. Учетные записи администраторов на уровне организации необходимо явно добавить в группу Организация.

Как заполнить отделы данными о машинах?

Когда администратор добавляет машину с помощью веб-интерфейса, она добавляется в отдел, управляемый администратором. Если администратор управляет несколькими отделами, машина добавляется отдел, выбранный с помощью селектора. Следовательно, администратору необходимо выбрать отдел перед тем, как щелкнуть Добавить.

При локальной установке агентов администратор предоставляет свои учетные данные. Машина добавляется в отдел, управляемый администратором. Если администратор управляет несколькими отделами, установщик попросит выбрать, в какой отдел добавить машину.

Значок ссылки на похожие темыПохожие темы