Abteilungen und administrative Konten

Wenn Sie Abteilungen und administrative Konten verwalten wollen, gehen Sie in der Cyber Protect Webkonsole zu Einstellungen –> Konten. Im Fensterbereich Konten wird die Gruppe Organisation mit einem Verzeichnisbaum der Abteilungen (sofern vorhanden) angezeigt – sowie die Liste der administrativen Konten auf der ausgewählten Hierarchieebene.

Abteilungen

Wenn Sie den Management Server installieren, wird die Gruppe Organisation automatisch erstellt. Mit einer Acronis Cyber Protect Advanced-Lizenz können Sie Untergruppen erstellen, die 'Abteilungen' genannt werden und denen administrative Konten hinzugefügt werden können. Diese Abteilungen entsprechen typsicherweise bestimmten Untereinheiten bzw. Bereichen eines Unternehmens. Auf diese Weise können Sie die Schutzverwaltung an andere Personen delegieren, deren Zugriffsberechtigungen streng auf die entsprechenden Abteilungen begrenzt sind. Informationen über die Erstellung einer Abteilung finden Sie im Abschnitt 'Abteilungen erstellen'.

Jede Abteilung (Organisationseinheit) kann Unterabteilungen haben. Die administrativen Konten der übergeordneten Abteilung haben in allen Unterabteilungen dieselben Berechtigungen. Die Gruppe Organisation ist die übergeordnete Abteilung mit der höchsten Ebene – und administrative Konten auf dieser Ebene haben die gleichen Berechtigungen in allen Abteilungen.

Administrative Konten

Jedes Konto, das sich an der Cyber Protect Webkonsole anmelden kann, ist ein administratives Konto.

In der Cyber Protect Webkonsole kann jedes administrative Konto alles einsehen oder verwalten, was sich auf oder unterhalb der Hierarchie-Ebene seiner Abteilung befindet. Ein administratives Konto in der Organization' hat beispielsweise Zugriff auf diese höchste Ebene und damit Zugriff auf alle Abteilungen dieser Organisation – während ein administratives Konto in einer bestimmten Abteilung nur auf diese Abteilung und deren Unterabteilungen zugreifen kann.

Welche Konten können administrativ sein?

Falls der Management Server auf einer Windows-Maschine installiert ist, die einer Active Directory-Domain angehört, können Sie lokalen Benutzern oder Benutzern und Benutzergruppen innerhalb der Active Directory-Domänengesamtstruktur administrative Rechte gewähren.

Standardmäßig stellt der Management Server eine SSL/TLS-geschützte Verbindung zum Active Directory Domain Controller her. Wenn dies nicht möglich ist, wird gar keine Verbindung hergestellt. Sie können jedoch auch unsichere Verbindungen zulassen, indem Sie die Datei auth-connector.json5 bearbeiten.

Wenn Sie eine sichere Verbindung verwenden wollen, stellen Sie sicher, dass LDAPS (LDAP-über-SSL) für Ihr Active Directory konfiguriert ist.

So können Sie LDAPS für Active Directory konfigurieren

Erstellen und installieren Sie auf dem Domain Controller ein LDAPS-Zertifikat, das die Microsoft-Anforderungen erfüllt.

Weitere Informationen zur Durchführung dieser Aktionen finden Sie im Artikel 'Aktivieren von LDAP über SSL mit einer Zertifizierungsstelle eines Drittanbieters' in der Microsoft-Dokumentation.
Öffnen Sie auf dem Domain Controller die Microsoft Management Console und überprüfen Sie, ob das Zertifikat unter Zertifikate (Lokaler Computer) –> Persönlich –> Zertifikate vorhanden ist.
Starten Sie den Domain-Controller neu.
Überprüfen Sie, ob LDAPS aktiviert ist.

So können Sie unsichere Verbindungen zum Domain Controller zulassen

Melden Sie sich an der Maschine an, auf welcher der Management Server installiert ist.
Öffnen Sie die Datei auth-connector.json5 zur Bearbeitung.

Die Datei auth-connector.json5 befindet sich im Verzeichnis %APPDATA%\Acronis\AuthConnector.
Gehen Sie zum Abschnitt sync und ersetzen Sie dann in jeder "connectionMode"-Zeile den Eintrag "ssl_only" durch "auto".

Im Modus auto wird dann eine unsichere Verbindung aufgebaut, wenn keine TLS-Verbindung möglich ist.
Starten Sie den Acronis Service Manager Service neu (wie im Abschnitt 'So können Sie den Acronis Service Manager Service neu starten' beschrieben).

Wenn der Management Server in keiner Active Directory-Domain enthalten ist oder wenn er auf einer Linux-Maschine installiert ist, können Sie nur lokalen Benutzern und Gruppen administrative Rechte gewähren.

Wie Sie dem Management Server ein administratives Konto hinzufügen können, wird im Abschnitt 'Administrative Konten hinzufügen' erläutert.

Administrative Konto-Rollen

Jedem administrativen Konto wird eine Rolle mit den vordefinierten Berechtigungen zugewiesen, die für bestimmte Aufgaben erforderlich sind. Es gibt folgende administrative Konto-Rollen:

Administrator
Diese Rolle ermöglicht den vollen administrativen Zugriff auf die Organisation oder eine Abteilung.

Nur Lesen
Diese Rolle ermöglicht einen schreibgeschützten Zugriff auf die Cyber Protect Webkonsole. Sie ermöglicht nur das Sammeln von Diagnoseinformationen (wie z.B. Systemberichte). Mit der Nur-Lesen-Rolle können weder Backups noch die Inhalte von gesicherten Postfächern durchsucht werden.

Auditor
Diese Rolle ermöglicht einen Nur-Lesen-Zugriff auf die Registerkarte Aktivitäten in der Cyber Protect Webkonsole. Weitere Informationen zu dieser Registerkarte finden Sie im Abschnitt 'Die Registerkarte 'Aktivitäten''. Mit dieser Rolle können keine Daten (auch nicht die Systeminformationen des Management Servers) gesammelt oder exportiert werden.

Alle Änderungen in den Rollen werden auf der Registerkarte Aktivitäten angezeigt.

Vererbung von Rollen

Die Rollen in einer übergeordneten Abteilung werden an ihre Unterabteilungen weitergegeben. Wenn demselben Benutzerkonto in der übergeordneten und in einer untergeordneten Abteilung unterschiedliche Rollen zugewiesen wurden, verfügt es über beide Rollen.

Rollen können außerdem einem bestimmten Benutzerkonto explizit zugewiesen oder von einer Benutzergruppe geerbt werden. Ein Benutzerkonto kann daher sowohl eine spezifisch zugewiesene als auch eine vererbte Rolle haben.

Wenn ein Benutzerkonto verschiedene Rollen hat (zugewiesen und/oder vererbt), kann es auf alle Objekte zugreifen und alle Aktionen ausführen, die durch diese Rollen erlaubt werden. So erhält beispielweise ein Benutzerkonto, dem die Rolle 'Nur Lesen' zugewiesen wurde und das gleichzeitig die Rolle 'Administrator' geerbt hat, volle administrative Berechtigungen.

In der Cyber Protect Webkonsole werden nur explizit zugewiesene Rollen für die aktuelle Abteilung angezeigt. Eventuelle Unstimmigkeiten mit vererbten Rollen werden nicht angezeigt. Wir empfehlen dringend, dass Sie die Rollen 'Administrator', 'Nur-Lesen' und 'Auditor' nur jeweils separaten Konten oder Gruppen zuweisen, um mögliche Probleme mit vererbten Rollen zu vermeiden.

Standard-Administratoren

Unter Windows:

Wenn ein Management Server auf einer Maschine installiert wird, passiert Folgendes:

Es wird die Benutzergruppe Acronis Centralized Admins auf der Maschine erstellt.

Auf einem Domain Controller wird die Gruppe folgendermaßen bezeichnet: DCNAME $ Acronis Centralized Admins. Wobei DCNAME für den NetBIOS-Namen des Domain Controllers steht.
Alle Mitglieder der Gruppe Administratoren werden der Gruppe Acronis Centralized Admins hinzugefügt. Wenn sich die Maschine in einer Domain befindet, aber kein Domain Controler ist, werden lokale (Nicht-Domain-)Benutzer ausgeschlossen. Auf einem Domain Controller gibt es keine Nicht-Domain-Benutzer.
Die Gruppen Acronis Centralized Admins und Administratoren werden dem Management Server Organisationsadministratoren hinzugefügt. Wenn sich die Maschine in einer Domäne befindet, aber kein Domain Controller ist, wird die Gruppe Administratoren nicht hinzugefügt, sodass lokale (Nicht-Domain-)Benutzer keine Organisationsadministratoren werden.

Sie können die Gruppe Administratoren aus der Liste der Organisationsadministratoren löschen. Die Gruppe Acronis Centralized Admins kann jedoch nicht gelöscht werden. Für den unwahrscheinlichen Fall, dass alle Organisationsadministratoren gelöscht wurden, können Sie der Gruppe Acronis Centralized Admins in Windows ein Konto hinzufügen – und sich dann über dieses Konto an der Cyber Protect Webkonsole anmelden.

Unter Linux:

Wenn der Management Server auf einer Maschine installiert wird, wird der Benutzer root dem Management Server als Organisationsadministrator hinzugefügt.

Sie können der Liste der Management Server-Administratoren weitere Linux-Benutzer hinzufügen (wie weiter unten beschrieben) und dann auch den Benutzer root von dieser Liste wieder entfernen. Für den unwahrscheinlichen Fall, dass alle Organisationsadministratoren gelöscht wurden, können Sie den Dienst acronis_asm neu starten. Der Benutzer root wird dadurch automatisch wieder als Organisationsadministrator hinzugefügt.

Administratives Konto in mehreren Abteilungen

Einem Konto können in beliebig vielen Abteilungen administrative Berechtigungen erteilt werden. Für ein solches Konto (genauso wie für administrative Konten auf der Organisationsebene) wird in der Cyber Protect Webkonsole eine Abteilungsauswahl angezeigt. Mit diesem Auswahlelement kann der Besitzer des Kontos jede Abteilung separat einsehen oder verwalten.

Ein Konto, das über Berechtigungen für alle Abteilungen in einer Organisation verfügt, hat keine Berechtigungen für die Organisation selbst. Administrative Konten auf der Organisationsebene müssen der Gruppe Organization explizit hinzugefügt werden.

So können Sie Abteilungen mit Maschinen befüllen

Wenn ein Administrator eine Maschine über die Weboberfläche hinzufügt, wird diese Maschine der Abteilung hinzugefügt, die von diesem Administrator verwaltet wird. Wenn der Administrator mehrere Abteilungen verwaltet, wird die Maschine derjenigen Abteilung hinzugefügt, die in der Abteilungsauswahl angewählt ist. Der Administrator muss die Abteilung daher schon vorher auswählen, bevor er auf Hinzufügen klickt.

Wenn Agenten lokal installiert werden, muss ein Administrator deren Anmeldedaten bereitstellen. Die Maschine wird der Abteilung hinzugefügt, die vom Administrator verwaltet wird. Wenn der Administrator mehrere Abteilungen verwaltet, wird er vom Installer aufgefordert, eine Abteilung auszuwählen, der die Maschine hinzugefügt werden soll.