Eenheden en beheerdersaccounts

Ga in de Cyber Protect-webconsole naar Instellingen > Accounts om eenheden en beheerdersaccounts te beheren. In het deelvenster Accounts ziet u de Organisatiegroep met de eenhedenstructuur (indien aanwezig) en de lijst met beheerdersaccounts op het geselecteerde hiërarchische niveau.

Eenheden

De organisatiegroep wordt standaard geïnstalleerd wanneer u de beheerserver installeert. Met de Acronis Cyber Protect-licentie van het type Advanced kunt u onderliggende groepen maken. Deze worden eenheden genoemd en ze komen meestal overeen met de eenheden of afdelingen van een organisatie. U kunt ook beheerdersaccounts toevoegen aan de eenheden. Op deze manier kunt u het beveiligingsbeheer delegeren aan andere mensen van wie de toegangsrechten strikt beperkt zijn tot de overeenkomstige eenheden. Zie Eenheden maken voor informatie over het maken van een eenheid.

Elke eenheid kan onderliggende eenheden hebben. De beheerdersaccounts van de bovenliggende eenheid hebben dezelfde rechten in alle onderliggende eenheden. De organisatiegroep is de bovenliggende eenheid van het hoogste niveau, en de beheerdersaccounts op dit niveau hebben dezelfde rechten in alle eenheden.

Beheerdersaccounts

Elk account dat zich kan aanmelden bij de Cyber Protect-webconsole, is een beheerdersaccount.

Elk beheerdersaccount kan in de Cyber Protect-webconsole alles bekijken of beheren op of onder het hiërarchische niveau van de betreffende eenheid. Een beheerdersaccount in de organisatie heeft bijvoorbeeld toegang tot dit topniveau en dus tot alle eenheden van deze organisatie, terwijl een beheerdersaccount in een specifieke eenheid alleen toegang heeft tot deze eenheid en de bijbehorende onderliggende eenheden.

Welke accounts kunnen beheerdersaccounts zijn?

Als de beheerserver is geïnstalleerd op een Windows-machine die is opgenomen in een Active Directory-domein, kunt u beheerdersrechten toekennen aan lokale gebruikers of gebruikers en gebruikersgroepen binnen het Active Directory-domeinforest.

Standaard maakt de beheerserver verbinding met de Active Directory-domeincontroller via een met SSL/TLS beveiligde verbinding. Als dit niet mogelijk is, wordt er geen verbinding tot stand gebracht. U kunt echter het gebruik van niet-veilige verbindingen toestaan door de gegevens in het bestand auth-connector.json5 te bewerken.

Als u een beveiligde verbinding wilt gebruiken, moet u ervoor zorgen dat LDAP via SSL (LDAPS) is geconfigureerd voor uw Active Directory.

LDAPS configureren voor Active Directory

  1. Maak en installeer op de domeincontroller een LDAPS-certificaat dat voldoet aan de vereisten van Microsoft.

    Zie LDAP via SSL inschakelen met een certificeringsinstantie van derden in de Microsoft-documentatie voor meer informatie over het uitvoeren van deze bewerkingen.

  2. Open op de domeincontroller de optie Microsoft Management Console en controleer of het certificaat bestaat onder Certificaten (lokale computer) > Persoonlijk > Certificaten.
  3. Start de domeincontroller opnieuw op.
  4. Controleer of LDAPS is ingeschakeld.

Niet-veilige verbindingen naar de domeincontroller toestaan

  1. Meld u aan bij de machine waarop de beheerserver is geïnstalleerd.

  2. Open het auth-connector.json5-bestand om het te bewerken.

    Het bestand auth-connector.json5 bevindt zich in %ProgramFiles%\Acronis\AuthConnector.

  3. Navigeer naar het gedeelte sync. Ga naar elke regel van 'connectionMode' en vervang 'ssl_only' door 'auto'.

    In de auto-modus wordt een niet-veilige verbinding tot stand gebracht als een TLS-verbinding niet mogelijk is.

  4. Start de Acronis Service Manager-service opnieuw op zoals beschreven in De Acronis Service Manager-service opnieuw opstarten.
Als de beheerserver niet is opgenomen in een Active Directory-domein of is geïnstalleerd op een Linux-machine, kunt u alleen beheerdersrechten toekennen aan lokale gebruikers en groepen.

Zie Beheerdersaccounts toevoegen voor meer informatie over het toevoegen van een beheerdersaccount aan de beheerserver.

Rollen van beheerdersaccounts

Elk beheerdersaccount krijgt een rol toegewezen met de vooraf gedefinieerde rechten die nodig zijn voor specifieke taken. Er bestaan de volgende rollen voor beheerdersaccounts:

  • Beheerder
    Deze rol biedt volledige beheerderstoegang tot de organisatie of een eenheid.

  • Alleen-lezen
    Deze rol biedt alleen-lezen toegang tot de Cyber Protect-webconsole. Hiermee kunt u alleen diagnostische gegevens verzamelen, zoals systeemrapporten. Met de alleen-lezen rol kunt u niet bladeren door back-ups of door de inhoud van back-ups van postvakken.

  • Auditor
    Deze rol biedt alleen-lezen toegang tot het tabblad Activiteiten in de Cyber Protect-webconsole. Zie Het tabblad Activiteiten Voor meer informatie over dit tabblad. Met deze rol kunt u geen gegevens verzamelen of exporteren, dus ook geen systeeminformatie van de beheerserver.

Eventuele wijzigingen in de rollen worden weergegeven op het tabblad Activiteiten.

Overname van rollen

Rollen in een bovenliggende eenheid worden overgenomen door de onderliggende eenheden. Als aan hetzelfde gebruikersaccount verschillende rollen zijn toegewezen in de bovenliggende eenheid en een onderliggende eenheid, dan heeft het account beide rollen.

Ook kunnen rollen expliciet worden toegewezen aan een specifiek gebruikersaccount of worden overgenomen van een gebruikersgroep. Zo kan een gebruikersaccount zowel een specifiek toegewezen rol als een overgenomen rol hebben.

Als een gebruikersaccount verschillende rollen heeft (toegewezen en/of overgenomen), kan het toegang krijgen tot objecten en acties uitvoeren die zijn toegestaan voor een van deze rollen. Een gebruikersaccount met een toegewezen alleen-lezen rol en een overgenomen beheerdersrol heeft bijvoorbeeld beheerdersrechten.

In de Cyber Protect-webconsole worden alleen expliciet toegewezen rollen voor de huidige eenheid weergegeven. Eventuele verschillen met de overgenomen rollen worden niet weergegeven. We raden u sterk aan om beheerdersrollen, alleen-lezen rollen en auditorrollen toe te wijzen aan afzonderlijke accounts of groepen, om mogelijke problemen met de overgenomen rollen te voorkomen.

Standaardbeheerders

In Windows

Wanneer de beheerserver op een machine wordt geïnstalleerd, gebeurt het volgende:

  • De gebruikersgroep Acronis Centralized Admins wordt gemaakt op de machine.

    Op een domeincontroller wordt de groep DCNAME $ Acronis Centralized Admins genoemd. Hierbij staat DCNAME voor de NetBIOS-naam van de domeincontroller.

  • Alle leden van de groep Beheerders worden toegevoegd aan de groep Acronis Centralized Admins. Als de machine zich in een domein bevindt maar geen domeincontroller is, worden lokale gebruikers (van buiten het domein) uitgesloten. Op een domeincontroller zijn er geen gebruikers van buiten het domein.
  • De groepen Acronis Centralized Admins en Beheerders worden toegevoegd aan de beheerserver als organisatiebeheerders. Als de machine zich in een domein bevindt maar geen domeincontroller is, wordt de groep Administrators niet toegevoegd, om te voorkomen dat lokale gebruikers (van buiten het domein) organisatiebeheerders worden.

U kunt de groep Beheerders verwijderen uit de lijst met organisatorbeheerders. De groep Acronis Centralized Admins kan echter niet worden verwijderd. In het onwaarschijnlijke geval dat alle organisatiebeheerders zijn verwijderd, kunt u een account toevoegen aan de groep Acronis Centralized Admins in Windows en u vervolgens met dit account aanmelden bij de Cyber Protect-webconsole.

In Linux

Wanneer de beheerserver op een machine wordt geïnstalleerd, wordt de rootgebruiker aan de beheerserver toegevoegd als organisatiebeheerder.

U kunt andere Linux-gebruikers toevoegen aan de lijst met beheerders van de beheerserver (zoals later wordt beschreven) en vervolgens kunt u de rootgebruiker verwijderen uit deze lijst. In het onwaarschijnlijke geval dat alle organisatiebeheerders zijn verwijderd, kunt u de acronis_asm-service opnieuw starten. Hierdoor wordt de rootgebruiker automatisch opnieuw toegevoegd als organisatiebeheerder.

Beheerdersaccount in meerdere eenheden

Een account kan beheerdersrechten krijgen in een willekeurig aantal eenheden. De eenhedenkiezer voor een dergelijk account en voor beheerdersaccounts op organisatieniveau wordt weergegeven in de Cyber Protect-webconsole. Met behulp van deze kiezer kan dit account elke eenheid afzonderlijk bekijken en beheren.

Een account met rechten voor alle eenheden in een organisatie heeft geen rechten voor de organisatie. Beheerdersaccounts op organisatieniveau moeten expliciet aan de groep Organisatie worden toegevoegd.

Eenheden invullen met machines

Wanneer een beheerder een machine toevoegt via de webinterface, wordt de machine toegevoegd aan de eenheid die door de beheerder wordt beheerd. Als de beheerder meerdere eenheden beheert, wordt de machine toegevoegd aan de eenheid die in de eenhedenkiezer is gekozen. Daarom moet de beheerder het apparaat selecteren voordat hij op Toevoegen klikt.

Voor het lokaal installeren van agenten geeft een beheerder hun referenties. De machine wordt toegevoegd aan de eenheid die door de beheerder wordt beheerd. Als de beheerder meerdere units beheert, vraagt het installatieprogramma om een eenheid te selecteren waaraan de machine wordt toegevoegd.

Koppelingspictogram voor gerelateerde onderwerpenGerelateerde onderwerpen