Jednostki i konta administracyjne

Aby zarządzać jednostkami i kontami administracyjnymi, w konsoli Cyber Protect przejdź do sekcji Ustawienia > Konta. Panel Konta zawiera grupę Organizacja wraz z drzewem jednostek (jeśli istnieje) oraz listę kont administracyjnych na wybranym poziomie hierarchii.

Jednostki

Grupa Organizacja jest tworzona automatycznie podczas instalacji serwera zarządzania. Licencja wersji Acronis Cyber Protect Advanced pozwala tworzyć grupy podrzędne nazywane jednostkami, które zwykle odpowiadają jednostkom organizacyjnym lub działom organizacji, i dodawać do nich konta administracyjne. W ten sposób możesz przekazać zarządzanie ochroną innym osobom, których uprawnienia dostępu będą ściśle ograniczone do odpowiednich jednostek. Informacje na temat tworzenia jednostki można znaleźć w sekcji Tworzenie jednostek.

Każda jednostka może mieć jednostki dziecięce. Konta administracyjne jednostki nadrzędnej mają takie same prawa we wszystkich jej jednostkach podrzędnych. Grupa Organizacja jest jednostką nadrzędną najwyższego poziomu, więc konta administracyjne na tym poziomie mają takie same prawa we wszystkich jednostkach.

Konta administracyjne

Kontem administracyjnym jest każde konto umożliwiające zalogowanie się w konsoli Cyber Protect.

W konsoli Cyber Protect każde konto administracyjne ma uprawnienia do przeglądania wszystkich elementów znajdujących się na poziomie lub poniżej poziomu hierarchii jego jednostki albo do zarządzania nimi. Na przykład konto administracyjne w organizacji ma dostęp do tego najwyższego poziomu, a w związku z tym również dostęp do wszystkich jednostek tej organizacji, podczas gdy konto administracyjne w określonej jednostce ma dostęp tylko do tej jednostki i jej jednostek podrzędnych.

Które konta mogą być kontami administracyjnymi?

Jeśli serwer zarządzania jest zainstalowany na komputerze z systemem Windows, który należy do domeny Active Directory, prawa administracyjne można przyznać użytkownikom lokalnym albo użytkownikom i grupom użytkowników w ramach danego lasu domeny Active Directory.

Domyślnie serwer zarządzania nawiązuje połączenie z kontrolerem domeny Active Directory chronione przy użyciu protokołu SSL/TLS. Jeśli nie jest to możliwe, nie zostanie nawiązane żadne połączenie. Można jednak zezwolić na połączenia niezabezpieczone — w tym celu należy edytować plik auth-connector.json5.

Aby korzystać z połączenia zabezpieczonego, upewnij się, że dla usługi Active Directory skonfigurowano protokół LDAP over SSL (LDAPS).

Aby skonfigurować protokół LDAPS dla usługi Active Directory

  1. Na kontrolerze domeny utwórz i zainstaluj certyfikat LDAPS, który spełnia wymagania firmy Microsoft.

    Dodatkowe informacje o tym, jak to zrobić, można znaleźć w sekcji Enable LDAP over SSL with a third-party certification authority (Włączanie protokołu LDAP over SSL przy użyciu zewnętrznego urzędu certyfikacji) w dokumentacji firmy Microsoft.

  2. Na kontrolerze domeny otwórz narzędzie Microsoft Management Console i sprawdź, czy w sekcji Certyfikaty (Komputer lokalny) > Osobiste > Certyfikaty jest dostępny certyfikat.
  3. Uruchom ponownie kontroler domeny.
  4. Sprawdź, czy jest włączony protokół LDAPS.

Aby zezwolić na niezabezpieczone połączenia z kontrolerem domeny

  1. Zaloguj się na komputerze z zainstalowanym serwerem zarządzania.

  2. Otwórz plik auth-connector.json5 do edycji.

    Plik auth-connector.json5 znajduje się w folderze %ProgramFiles%\Acronis\AuthConnector.

  3. Przejdź do sekcji sync i w każdym wierszu "connectionMode" zastąp wartość "ssl_only" wartością "auto".

    W trybie auto w przypadku braku możliwości nawiązania połączenia TLS nawiązywane jest połączenie niezabezpieczone.

  4. Uruchom ponownie usługę Acronis Service Manager Service zgodnie z opisem podanym w sekcji Aby uruchomić ponownie usługę Acronis Service Manager Service.
Jeśli serwer zarządzania nie należy do domeny Active Directory lub jest zainstalowany na komputerze z systemem Linux, prawa administracyjne można przyznać tylko użytkownikom lub grupom lokalnym.

Informacje o dodawaniu konta administracyjnego do serwera zarządzania można znaleźć w sekcji Dodawanie kont administracyjnych.

Role kont administracyjnych

Każde konto administracyjne ma przypisaną rolę ze wstępnie zdefiniowanymi prawami, które są niezbędne do wykonywania określonych zadań. Możliwe są następujące role kont administracyjnych:

  • Administrator
    Ta rola zapewnia pełny dostęp administracyjny do organizacji lub jednostki.

  • Tylko do odczytu
    Ta rola zapewnia dostęp do konsoli Cyber Protect z uprawnieniem tylko do odczytu. Pozwala ona jedynie na zbieranie danych diagnostycznych, na przykład raportów systemowych. Rola Tylko do odczytu nie pozwala na przeglądanie kopii zapasowych ani zawartości skrzynek pocztowych uwzględnionych w kopii zapasowej.

  • Inspektor
    Ta rola zapewnia dostęp do karty Działania w konsoli Cyber Protect. Dodatkowe informacje na temat tej karty można znaleźć w sekcji Karta Działania. Ta rola nie pozwala na zbieranie ani eksportowanie żadnych danych, w tym informacji o systemie serwera zarządzania.

Wszelkie zmiany w ramach ról są wyświetlane na karcie Działania.

Dziedziczenie ról

Role z jednostki nadrzędnej są dziedziczone przez jej jednostki podrzędne. Jeśli to samo konto użytkownika ma inne role przypisane w jednostce nadrzędnej, a inne w jednostce podrzędnej, będzie miało obie grupy ról.

Ponadto role mogą być wprost przypisywane do określonego konta użytkownika lub dziedziczone po grupie użytkowników. W ten sposób konto użytkownika może mieć zarówno rolę przypisaną, jak i odziedziczoną.

Jeśli konto użytkownika ma różne role (przypisane i/lub odziedziczone), może uzyskiwać dostęp do obiektów dozwolonych przez którąkolwiek z tych ról i wykonywać na nich działania dozwolone przez którąkolwiek z tych ról. Na przykład konto użytkownika z przypisaną rolą Tylko do odczytu i odziedziczoną rolą Administrator będzie miało prawa administratora.

W konsoli Cyber Protect wyświetlane są tylko role wprost przypisane w ramach bieżącej jednostki. Ewentualne rozbieżności w stosunku do ról odziedziczonych nie są wyświetlane. Zdecydowanie zalecamy przypisywanie ról Administrator, Tylko do odczytu i Inspektor osobnym kontom lub grupom w celu uniknięcia ewentualnych problemów z rolami odziedziczonymi.

Administratorzy domyślni

W systemie Windows

Gdy serwer zarządzania jest instalowany na komputerze, zachodzą następujące zdarzenia:

  • Grupa użytkowników Acronis Centralized Admins jest tworzona na komputerze.

    Na kontrolerze domeny grupa ta ma nazwę DCNAME $ Acronis Centralized Admins. DCNAME oznacza tu nazwę NetBIOS kontrolera domeny.

  • Wszyscy członkowie grupy Administratorzy zostaną dodani do grupy Acronis Centralized Admins. Jeśli komputer znajduje się w domenie, ale nie jest jej kontrolerem, lokalni (niedomenowi) użytkownicy zostaną wykluczeni. Na kontrolerze domeny nie ma żadnych niedomenowych użytkowników.
  • Grupy Acronis Centralized Admins i Administratorzy zostaną dodane do serwera zarządzania jako administratorzy organizacji. Jeśli komputer znajduje się w domenie, ale nie jest jej kontrolerem, grupa Administratorzy nie zostanie dodana, w związku z czym lokalni (niedomenowi) użytkownicy nie zostaną administratorami organizacji.

Można usunąć grupę Administratorzy z listy administratorów organizacji. Nie można jednak usunąć grupy Acronis Centralized Admins. W mało prawdopodobnym przypadku usunięcia wszystkich administratorów organizacji możesz dodać konto do grupy Acronis Centralized Admins w systemie Windows, a następnie zalogować się do konsoli Cyber Protect przy użyciu tego konta.

W systemie Linux

Podczas instalacji serwera zarządzania na komputerze dodawany jest do niego użytkownik root jako administrator organizacji.

Do listy administratorów serwera zarządzania można też dodać innych użytkowników systemu Linux, zgodnie z opisem zamieszczonym w dalszej części tego dokumentu, a następnie usunąć użytkownika root z tej listy. W mało prawdopodobnym przypadku usunięcia wszystkich administratorów organizacji można uruchomić ponownie usługę acronis_asm. W wyniku tej operacji użytkownik root zostanie automatycznie ponownie dodany jako administrator organizacji.

Konto administracyjne w wielu jednostkach

Kontu można przyznać prawa administracyjne w dowolnej liczbie jednostek. W przypadku takiego konta, a także kont administracyjnych na poziomie organizacji, w konsoli Cyber Protect jest wyświetlany selektor jednostek. Przy użyciu tego selektora na koncie można wyświetlać każdą jednostkę z osobna i nią zarządzać.

Konto mające uprawnienia w przypadku wszystkich jednostek w organizacji nie ma uprawnień dotyczących organizacji. Konta administracyjne na poziomie organizacji muszą zostać jawnie dodane do grupy Organizacja.

Jak zapełnić jednostki komputerami

Gdy administrator doda komputer za pośrednictwem interfejsu internetowego, komputer zostanie dodany do jednostki zarządzanej przez administratora. Jeśli administrator zarządza wieloma jednostkami, komputer jest dodawany do jednostki wybranej w selektorze jednostek. W związku z tym administrator musi wybrać jednostkę zanim kliknie Dodaj.

Podczas lokalnego instalowania agentów administrator podaje ich poświadczenia. Komputer zostanie dodany do jednostki zarządzanej przez administratora. Jeśli administrator zarządza wieloma jednostkami, instalator wyświetli monit o wybranie jednostki, do której komputer zostanie dodany.

Related Topics Link IconRelated Topics