Présentation des comptes de connexion et de l'affectation des droits d'utilisateur requis pour remédier aux échecs de connexion, de sauvegarde ou de restauration

Cliquez sur l'une des rubriques ci-dessous pour obtenir plus d'informations spécifiques et pour remédier aux échecs potentiels de connectivité, de sauvegarde et de restauration dans Backup Exec :

  

Droits d'utilisateur pour le compte de connexion

 

Définitions 

 

Installation

 

Périphériques de sauvegarde 

 

Données du volume NTFS

 

Agent Exchange

 

Agent SQL

 

Agent SharePoint

 

Agent Active Directory

 

Agent Hyper-V

 

AVVI (Agent for VMware Virtual Infrastructure)

 

Agent Oracle

 

Agent Lotus

 

Enterprise Vault Agent

 

Système de fichiers et option d'archivage Exchange

 

RALUS (Remote Agent for Linux or Unix Servers)

 

RMALS (Remote Media Agent for Linux or Unix Servers)

 

RAMS (Remote Agent for Macintosh Systems)

 

RANW (Remote Agent for Netware Systems)

 

Agent SAP

 

Option CPS (Continuous Protection Server)

Option CASO (Central Administration Server) ou SSO (Shared Storage Option)

Résumé

 

 

A propos des droits d'utilisateur pour le compte de connexion dans Backup Exec :

Backup Exec permet d'enregistrer et de conserver plusieurs comptes de connexion. Ces comptes de connexion sont utilisés pour effectuer plusieurs opérations dans l'interface Backup Exec. Ils sont utilisés dans les cas suivants : fonctions d'applications internes telles que la communication entre les services Backup Exec et la base de données Backup Exec ; tâches de configuration des applications telles que la création et la configuration de dossiers de sauvegarde sur disque ; sélection de données afin de créer des listes de sélection et de sauvegarder/restaurer des données.

Les comptes de connexion conservés dans Backup Exec (autres que le compte utilisé pour les services Backup Exec) sont indépendants des comptes conservés en local ou de façon centralisée sous Windows, Mac, Linux, Active Directory ou d'autres systèmes d'exploitation/applications de services d'annuaire. Pour que les comptes de connexion dans Backup Exec fonctionnent correctement, ils doivent correspondre aux comptes sur les systèmes locaux Windows, Active Directory ou les systèmes distants et bénéficier de droits d'accès aux données et objets du système, comme requis. REMARQUE : les comptes BE étant indépendants des systèmes avec lesquels ils interagissent, les paramètres de compte et les mots de passe doivent être gérés avec précaution. Les modifications apportées aux comptes dans Backup Exec n'affectent pas les comptes associés sous Windows, Active Directory ou les systèmes distants.
 

Définitions :

1. Compte de connexion pour les services Backup Exec : il s'agit, par défaut, du compte spécifié au cours de l'installation, assigné à tous les services BE autres que Backup Exec Error Recording et Backup Exec Remote Agent for Windows Systems exécutés en tant que comptes de système local. REMARQUE : ces services peuvent être configurés à partir du gestionnaire des services Backup Exec, qui peut être lancé à partir de la barre d'état de l'interface utilisateur BE ou du menu Outils.

2. Compte de connexion système : ce compte est utilisé pour effectuer des tâches de configuration spécifiques aux applications, telles que la copie de travaux et l'utilisation de l'applet de ligne de commande BE. Il s'agit, par défaut, du même compte qui a été spécifié pendant l'installation et qui est également utilisé en tant que compte pour les services Backup Exec.

3. Compte de connexion par défaut : il s'agit du compte défini comme compte de connexion par défaut dans Backup Exec pour l'utilisateur se servant de l'interface utilisateur Backup Exec. Autrement dit, il s'agit du compte Backup Exec associant votre connexion système locale ou de domaine au système hébergeant l'application Backup Exec. Il s'agit, par défaut, du compte que vous avez spécifié lors de l'installation de l'application Backup Exec ; ce compte est utilisé par les services Backup Exec et défini comme compte de connexion du système.
   

A propos de l'installation de Backup Exec et des droits assignés au compte de service Backup Exec :

Pour l'installation de Backup Exec, vous devez être connecté avec un compte disposant de droits d'administrateur sur le serveur. Ceci permet au programme d'installation d'accéder au système de fichiers, au registre et aux périphériques de sauvegarde afin d'effectuer les changements de configuration souhaités.

En tant que partie intégrante du processus d'installation, un compte doit être spécifié pour les services Backup Exec. Ce compte doit disposer des droits d'administrateur local sur le serveur. Par défaut, au cours du processus d'installation, le compte spécifié pour les services Backup Exec bénéficie du droit d'ouverture de session en tant que service, en local ou dans le domaine, selon le cas. Le compte de service bénéficie de l'ensemble des droits concernant la base de données BEDB SQL créée pendant l'installation. Le compte spécifié est utilisé par tous les services Backup Exec autres que Backup Exec Error Recording et Backup Exec Remote Agent for Windows Systems. Ces services utilisent le compte de système local par défaut. Pour fonctionner correctement, les services utilisant le compte de système local doivent être configurés ainsi.

Remarque : si la base de données BEDB est hébergée sur un serveur autre que le serveur de médias Backup Exec local, le compte devra appartenir au groupe de l'administrateur de domaine. Le compte système spécifié dans l'utilitaire de gestion des comptes de connexion de Backup Exec doit disposer des mêmes droits que le compte de service pour un fonctionnement optimal. Pratique d'excellence : réunir le compte de système et le compte de service en un seul compte.

A propos des droits de connexion et des périphériques de sauvegarde :

Les périphériques de sauvegarde sont accessibles via les informations d'authentification assignées aux services Backup Exec. Comme Backup Exec ne peut transférer les informations d'authentification uniques vers les périphériques de sauvegarde, vous devez vous assurer que les périphériques externes (tels que les périphériques NAS) peuvent accepter les informations d'authentification du service ou disposent d'un compte équivalent avec les droits appropriés. Les dossiers de sauvegarde sur disque doivent bénéficier des droits appropriés pour les ressources protégées dans le périphérique cible. Exemple : lorsque les jeux de sauvegarde Exchange sont envoyés à un dossier de sauvegarde sur disque, l'utilisateur spécifié doit avoir les droits d'accès appropriés au serveur de domaine et au serveur Exchange sur ce dossier afin que la technologie GRT (Granular Restore Technology) fonctionne normalement.

A propos des droits de connexion requis pour protéger les données du volume NTFS :

Pour protéger les données du volume NTFS, Backup Exec requiert les droits de groupe des opérateurs de sauvegarde ou de groupe d'administrateurs. Backup Exec requiert précisément les droits suivants :

1. Sauvegarder les fichiers et les répertoires.
2. Restauration des fichiers et des répertoires.
3. Autorisation de la connexion en local (Windows 2000, 2003 et XP uniquement).
4. Ouverture d'une session en tant que tâche (Windows 2008/Vista et versions supérieures).

Pratique d'excellence (pour une utilisation simple) : intégrez le compte principal de BE (utilisé pour créer des listes de sélection et des travaux de sauvegarde) au groupe des administrateurs du domaine.

A propos des droits de connexion requis pour protéger les données Microsoft Exchange :

Backup Exec requiert les droits suivants pour protéger les données Exchange :

1. Pour les sauvegardes n'utilisant pas la technologie GRT (base de données uniquement, sans la fonctionnalité de restauration granulaire), le compte de connexion spécifié doit appartenir au groupe des opérateurs de sauvegarde local sur le serveur Exchange.
2. Pour les restaurations concernant uniquement les bases de données (n'utilisant pas la technologie GRT), le compte de connexion spécifié doit appartenir au groupe d'administrateurs local sur le serveur Exchange.
3. Pour les sauvegardes GRT sur disque (où le périphérique disque est local, sur le serveur de médias BE et dans le même domaine), le compte de connexion spécifié doit appartenir au groupe d'administrateurs local sur le serveur Exchange.
4. Pour les sauvegardes GRT sur un périphérique de bande ainsi que TOUTES les opérations de restauration GRT à partir d'une bande ou d'un disque, le compte de connexion spécifié doit appartenir au groupe d'administrateurs local sur le serveur Exchange. D'autre part, le compte de connexion doit être lié à une boîte aux lettres unique et NE doit PAS être masqué dans la liste d'adresses globales. Pour Exchange 2003, le compte doit également disposer du rôle d'administrateur Exchange ou d'administrateur intégral Exchange. Sur les serveurs Exchange 2007 et 2010, le compte doit disposer du rôle d'administrateur de l'organisation Exchange. Sur le serveur Exchange 2010, le compte doit également disposer du rôle d'administrateur sur le domaine Active Directory (AD) pour l'accès à AD dans le cadre des opérations GRT.

Pratique d'excellence (pour une utilisation simple) : intégrez le compte Backup Exec (pour les opérations de sauvegarde et de restauration Exchange) au groupe des administrateurs du domaine et attribuez le rôle d'administrateur intégral Exchange ou d'administrateur de l'organisation Exchange (selon la version d'Exchange) à ce compte. Assurez-vous que le compte est lié à une boîte aux lettres unique visible dans la LAG et qu'il peut envoyer et recevoir des messages.


A propos des droits de connexion requis pour protéger les données Microsoft SQL :

Backup Exec requiert les droits suivants pour protéger les données SQL :

Le compte utilisé pour protéger les données Microsoft SQL doit disposer des droits d'administrateur sur le serveur SQL ainsi que dans les bases de données SQL. Ceci est notamment nécessaire pour les procédures de restauration des bases de données SQL où les services SQL et les groupes de clusters doivent être contrôlés dans le cadre des opérations de restauration.

A propos des droits de connexion requis pour protéger les données Microsoft SharePoint :

1. Pour les opérations de sauvegarde et de restauration SharePoint, le compte spécifié dans Backup Exec doit disposer des droits locaux d'administrateur sur tous les serveurs faisant partie de la batterie SharePoint et disposer d'un administrateur pour les bases de données SQL associées.
2. Pour les restaurations d'éléments Sharepoint via la technologie GRT, le compte doit aussi disposer du rôle d'administrateur de la collection de sites sur le site SharePoint.

Pratique d'excellence (pour une utilisation simple) : intégrez le compte au groupe des administrateurs du domaine dans lequel se situe la batterie SharePoint et attribuez le rôle d'administrateur de la collection de sites dans SharePoint à ce compte.  Pour en savoir plus, consultez la rubrique suivante :

Configuration requise pour que le compte de service Backup Exec (BESA) effectue une sauvegarde de Microsoft Office SharePoint Server (MOSS) 2007 / (MOSS) 2010
https://www.veritas.com/docs/000040615

 
A propos des droits de connexion requis pour protéger les données Microsoft Active Directory :

Toutes les opérations de sauvegarde et de restauration effectuées sur la base de données d'un domaine Microsoft Active Directory, y compris les opérations de restauration GRT, nécessitent que le compte utilisé appartienne au groupe des administrateurs du domaine.

A propos des droits de connexion requis pour protéger les données de la machine virtuelle Microsoft Hyper-V :

La protection des données des machines virtuelles Microsoft Hyper-V requiert que le compte appartienne au groupe local des administrateurs sur l'hôte Hyper-V. Pour les opérations App-GRT (application pour laquelle toute base de données Microsoft prise en charge par l'agent Backup Exec peut être restaurée via la technologie GRT lorsqu'elle se trouve dans une machine virtuelle), le compte utilisé doit disposer des droits d'administrateur locaux sur le système virtuel et des droits spécifiés pour l'agent requis. Consultez les autres sections connexes de ce document pour plus d'informations.


A propos des droits de connexion requis pour protéger les données de la machine virtuelle Microsoft Hyper-V (appelées également AVVI - Agent for VMware Virtual Infrastructure) :

Les droits spécifiques suivants sont requis pour les opérations de sauvegarde (comme spécifié sur le serveur Virtual Center ou sur l'hôte ESX, selon le cas) :

1. Le rôle d'utilisateur VMware Consolidated Backup, qui comprend les droits suivants :

   a. Virtual Machine Configuration (Configuration de la machine virtuelle) : Disk Change Tracking (Suivi de modification de disque) et Disk Lease (Location de disque) ;
   b. Virtual Machine Provisioning (Approvisionnement de la machine virtuelle) : Allow read-only disk access (Autoriser l'accès au disque en lecture seule) et Allow virtual machine download (Autoriser le téléchargement de la machine virtuelle) ;
   c. Virtual machine state (Etat de la machine virtuelle) : Create snapshot (Créer le snapshot) et Remove snapshot (Supprimer le snapshot).

Les droits spécifiques suivants sont requis pour les opérations de restauration (comme spécifié sur le serveur Virtual Center ou sur l'hôte ESX, selon le cas) :

1. Resource (Ressource) : Assign virtual machine to resource pool (Attribuer une machine virtuelle au pool de ressources).
2. Virtual machine (Machine virtuelle) > Configuration (Configuration) :
   a. Add existing disk (Ajouter un disque existant) ;
   b. Add new disk (Ajouter un nouveau disque) ;
   c. Add or Remove device (Ajouter ou supprimer un périphérique) ;
   d. Advanced (Avancé) ;
   e. Change CPU count (Changer le nombre de processeurs) ;
   f. Change Resource (Changer les ressources) ;
   g. Disk change Tracking (Suivi des changements du disque) ;
   h. Disk Lease (Location de disque) ;
   i. Host USB device (Périphérique USB hôte) ;
   j. Memory (Mémoire) ;
   k. Modify device setting (Modifier le paramètre de périphérique) ;
   l. Raw device (Périphérique brut) ;
   m. Reload from path (Recharger à partir du chemin) ;
   n. Remove disk (Supprimer un disque) ;
   o. Rename (Renommer) ;
   p. Reset guest information (Réinitialiser les informations du système invité) ;
   q. Settings (Paramètres) ;
    r. Swapfile placement (Emplacement de la copie sur disque) ;
   s. Upgrade virtual hardware (Mettre à niveau le matériel virtuel).
3. Virtual machine (Machine virtuelle) > Interaction (Interaction) :
   a. Power Off (Mettre hors tension) ;
   b. Power On (Mettre sous tension) ;
   c. Virtual machine (Machine virtuelle) > Inventory (Inventaire) ;
   d. Create new (Créer) ;
   e. Register (Enregistrer) ;
   f. Remove (Supprimer) ;
   g. Unregister (Annuler l'enregistrement).
4. Virtual machine (Machine virtuelle) > Provisioning (Approvisionnement) :
   a. Allow read-only disk access (Autoriser l'accès au disque en lecture seule) ;
   b. Allow virtual machine download (Autoriser le téléchargement de la machine virtuelle).
5. Virtual machine (Machine virtuelle) > State (Etat) :
   a. Create snapshot (Créer le snapshot) ;
   b. Remove snapshot (Supprimer le snapshot) ;
   c. Revert to snapshot (Restaurer le snapshot).

A propos des droits de connexion requis pour protéger les données d'application de la base de données de la machine virtuelle VMWare (appelées également Technologie GRT)

Backup Exec autorise la restauration granulaire des données de la base de données dans les machines virtuelles dans certaines circonstances. Les données doivent provenir d'une base de données Microsoft Active Directory, Exchange ou SQL. La version de la base de données doit être prise en charge dans la version actuelle du produit. Outre les droits requis pour protéger la machine virtuelle, le compte doit disposer des droits d'administrateur et des droits appropriés pour l'application sur le système virtuel. Autrement dit, le compte défini dans BE pour accéder à la machine virtuelle doit disposer de tous les droits nécessaires à une protection complète de la base de données Active Directory, Exchange ou SQL présente sur le système cible, comme si l'agent pour les systèmes Windows était utilisé. Consultez les sections ci-dessus concernant les droits requis pour des applications de base de données spécifiques.

A propos des droits de connexion requis pour protéger les données de la base de données Oracle :

Si la base de données cible est exécutée sous Windows, le compte spécifié doit appartenir au groupe d'administrateurs local. Sous Linux, l'utilisateur doit être membre du groupe beoper. Le compte spécifié doit disposer des droits SYSDBA sur l'instance Oracle protégée.

A propos des droits de connexion requis pour protéger les données Lotus Notes :

Agent for Windows Servers sur le serveur Lotus doit fonctionner en tant que compte système local (par défaut). Le compte spécifié doit disposer des droits de sauvegarde, de restauration et de création de fichiers dans la base de données Lotus.

A propos des droits de connexion requis pour protéger les données Veritas Enterprise Vault :

Pour protéger les bases de données Enterprise Vault (EV), y compris Compliance Accelerator et Discovery Accelerator, le compte spécifié doit contenir l'une des informations d'authentification suivantes :

1. Le compte du service Vault.
2. L'appartenance au groupe d'administrateurs de domaine et le rôle d'administrateur sur l'instance Enterprise Vault
3. A. Compte de domaine avec les éléments suivants :
   a. appartenance au groupe des administrateurs sur tous les serveurs EV membres ;
   b. appartenance au groupe des opérateurs de sauvegarde sur les serveurs hébergeant les bases de données EV ;
   c. rôle d'administrateur dans l'espace des archives de stockage et les emplacements d'index.
4. Le rôle d'administrateur dans EV doit inclure le mode de sauvegarde de la gestion EVT de l'espace des archives de stockage et le mode de sauvegarde de la gestion EVT des emplacements d'index.

A propos des droits de connexion requis pour protéger le système de fichiers Windows et les ressources Exchange avec l'option d'archivage BE :

1. Le compte spécifié doit être le compte de service BE.
2. Le compte doit appartenir au domaine.
3. Pour l'archivage du fichier de systèmes, le compte de service BE doit disposer des droits suivants :
   a. les droits d'administrateur local sur le serveur cible ;
   b. les autorisations de partage avec contrôle total concernant les unités de partage pour l'archivage ;
   c. les droits NTFS sur le répertoire partagé sélectionné (modification, contenu du dossier, lecture et écriture).
4. Pour l'archivage de la boîte aux lettres Exchange, le compte de service BE doit être configuré comme suit :
   a. au niveau de l'organisation ou du serveur Exchange, activez le paramètres Toutes les autorisations ("Tous" dans la version 2007) ;
   b. les autorisations "Envoyer en tant que" et "Recevoir en tant que" de la boîte aux lettres pour l'archivage Système (il NE s'agit PAS de la Boîte aux lettres système du serveur Exchange) doivent être activées.
5. Si le serveur de médias et les ressources protégées se trouvent dans des domaines différents, des relations de confiance doivent être établies :
   a. le domaine du serveur de médias ainsi que les domaines du serveur de fichiers doivent approuver le domaine auquel le compte de service Backup Exec appartient ;
   b. le domaine du serveur de médias doit approuver les domaines contenant les comptes des utilisateurs dont les boîtes aux lettres se trouvent sur les serveurs Exchange, et accédant aux unités de partage des fichiers et aux dossiers archivés.

A propos des droits de connexion requis pour protéger les données sur les systèmes Linux utilisant Remote Agent for Linux or Unix Servers (RALUS) :

Le compte de connexion spécifié doit exister sur le serveur cible Linux/Unix et appartenir au groupe des opérateurs Backup Exec (ou beoper) pour pouvoir effectuer une opération de sauvegarde ou de restauration. Cette restriction s'applique même au super utilisateur ou au compte racine.

Pour effectuer une opération de suppression après une sauvegarde réussie (i.e. l'opération Sauvegarder et supprimer les fichiers), le compte de connexion sélectionné doit être celui du super utilisateur.

A propos des droits de connexion requis pour Remote Media Agent for Linux or Unix Servers (RMALS) :

Beremote.exe doit être exécuté en tant que processus racine.
Les travaux peuvent être exécutés avec des droits plus restreints tant que l'utilisateur spécifié est membre du groupe beoper.

A propos de l'installation de l'agent sur les systèmes Linux/Unix/Macintosh :

L'installation requiert un utilisateur racine pour l'installation de l'agent sur les machines locales ou distantes. Toute modification de la configuration système et des fichiers de groupe requiert des droits d'utilisateur racine pendant le processus d'installation.

A propos des droits de connexion requis pour protéger les données sur les systèmes Macintosh utilisant Remote Agent for Macintosh Systems (RAMS) :

Le compte de connexion utilisé doit appartenir au groupe d'administrateurs pour pouvoir effectuer une opération de sauvegarde ou de restauration.
Pour effectuer une opération de suppression après une sauvegarde réussie (i.e. l'opération Sauvegarder et supprimer les fichiers), le compte de connexion utilisé doit être celui du super utilisateur.

A propos des droits de connexion requis pour protéger les données sur les systèmes Netware utilisant Remote Agent for Netware Systems (RANW) :

Remote Agent for NetWare ne requiert aucun compte de service ou de connexion particulier pour fonctionner. Les droits complets d'accès au serveur hôte sont garantis par le chargement de Remote Agent à partir de la console du serveur hôte.

Les droits d'utilisateur adaptés à des tâches particulières sont requis pour effectuer celles-ci. Par exemple, pour les sauvegardes de systèmes de fichiers, un utilisateur doit disposer des droits de lecture, d'analyse de fichier, de modification et de contrôle d'accès pour tous les fichiers qu'il souhaite sauvegarder. Pour sauvegarder l'arborescence des services d'annuaire Novell, l'utilisateur doit disposer des droits de superviseur (incluant tous les autres droits) à la racine de l'arborescence.

A propos des droits de connexion requis pour protéger les bases de données SAP à l'aide de Backup Exec Agent for SAP applications :

Les sauvegardes ou restaurations SAP sont des opérations lancées par un administrateur de base de données ; il n'est donc pas nécessaire d'accéder à la base de données SAP. Les droits d'opérateur de sauvegarde sont les droits minimum requis pour envoyer un travail SAP.  Le compte de l'administrateur de base de données peut être le même que celui utilisé pour l'envoi de travaux SAP ; autrement il est possible de fournir tout autre compte disposant de droits de sauvegarde ou de restauration sur le serveur SAP.

De plus, le compte spécifié doit disposer des droits appropriés sur les serveurs de médias SAP et Backup Exec pour pouvoir sauvegarder et restaurer des données.
Le compte de service Backup Exec doit disposer des privilèges suivants :
 

  A propos des droits de connexion assignés aux services pour le bon fonctionnement de l'option Backup Exec CPS (Continuous Protection Server) :

Les services BE CPS fonctionnent avec la configuration par défaut suivante. Cette configuration doit être conservée pour un fonctionnement approprié.
Le service CPS Protection Agent fonctionne en tant qu'utilisateur appartenant au groupe des administrateurs local ou du domaine.

 

A propos des droits de connexion supplémentaires pour un environnement de serveur BE Central Administration Server Option (CASO) ou Shared Storage Option (SSO) :

Le compte de service Backup Exec doit appartenir au groupe d'administrateurs de domaine. La base de données BEDB requiert l'ajout du compte de service Backup Exec en tant qu'administrateur sur l'instance SQL Backup Exec.

De plus, le compte de service Backup Exec requiert les droits suivants :
  1) Sauvegarder les fichiers et les répertoires ;
  2) Restaurer les fichiers et les répertoires ;
  3) Créer un objet-jeton ;
  4) Gérer le journal d'audit et de sécurité ;
  5) Prendre possession de fichiers ou d'autres objets ;
  6) Agir en tant que partie du système d’exploitation (Windows 2000 uniquement).

En résumé

Dans la plupart des cas, les droits indiqués ici sont les droits minimum requis pour effectuer les opérations de sauvegarde et de restauration souhaitées. Les éventuelles pratiques d'excellence permettent d'attribuer des droits entraînant l'exécution des opérations souhaitées ; ces droits sont néanmoins souvent plus restrictifs que ceux escomptés. Cela constitue un point de départ pour le dépannage et une attribution précise des droits. Lorsque des droits plus restrictifs sont requis, il est recommandé de tester l'opération souhaitée avec les droits les moins restrictifs et d'ajouter les restrictions jusqu'à l'échec de l'opération.  Cet article rend compte des conditions d'autorisation concernant la version actuelle de Backup Exec et de toutes ses options. Certaines sections de cette note technique peuvent s'appliquer à des versions antérieures ou ultérieures du produit.