5 Replies Latest reply on Jun 21, 2011 10:30 PM by AlexMSK

    vDR делегирование прав

    AlexMSK Novice

      Здравствуйте, коллеги!

       

      Выбираем решение для резервного копирования, сейчас тестируем VMware Data Recovery. Столкнулся с такой задачей - нужно делегировать задачи по восстановлению и резервному копированию ВМ из пула группе пользователей в домене. Для vDR почему то нет набора прав, как для другого appliance, например Update Manager. Думаю это сделано по причине того, что это решается стандартными правами на ВМ, но этих прав достаточно много и не понятно как давать права сам appliance

        • 1. Re: vDR делегирование прав
          mofr Enthusiast

          Вот посмотрите этоти линки, может быть помогут:

           

          http://communities.vmware.com/thread/246294

          http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=1010578

           

           

          ------------------------------------

          My Blog: http://vforv.me/

          1 person found this helpful
          • 2. Re: vDR делегирование прав
            mazday Expert

            Детально вопрос я не изучал, но сходу такие мысли.

            На сколько я понял Ваш вопрос, вы хотите разным пользователям дать разные права на бэкап и восстановление.

            Ситуация тут такая, что все права что  ( виртуалцентре) зависят от юзера под которым VDR подключается к виртуалцентру. Т.е. любой кто подключился к VDR - видит часть инфраструктуры, которая доступна юзеру VDR. Уже другое дело - выдать достаточне права (что бы проходил бэкап и восстановление).

             

            Т.е. касательно вашей ситуации, я могу сходу предложить такой вариант с VDR.

            Делаете для каждой группы свою VDR, и своего пользователя в виртуацлентре. Этому пользователю даете права только на нужные ресурспулы и контейнеры.

            • 3. Re: vDR делегирование прав
              EGarbuzov Virtuoso

              Если вопорос ещё актуален, тут есть описание моих экспериментов с правами пользователя DR: http://vgeek.noteit.ru/3284.html

              1 person found this helpful
              • 4. Re: vDR делегирование прав
                AlexMSK Novice

                Евгений, большое спасибо Вам за труд! У меня все руки не доходят до  этого(. Мы пока только тестируем VMware, одновременно выбираем железо,  софт для резервного копирования. Как всегда задач много, времени нет мало).

                 

                Со своей стороны я постараюсь дополнить Ваши изыскания на предмет выделения минимальных прав этой группе пользователей. Еще раз спасибо!

                • 5. Re: vDR делегирование прав
                  AlexMSK Novice

                  Приветствую!

                   

                  В итоге пришел к выводу, что решение с 2мя vDR, предложенное mazday будет более легким выходом. Потеря на количестве ресурсов (CPU, RAM, HDD), потребляемых этими 2 ВМ минимальна. Нужно только развести во времени расписания резервного копирования. В моем случае, кроме восстановления нужна была возможность удалять восстановленные ВМ. Поэтому требовалось правильно раздать права. Решил так:

                  1. Создаем группу ресурсов CashDep и помещаем в нее необходимые ВМ
                  2. Назначаем роль Virtual machine user (sample) делегируемой доменной группе непосредственно на vDRи помещаем ВМ с vDR в отдельную группу ресурсов, назовем ее Backup. Настраиваем задачу бэкапа - все ВМ в пределах группы ресурсов CashDep. Все ВМ - потому, чтобы восстановленные ВМ автоматически попадали в задачу резервного копирования
                  3. Копируем встроенную роль Virtual machine user (sample), называем ее Del_and_simple_manage_VM. Далее заходим в ее редактирование, добавляем единственное право Virtual machine – Inventory и ставим «галку» напротив Remove.
                  4. Создаем новую роль Del_VM и назначаем ей только одно право - Virtual machine – Inventory – Remove.
                  5. Далее присваиваем роль Del_VM доменной группе на каждом элементе структуры без наследования – Datacenter и Cluster (каждому отдельно)
                  6. Присваиваем роль Del_and_simple_manage_VM доменной группе для группы ресурсов CashDep.

                   

                   

                  Однако у предложенного решения существует один серьезный недостаток - через vDR есть возможность забэкапить любую ВМ и восстановить ее в "свою" (которая доступна данному пользователю) группу ресурсов. После этого можно много всего сделать с этой ВМ - она будет скомпрометирована. Как обойти - пока не знаю.