Backup Exec 提供了保存和维护多个登录帐户的功能。在 Backup Exec 界面中执行各种操作时，将使用这些登录帐户。登录帐户用于以下用途：内部应用程序功能（如 Backup Exec 服务与 Backup Exec 数据库之间的通信）、应用程序配置任务（如创建和配置磁盘存储）以及用于创建选择列表、备份和还原数据的数据选择。

Backup Exec 中维护的登录帐户（用于 Backup Exec 服务的帐户除外）独立于 Windows、Mac、Linux、Active Directory 或其他操作系统或目录服务应用程序本地或集中维护的帐户。要使 Backup Exec 中的登录帐户按预期运行，它们必须与本地 Windows系统、Active Directory 或远程系统上的帐户相对应（视情况而定），并根据需要分配访问数据和系统对象的权限。注意：由于 BE 帐户独立于与其交互的系统，因此应根据需要注意维护帐户设置和密码。对 Backup Exec 中帐户的更改不会影响对 Windows 系统、Active Directory 或远程系统上相关帐户的更改。

定义：

1. Backup Exec服务的登录帐户 - 默认情况下，这是在安装期间指定的帐户，并分配给除Backup Exec Error Recording服务和作为本地系统帐户运行的 Backup Exec Remote Agent for Windows服务之外的所有 BE 服务。注意：这些服务可以从Backup Exec服务管理器进行配置，该管理器可以从 BE UI 状态栏或工具菜单启动。

2. 系统登录帐户 - 此帐户用于执行特定应用程序的配置任务，例如复制作业和使用 BE 命令行小程序。默认情况下，此帐户与安装期间指定的帐户相同，也用作 Backup Exec 服务的帐户。

3.默认登录帐户 - 这是在 Backup Exec 中将当前使用Backup Exec界面的用户设置为默认登录帐户的帐户。换句话说，它是您登录到安装了 Backup Exec 应用程序的系统后，在 Backup Exec 中绑定到本地或域登录的帐户。同样，默认情况下，这是您在安装 Backup Exec 应用程序时指定的帐户，也是 Backup Exec 服务使用的帐户，并指定为系统登录帐户。

关于Backup Exec安装和分配给Backup Exec服务帐户的权限：

要安装 Backup Exec，您必须使用在服务器上具有管理权限的帐户登录。这样，安装例程就可以访问文件系统、注册表和备份设备以进行必要的配置更改。

作为安装过程的一部分，必须为 Backup Exec 服务指定一个帐户，此帐户必须在服务器上具有本地管理权限。默认情况下，在安装过程中，将为 Backup Exec 服务指定的帐户分配在本地或域上“作为服务登录”的权限（视情况而定）。服务帐户还将被授予对安装期间创建的 BEDB SQL 数据库的完全权限。指定的帐户将由除Backup Exec Error Recording服务和 Backup Exec Remote Agent for Windows服务之外的所有 BE 服务使用，默认情况下，这些服务将使用本地系统帐户。为了获得适当的功能，应保留使用本地系统帐户的服务，以这种方式进行配置。

注意：如果 BEDB 数据库安装在本地Backup Exec服务器以外的服务器上，则该帐户还必须是 SQL 服务器上本地管理员组的成员。在Backup Exec登录帐户管理实用程序中指定的系统帐户应具有与服务帐户相同的权限，以获得最佳功能。最佳做法：使系统帐户与服务帐户相同。

关于登录权限和备份设备：

使用分配给Backup Exec服务的凭据访问备份设备。由于 Backup Exec 无法将独立的凭据传递给备份设备，因此应注意确保外部设备（如 NAS 设备）可以接受服务凭据或具有适当权限的等效帐户。另外，应为受保护到该目标设备的资源分配访问磁盘存储的适当权限。（例如：将 Exchange 备份集发送到 B2d 文件夹时，指定的用户将需要对该文件夹具有适当的域和 Exchange Server 访问权限，GRT（粒度还原技术）才能正常运行。

关于保护 NTFS 卷数据所需的登录账户权限：

Backup Exec 需要备份操作员组或管理员组中的成员身份来保护 NTFS 文件数据。具体而言，Backup Exec 需要以下权限：

1. 备份文件和目录

2. 还原文件和目录

3. 允许本地登录（仅限 Windows 2000、2003 和 XP）

4. 作为批作业登录（Windows 2008/Vista 及更高版本）

最佳做法（为了便于使用）：使 BE 中用于创建选择列表和备份作业的主帐户成为该资源的本地管理员组的成员。

关于保护 Microsoft Exchange 数据所需的登录权限：

Backup Exec 需要以下权限来保护 Exchange 数据：

1. 对于非 GRT 备份（仅数据库，不使用颗粒度还原功能），指定的登录帐户必须是 Exchange 服务器上本地备份操作员组的成员

2. 对于仅数据库还原（仅数据库，不使用颗粒度还原功能），指定的登录帐户必须是 Exchange 服务器上本地管理员组的成员

3. 对于启用了 GRT（颗粒度还原技术）的磁盘备份（其中磁盘设备位于 BE 服务器的本地且位于同一域中），指定的登录帐户必须是 Exchange 服务器上本地管理员组的成员

4. 对于从磁带或磁盘到磁带设备的 GRT 备份和所有 GRT 还原操作，指定的登录帐户必须是 Exchange 服务器上本地管理员组的成员。此外，登录帐户必须具有唯一的邮箱，并且不能从全局地址列表中隐藏该邮箱。对于 Exchange 2003，还必须向该帐户授予 Exchange 管理员或 Exchange 完全权限管理员角色。在 Exchange 2007 及更高版本的服务器上，必须向该帐户授予 Exchange 组织管理员角色。最后，对于 Exchange 2010 及更高版本，作为 GRT 操作的一部分，该帐户还必须在 AD 域上具有管理员角色才能进行 AD 访问。

最佳做法（为了便于使用）：使 Backup Exec for Exchange 备份和还原操作中的帐户成为 Exchange 服务器上本地管理员组的成员，并授予该帐户 Exchange 管理员或 Exchange 组织管理员角色（适用于 Exchange 版本）。还要确保该帐户具有在 GAL 中可见的唯一邮箱，并且可以发送和接收邮件。

关于保护 Microsoft SQL 数据所需的登录账户权限：

Backup Exec 需要以下权限来保护 SQL 数据：

用于保护 Microsoft SQL 数据的帐户应具有 SQL 服务器和 SQL 数据库的管理员权限。这对于 SQL 数据库还原过程是必需的，其中可能需要在还原操作过程中控制 SQL 服务或群集组。

关于保护 Microsoft SharePoint 数据所需的登录账户权限：

1. 对于 SharePoint 备份和还原操作，在 Backup Exec 中指定的帐户必须对参与 SharePoint 场的所有服务器具有本地管理员权限，并且必须具有关联 SQL 数据库的管理员权限

2. 出于 SharePoint GRT 项目还原的目的，还必须向该帐户授予 SharePoint 网站上的网站集管理员角色

最佳做法（为了便于使用）：使帐户成为 SharePoint 服务器场中每台服务器上的本地管理员组的成员，并在 SharePoint 中向该帐户授予网站集管理员角色。有关其他信息，请查看以下内容：

Backup Exec服务帐户（BESA）备份 Microsoft Office SharePoint Server （MOSS） 2007 / （MOSS） 2010 的先决条件

https://www.veritas.com/content/support/en_US/article.100022309

关于保护 Microsoft Active Directory 数据所需的登录权限：

对 Microsoft Active Directory 域数据库执行的所有备份和还原操作（包括 GRT 还原操作）都需要该帐户曾经是域数据库服务器的域管理员组的成员。

关于保护 Microsoft Hyper-V 虚拟机数据所需的登录权限：

Microsoft Hyper-V 虚拟机数据保护要求该帐户是 Hyper-V 主机上本地管理员组的成员。对于 App-GRT 操作（应用程序 GRT，其中任何支持Backup Exec代理的 Microsoft 数据库在作为虚拟机的一部分备份时都可以使用 GRT 功能进行还原），使用的帐户必须具有虚拟系统的本地管理员权限以及为所需的特定代理指定的权限。有关更多详细信息，请参阅本文档的其他相关部分。

关于保护 VMware 虚拟机数据所需的登录权限（也称为 AVVI，VMware 虚拟基础架构代理）：

有关此信息，请参阅000007044的内容

https://www.veritas.com/docs/docs/000007044

关于保护 VMware 虚拟机数据库应用程序数据所需的登录权限（也称为应用程序 GRT）

Backup Exec 允许在特定情况下将数据库数据粒度还原回虚拟机。数据必须来自Microsoft Active Directory，Exchange或SQL数据库。产品的当前版本必须支持数据库的版本。除了保护虚拟机所需的权限外，使用的帐户还必须具有管理员权限以及与虚拟系统上的应用程序相关的相应权限。换句话说，在 BE 中指定的用于访问 VM 的帐户还必须具有完全保护目标系统上存在的 Active Directory、Exchange 或 SQL 数据库所需的所有权限，就像使用 Windows 系统代理一样。有关特定数据库应用程序所需的权限，请参阅上述部分。

关于保护 Oracle 数据库数据所需的登录权限：

如果目标数据库在 Windows 上运行，则指定的帐户必须是本地管理员组的成员。在 Linux 上，用户必须是 beoper 组的成员。指定的帐户还必须对受保护的 Oracle 实例具有 SYSDBA 权限。

关于保护 Veritas Enterprise Vault数据所需的登录权限：

若要保护Enterprise Vault （EV）数据库（包括Compliance和Discovery Accelerator），指定的帐户可以具有以下任一凭据：

1. Vault 服务帐户

2. 本地管理员组成员身份及Enterprise Vault实例上的管理员角色

3.. 一个具有以下条件的域帐户：

a.所有成员 EV 服务器上的管理员组成员身份

b. EV 数据库的服务器上的备份操作员组成员身份

c. Vault Store和Index locations的管理员角色

4. EV 中的管理员角色应包括：EVT Manage Vault Store Backup Mode 和 EVT Mange Index Location Backup Mode

关于使用 Linux 或 Unix 服务器远程代理（RALUS）保护 Linux 系统上的数据所需的登录权限：

指定的登录帐户必须存在于 Linux/Unix 目标服务器上，并且必须是 Backup Exec 操作员（或“beoper”）组的成员才能执行备份或还原操作。（此限制甚至适用于超级用户或“root”帐户）。

要在成功备份后执行删除操作（即执行“备份并删除”文件“操作），所选的登录帐户必须是超级用户的登录帐户。

关于 Linux 或 Unix 服务器远程媒体代理（RMALS）所需的登录权限：

Beremote.exe必须以“root”身份运行。

只要指定的用户是 beoper 组的成员，作业就可以以较低的权限运行。

关于在 Linux/Unix/Macintosh 系统上安装代理：

安装要求用户为“root”才能将代理安装到本地或远程计算机。在安装过程中，修改系统配置和组文件需要“root”用户权限。

关于 BE 管理中心服务器（CASO）的其他登录权限注意事项

Backup Exec 服务帐户必须具有本地管理组成员身份。BEDB 数据库要求将 Backup Exec 服务帐户添加为 Backup Exec SQL 实例上的管理员。

此外，Backup Exec 服务帐户需要以下权限：

1）备份文件和目录

2）还原文件和目录

3）创建令牌对象

4）管理审核和安全日志

5）获得文件和其他对象的所有权

6）操作操作系统的一部分（仅限 Windows 2000）

总结

在大多数情况下，此处指定的权限是执行所需备份和还原操作所需的最低权限。如果指定了一组“最佳做法”，则它旨在作为一种授予权限的方式，该权限将导致执行所需的操作，但大多数情况下，限制性权限少于可能期望的权限。这只是为了提供故障排除和微调权限分配的起点。如果需要更多限制性权限，一般建议是使用限制性最少的权限测试所需的操作，并添加限制，直到操作失败。本文还旨在解决当前 Backup Exec 版本及其所有选项的权限要求，尽管本文的某些部分可能适用于该产品的先前版本或未来版本。

了解Backup Exec登录帐户所需的用户权限分配用以解决连接、备份或还原故障

Problem

Error Message

Solution

Related Knowledge Base Articles

Was this content helpful?

Translated Content

了解Backup Exec登录帐户所需的用户权限分配 用以解决连接、备份或还原故障

Problem

Error Message

Solution

Related Knowledge Base Articles

Was this content helpful?

Article Languages

Translated Content

Translated Content

了解Backup Exec登录帐户所需的用户权限分配用以解决连接、备份或还原故障