Unidades y cuentas administrativas

Para gestionar unidades y cuentas administrativas, en la Cyber Protect consola web, vaya a Configuración > Cuentas. El panel Cuentas muestra el grupo Organización con las unidades del árbol (si las hubiera) y la lista de cuentas administrativas en el nivel jerárquico seleccionado.

Unidades

El grupo Organización se crea automáticamente al instalar el servidor de gestión. Con la licencia Acronis Cyber Protect Advanced puede crear grupos secundarios llamados unidades, que normalmente corresponden a unidades o departamentos de la organización, y añadir cuentas administrativas a dichas unidades. De esta forma, puede delegar la gestión de protección a otras personas cuyos permisos de acceso estarán estrictamente limitados a las unidades correspondientes. Para obtener información sobre cómo crear una unidad, consulte Creación de unidades.

Cada unidad puede tener unidades secundarias. Las cuentas administrativas de la unidad principal tienen los mismos derechos en todas las unidades secundarias. El grupo Organización es la unidad principal de máximo nivel, y las cuentas administrativas de este nivel tienen los mismos derechos en todas las unidades.

Cuentas administrativas

Cualquier cuenta con la que se pueda iniciar sesión en la Cyber Protect consola web se considera cuenta administrativa.

En la Cyber Protect consola web, cualquier cuenta administrativa puede ver o gestionar todo lo que se encuentre en el nivel jerárquico de su unidad o por debajo de él. Por ejemplo, una cuenta administrativa en la Organización tiene acceso a este máximo nivel y, por lo tanto, acceso a todas las unidades de esta organización, mientras que una cuenta administrativa en determinada unidad solo puede acceder a dicha unidad y a sus unidades secundarias.

¿Qué cuentas pueden ser administrativas?

Si el servidor de gestión está instalado en un equipo de Windows incluido en un dominio de Active Directory, puede otorgar derechos administrativos a usuarios locales o usuarios y grupos de usuarios del bosque de dominios de Active Directory.

De forma predeterminada, el servidor de gestión establece una conexión protegida mediante SSL/TLS con el controlador de dominio de Active Directory. Si esto no es posible, no se establecerá ninguna conexión. Sin embargo, puede permitir conexiones no seguras editando el archivo auth-connector.json5.

Si quiere utilizar una conexión segura, compruebe que LDAP over SSL (LDAPS) esté configurado para su Active Directory.

Configurar LDAPS para Active Directory

  1. En el controlador de dominio, cree e instale un certificado LDAPS que cumpla los requisitos de Microsoft.

    Para obtener más información sobre cómo realizar estas operaciones, consulte Habilitar LDAP sobre SSL con una entidad de certificación de terceros en la documentación de Microsoft.

  2. En el controlador de dominio, abra Microsoft Management Console y verifique que el certificado existe en Certificados (Equipo Local) > Personal > Certificados.
  3. Reinicie el controlador de dominio.
  4. Verifique que LDAPS está habilitado.

Pasos para permitir conexiones no seguras al controlador de dominio

  1. Inicie sesión en el equipo donde está instalado el servidor de gestión.

  2. Abra el archivo auth-connector.json5 para editarlo.

    El archivo auth-connector.json5 está ubicado en %ProgramFiles%\Acronis\AuthConnector.

  3. Vaya a la sección sync y, en todas las líneas "connectionMode", sustituya "ssl_only" por "auto".

    En el modo auto, se establece una conexión no segura si no es posible conectarse a través del TLS.

  4. Reinicie Acronis Service Manager Service como se indica en Pasos para reiniciar el servicio del administrador de servicios de Acronis.
Si el servidor de gestión no se incluye en un dominio de Active Directory o si está instalado en un equipo Linux, puede otorgar derechos administrativos a usuarios y grupos locales.

Para saber cómo añadir una cuenta administrativa al servidor de gestión, consulte la sección Incorporación de cuentas administrativas.

Roles de las cuentas administrativas

A cada cuenta administrativa se le asigna un rol con los derechos predefinidos necesarios para desempeñar determinadas tareas. Los roles de las cuentas administrativas son los siguientes:

  • Administrador
    Este rol proporciona acceso completo de administrador a la organización o a una unidad.

  • Solo lectura
    Este rol proporciona acceso de solo lectura a la Cyber Protect consola web. Solo permite recopilar datos de diagnóstico, como informes del sistema. El rol de solo lectura no permite consultar copias de seguridad o examinar el contenido de buzones de correo de los que se haya realizado una copia de seguridad.

  • Auditor
    Este rol proporciona acceso de solo lectura a la pestaña Actividades de la Cyber Protect consola web. Para obtener más información sobre esta pestaña, consulte La pestaña Actividades. Este rol no permite recopilar ni explorar ningún dato, incluida la información del sistema del servidor de gestión.

Los cambios de los roles se muestran en la pestaña Actividades.

Herencia de roles

Las unidades secundarias heredan los roles de su unidad principal. Si la misma cuenta de usuario tiene diferentes roles asignados en la unidad principal y en una unidad secundaria, tendrá ambos roles.

Los roles también se pueden asignar de forma explícita a una cuenta de usuario específica o heredada de un grupo de usuarios. Por lo tanto, una cuenta de usuario puede tener tanto un rol asignado de forma específica como uno heredado.

Si una cuenta de usuario tiene diferentes roles (asignado y/o heredado), podrá acceder a objetos y ejecutar acciones permitidas por cualquiera de estos roles. Por ejemplo, una cuenta de usuario con un rol asignado de solo lectura y un rol heredado de administrador tendrá derechos de administrador.

En la consola web de Cyber Protect, solo se muestran los roles asignados de forma explícita a la unidad actual. No se muestran las posibles discrepancias con los roles heredados. Le recomendamos encarecidamente asignar roles de administrador, de solo lectura y de auditor a cuentas o grupos independientes para evitar posibles problemas con los roles heredados.

Administradores predeterminados

En Windows

Al instalar el servidor de gestión en un equipo, sucede lo siguiente:

  • Se crea el grupo de usuarios Acronis Centralized Admins en el equipo.

    En un controlador de dominio, el grupo se llama DCNAME $ Acronis Centralized Admins. Aquí, DCNAME representa el nombre NetBIOS del controlador de dominio.

  • Todos los miembros del grupo Administradores se añaden al grupo Acronis Centralized Admins. Si el equipo se encuentra en un dominio, pero este no es un controlador de dominio, los usuarios locales (es decir, que no formen parte del dominio) están excluidos. En un controlador de dominio, no existe ningún usuario que no forme parte de él.
  • Los grupos Acronis Centralized Admins y Administradores se añaden al servidor de gestión como administradores de la organización. Si el equipo se encuentra en un dominio, pero este no es un controlador de dominio, no se añade el grupo de administradores, por lo que los usuarios locales (es decir, que no formen parte del dominio) no se convierten en administradores de la organización.

Puede eliminar el grupo Administradores de la lista de los administradores de la organización. No obstante, el grupo Acronis Centralized Admins no se puede eliminar. En el caso poco probable de que todos los administradores de la organización se hayan eliminado, puede añadir una cuenta al grupo Acronis Centralized Admins en Windows, y luego iniciar sesión en la consola web de Cyber Protect mediante esta cuenta.

En Linux

Al instalar el servidor de gestión en un equipo, el usuario raíz se añade al servidor de gestión como administrador de la organización.

Puede añadir otros usuarios de Linux a la lista de administradores del servidor de gestión como se describe más adelante y eliminar al usuario raíz de esta lista. En el caso poco probable de que se hayan eliminado todos los administradores de la organización, podrá reiniciar el servicio acronis_asm. Como resultado, el usuario raíz volverá a añadirse automáticamente como administrador de la organización.

Cuentas administrativas en varias unidades

Una cuenta puede recibir derechos administrativos en cualquier número de unidades. En una cuenta de este tipo, así como para cuentas administrativas del nivel de la organización, el selector de unidades se muestra en la Cyber Protect consola web. Mediante este selector, esta cuenta puede ver y gestionar cada unidad por separado.

Aunque una cuenta tenga permisos para todas las unidades de la organización, no tiene permiso para la organización. Las cuentas administrativas del nivel de la organización deben añadirse al grupo Organización explícitamente.

Cómo poblar las unidades con equipos

Cuando un administrador añade un equipo a través de la interfaz web, el equipo se añade a la unidad gestionada por el administrador. Si el administrador gestiona varias unidades, el equipo se añade a la unidad seleccionada en el selector de unidades. Por tanto, el administrador debe seleccionar la unidad antes de hacer clic en Añadir.

Al instalar agentes localmente, el administrador proporciona sus credenciales. El equipo se añade a la unidad gestionada por el administrador. Si el administrador gestiona varias unidades, el instalador le pedirá que elija una a la que se añadirá el equipo.

Icono de enlace a temas relacionadosTemas relacionados