Active Backup for Business（ABB）备份VMware vSphere需哪些权限？完整清单与作用指南

在使用Synology Active Backup for Business（简称ABB） 对VMware vSphere虚拟机进行备份或还原时，很多管理员会遇到“权限不足”导致任务失败的问题——比如无法定位虚拟机文件、快照创建失败、存储写入被拒绝等。这并非ABB工具本身故障，而是用于连接VMware vSphere的账户缺少“特定操作权限”。Synology官方明确规定，只有为该账户配置完整的权限集合，ABB才能正常执行虚拟机的备份、快照、还原等操作。本文基于Synology官方技术文档，按功能模块拆解ABB所需的VMware vSphere权限，详细说明每个权限的作用的和缺失后果，同时解释权限管理的核心逻辑，帮助管理员精准配置权限，避免反复排查故障。

一、先明确：ABB与VMware vSphere的权限核心逻辑

在罗列权限清单前，需先理解两个关键逻辑，避免因权限配置思路错误导致无效操作：

1. 权限的作用对象：“连接账户”而非“ESXi主机”

ABB并非直接与ESXi主机交互，而是通过“用于添加VMware vSphere Hypervisor的账户”（通常是vCenter账户或具备管理员权限的vSphere账户）执行操作。因此，所有权限都需配置给这个连接账户，而非直接在ESXi主机上设置权限——官方特别提醒：“ESXi通常不用于权限管理，建议使用管理员账户或自定义权限账户进行备份”。

2. 权限的核心目的：支撑ABB全流程操作

ABB对VMware vSphere的操作涵盖“定位文件→创建快照→读写数据→还原虚拟机”等全流程，每个环节都对应vSphere的特定权限。例如：“浏览datastore”是为了找到虚拟机的VMDK文件，“创建快照”是为了保证备份时数据一致性，缺少任何一个关键权限，都会导致流程中断。

二、ABB备份/还原VMware vSphere的完整权限清单（按功能分类）

Synology官方将ABB所需权限按“功能模块”划分，每个模块对应ABB的特定操作环节。以下按模块拆解权限名称及作用，标注缺失后的故障表现，方便管理员对照排查。

1. 模块1：Cryptographic Operations（加密操作权限）

该模块权限用于ABB处理VMware vSphere中的加密数据（如加密虚拟机文件），确保备份数据的安全性与可访问性。

| 权限名称 | 作用说明 | 缺失后果 |

|----------|----------|----------|

| 解密 | 允许ABB解密VMware vSphere中已加密的虚拟机文件，确保备份时能正常读取数据 | 无法读取加密虚拟机的文件，备份任务提示“文件访问被拒绝” |

| 直接访问 | 允许ABB绕过部分中间验证，直接访问虚拟机的加密核心数据，提升备份效率 | 加密虚拟机备份速度极慢，或因验证超时导致任务中断 |

2. 模块2：Datastore（数据存储权限）

Datastore是VMware vSphere存放虚拟机文件（VMDK、VMX等）的位置，该模块权限是ABB读写备份数据的基础，所有与“存储交互”的操作都依赖这些权限。

| 权限名称 | 作用说明 | 缺失后果 |

|----------|----------|----------|

| 分配空间 | 允许ABB在Datastore中为备份文件分配存储空间，确保备份数据有足够存放位置 | 备份到一半提示“存储空间不足”（即使Datastore实际有空间） |

| 浏览datastore | 允许ABB查看Datastore中的文件夹结构，定位虚拟机对应的文件路径 | 无法找到目标虚拟机，备份任务显示“虚拟机不存在” |

| 低级文件操作 | 允许ABB执行“复制、移动、重命名”等底层文件操作，是备份文件写入的核心权限 | 能定位虚拟机但无法复制文件，备份进度停留在0% |

| 删除文件 | 允许ABB在“删除旧备份”或“还原后清理临时文件”时删除Datastore中的冗余文件 | 旧备份无法自动清理，导致Datastore空间被占满；还原后残留临时文件 |

3. 模块3：Datastore Cluster（数据存储集群权限）

若VMware vSphere使用“Datastore集群”（多个Datastore组成的资源池）管理存储，需配置该模块权限，确保ABB能识别集群结构。

| 权限名称 | 作用说明 | 缺失后果 |

|----------|----------|----------|

| 配置datastore集群 | 允许ABB读取Datastore集群的配置信息（如集群内Datastore的优先级、容量分配规则） | 无法识别Datastore集群，只能手动选择单个Datastore，无法利用集群的负载均衡 |

4. 模块4：Extension（扩展权限）

该模块权限用于ABB在VMware vSphere中注册“备份扩展组件”，确保ABB与vSphere的功能联动（如快照同步、状态反馈）。

| 权限名称 | 作用说明 | 缺失后果 |

|----------|----------|----------|

| 注册扩展 | 允许ABB将自身的备份功能注册为vSphere的扩展组件，实现两者的功能对接 | ABB无法与vSphere联动，无法获取虚拟机实时状态（如是否开机、是否有快照） |

| 注销扩展 | 允许在卸载ABB或更换版本时，删除vSphere中已注册的旧扩展组件 | 残留旧扩展组件，可能与新组件冲突，导致备份任务报错 |

5. 模块5：Folder（文件夹权限）

若虚拟机按业务分类存放在vSphere的“文件夹”中（如“生产环境虚拟机”“测试环境虚拟机”），需配置该模块权限，确保ABB能访问文件夹内的虚拟机。

| 权限名称 | 作用说明 | 缺失后果 |

|----------|----------|----------|

| 创建文件夹 | 允许ABB在备份时创建临时文件夹，用于存放备份过程中的中间文件 | 无法生成临时文件，备份任务因“文件路径无效”失败 |

| 删除文件夹 | 允许ABB在备份完成后删除临时文件夹，避免占用存储空间 | 残留大量临时文件夹，Datastore空间被无效数据占用 |

6. 模块6：Global（全局权限）

该模块权限是ABB在vSphere中执行“全局操作”的基础，涵盖许可证验证、事件记录、自定义属性管理等，是所有操作的前提。

| 权限名称 | 作用说明 | 缺失后果 |

|----------|----------|----------|

| 启用方法/禁用方法 | 允许ABB启用或禁用vSphere中的特定功能接口（如快照接口、备份接口） | 无法调用vSphere的核心功能，备份任务直接提示“接口调用失败” |

| 许可证 | 允许ABB验证vSphere的许可证状态，确保备份操作符合许可证规则 | 提示“vSphere许可证无效”，即使许可证实际有效 |

| 记录事件 | 允许ABB将备份过程中的关键操作（如“开始备份”“创建快照”）记录到vSphere事件日志 | 备份失败后无法通过vSphere日志排查原因，难以定位问题 |

| 管理自定义属性/设置自定义属性 | 允许ABB在虚拟机上添加“备份标记”（如“已备份时间”“备份版本”），用于管理备份版本 | 无法识别已备份的虚拟机，可能重复备份或漏备份 |

| 设置 | 允许ABB读取vSphere的全局设置（如时间同步、存储规则），确保备份参数与vSphere兼容 | 备份参数与vSphere冲突（如时间不同步导致快照时间错误） |

7. 模块7：Host > Configuration（主机配置权限）

该模块权限用于ABB读取或调整ESXi主机的网络、存储配置，确保备份数据能正常传输。

| 权限名称 | 作用说明 | 缺失后果 |

|----------|----------|----------|

| 网络配置 | 允许ABB读取ESXi主机的网络配置（如端口组、IP地址），确保备份数据通过正确网络传输 | 无法选择备份数据的传输网络，可能因网络不通导致任务失败 |

| 存储分区配置 | 允许ABB读取ESXi主机的存储分区信息，确认Datastore与主机的关联关系 | 无法确认Datastore是否挂载到主机，提示“存储未关联主机” |

8. 模块8：Network（网络权限）

该模块权限确保ABB在还原虚拟机时，能为虚拟机分配正确的网络资源（如端口组、IP）。

| 权限名称 | 作用说明 | 缺失后果 |

|----------|----------|----------|

| 分配网络 | 允许ABB在还原虚拟机时，将虚拟机分配到vSphere中的指定端口组 | 还原后的虚拟机无法连接网络，显示“未分配网络” |

| 配置 | 允许ABB读取网络配置详情（如端口组VLAN、带宽限制），确保还原后的网络参数合规 | 还原后的虚拟机网络参数与原环境不匹配，无法正常通信 |

9. 模块9：Resource（资源权限）

该模块权限用于ABB管理虚拟机的资源分配（如CPU、内存、资源池），确保备份/还原后的虚拟机能正常使用资源。

| 权限名称 | 作用说明 | 缺失后果 |

|----------|----------|----------|

| 将虚拟机分配到资源池 | 允许ABB在还原时将虚拟机添加到指定资源池，避免资源混乱 | 还原后的虚拟机无资源池归属，无法使用分配的CPU/内存资源 |

| 创建资源池 | 允许ABB在备份需要时创建临时资源池，用于存放待备份的虚拟机 | 无法隔离待备份虚拟机，可能与其他虚拟机抢占资源 |

| 迁移已关闭电源/已开启电源的虚拟机 | 允许ABB在备份前将虚拟机迁移到合适的主机（如负载较低的主机） | 无法迁移高负载主机上的虚拟机，备份时因资源不足失败 |

| 移除资源池 | 允许ABB在备份完成后删除临时资源池，清理资源 | 残留临时资源池，占用vSphere资源管理名额 |

10. 模块10：Profile-Driven Storage（配置文件驱动存储权限）

注意：该模块仅适用于vSphere 7.x及更低版本，vSphere 8.x及以上已整合该功能到其他模块，无需单独配置。

| 权限名称 | 作用说明 | 缺失后果 |

|----------|----------|----------|

| 更新配置文件驱动存储 | 允许ABB更新存储配置文件（如存储性能等级、冗余规则），确保备份数据符合存储要求 | 无法使用自定义存储配置文件，只能用默认配置，可能影响备份性能 |

| 查看配置文件驱动存储 | 允许ABB读取存储配置文件信息，确认存储是否满足备份需求 | 无法判断存储是否兼容，备份后可能出现数据损坏 |

11. 模块11：Virtual Machine（虚拟机核心权限）

该模块是ABB操作虚拟机的核心，按“配置、访客操作、交互、库存、置备、快照”分为6个子类别，每个子类别对应关键操作。

（1）Virtual Machine > Change Configuration（配置变更权限）

| 权限名称 | 作用说明 | 缺失后果 |

|----------|----------|----------|

| 获取磁盘租约 | 允许ABB锁定虚拟机磁盘（VMDK），避免备份时其他程序修改磁盘数据 | 磁盘被其他程序占用，备份时提示“磁盘已锁定” |

| 添加现有磁盘/添加新磁盘 | 允许ABB在还原时为虚拟机添加磁盘（恢复原磁盘或新建磁盘） | 还原后的虚拟机缺少磁盘，无法启动 |

| 添加或移除设备 | 允许ABB在备份/还原时添加或移除虚拟机的硬件设备（如网卡、光驱） | 无法还原原虚拟机的硬件配置，导致设备缺失 |

| 高级配置 | 允许ABB修改虚拟机的高级配置参数（如快照保留策略、磁盘缓存） | 无法设置备份所需的高级参数，可能导致快照失败 |

| 更改设置/更改资源 | 允许ABB调整虚拟机的基本设置（如内存大小、CPU核心数）和资源分配 | 备份时无法临时调整资源，导致资源不足 |

| 扩展虚拟磁盘 | 允许ABB在备份需要时扩展虚拟机磁盘容量，确保数据能完整备份 | 磁盘容量不足时无法扩展，备份任务中断 |

| 移除磁盘 | 允许ABB在还原清理时移除临时磁盘，避免残留无效设备 | 还原后残留临时磁盘，占用Datastore空间 |

| 重命名 | 允许ABB为备份生成的虚拟机副本重命名（如添加“_backup”后缀） | 备份副本与原虚拟机重名，导致冲突 |

| 设置注释 | 允许ABB为虚拟机添加备份相关注释（如“备份时间：2025-XX-XX”） | 无法区分备份版本，管理混乱 |

| 切换磁盘更改跟踪 | 允许ABB启用“磁盘更改跟踪”功能（只备份变更数据，减少备份量） | 每次都需全量备份，占用大量存储和带宽 |

（2）Virtual Machine > Guest Operations（访客操作权限）

| 权限名称 | 作用说明 | 缺失后果 |

|----------|----------|----------|

| 访客操作修改 | 允许ABB修改虚拟机 guest OS（如Windows、Linux）的部分设置（如临时关闭防火墙） | 无法关闭guest OS中的阻碍程序，备份失败 |

| 访客操作程序执行 | 允许ABB在guest OS中执行临时程序（如备份代理程序） | 无法启动guest OS内的备份代理，无法备份应用数据 |

| 访客操作查询 | 允许ABB查询guest OS的状态（如是否开机、进程是否正常） | 无法确认guest OS状态，盲目备份导致数据不一致 |

（3）Virtual Machine > Interaction（交互权限）

| 权限名称 | 作用说明 | 缺失后果 |

|----------|----------|----------|

| 控制台交互 | 允许ABB通过vSphere控制台查看虚拟机状态，排查备份问题 | 无法查看虚拟机实时状态，无法定位故障 |

| 连接设备 | 允许ABB在备份时连接虚拟机的设备（如光驱、USB设备） | 依赖外部设备的虚拟机无法正常备份 |

| 通过VIX API管理访客操作系统 | 允许ABB通过VIX API（VMware的编程接口）与guest OS交互，是自动化备份的核心 | 无法自动化执行备份操作，需手动干预 |

| 关闭电源/开启电源/挂起 | 允许ABB在备份前关闭、开启或挂起虚拟机（如全量备份需关机确保数据一致） | 无法控制虚拟机电源状态，备份数据可能包含临时文件 |

（4）Virtual Machine > Edit Inventory（库存编辑权限）

| 权限名称 | 作用说明 | 缺失后果 |

|----------|----------|----------|

| 注册/取消注册 | 允许ABB在还原时注册虚拟机到vSphere库存，或在删除备份时取消注册 | 还原后的虚拟机不在vSphere库存中，无法管理；旧备份无法清理 |

| 移除 | 允许ABB在需要时从库存中移除冗余的虚拟机副本 | 残留冗余虚拟机，占用库存名额 |

（5）Virtual Machine > Provisioning（置备权限）

| 权限名称 | 作用说明 | 缺失后果 |

|----------|----------|----------|

| 允许磁盘访问/允许只读磁盘访问 | 允许ABB读写或只读访问虚拟机磁盘，是备份数据读取的核心 | 无法读取磁盘数据，备份任务直接失败 |

| 允许虚拟机下载/允许虚拟机文件上传 | 允许ABB下载虚拟机文件到备份存储，或上传文件进行还原 | 无法传输备份/还原文件，任务中断 |

（6）Virtual Machine > Snapshot Management（快照管理权限）

| 权限名称 | 作用说明 | 缺失后果 |

|----------|----------|----------|

| 创建快照 | 允许ABB在备份前为虚拟机创建快照（确保备份时数据不被修改） | 无法创建快照，备份数据可能包含不一致内容 |

| 删除快照 | 允许ABB在备份完成后删除临时快照，避免占用存储 | 快照长期残留，Datastore空间被快速占满 |

| 恢复到快照 | 允许ABB在还原时将虚拟机恢复到之前的快照状态（如备份失败后回滚） | 备份失败后无法回滚，虚拟机处于异常状态 |

12. 模块12：vSphere Tagging（标签权限）

| 权限名称 | 作用说明 | 缺失后果 |

|----------|----------|----------|

| 分配或取消分配vSphere标签 | 允许ABB为虚拟机添加“备份标签”（如“已备份”“待备份”），用于分类管理 | 无法通过标签筛选虚拟机，备份策略无法精准执行 |

13. 模块13：dvPort Group（分布式端口组权限）

若VMware vSphere使用“分布式交换机（vDS）”，需配置该模块权限，确保ABB能管理分布式端口组。

| 权限名称 | 作用说明 | 缺失后果 |

|----------|----------|----------|

| 创建/删除 | 允许ABB在需要时创建或删除分布式端口组，用于备份数据传输 | 无法使用分布式交换机，只能用标准交换机，影响网络灵活性 |

14. 模块14：vApp（虚拟应用权限）

若虚拟机以“vApp”（多个虚拟机组成的应用集群，如Web服务器+数据库服务器）形式存在，需配置该模块权限。

| 权限名称 | 作用说明 | 缺失后果 |

|----------|----------|----------|

| 添加虚拟机 | 允许ABB将虚拟机添加到vApp中，确保vApp的完整性 | 还原后的vApp缺少关键虚拟机，无法正常运行 |

| 分配资源池 | 允许ABB为vApp分配资源池，确保资源充足 | vApp无资源池归属，无法使用分配的资源 |

| 取消注册 | 允许ABB在删除vApp备份时取消注册，清理库存 | 残留冗余vApp，占用库存资源 |

三、ABB权限配置的3个关键注意事项

1. 优先使用“自定义角色”而非“管理员账户” 

虽然官方建议“可用管理员账户备份”，但实际生产环境中，为避免权限过大导致安全风险，建议在vSphere中创建“ABB备份专用角色”，将上述权限逐一添加到该角色，再将角色分配给连接账户，实现“最小权限原则”。

2. 注意vSphere版本差异 

- vSphere 7.x及更低版本：需单独配置“Profile-Driven Storage”权限； 

- vSphere 8.x及以上版本：“Profile-Driven Storage”权限已整合到“Datastore”或“Virtual Machine”模块，无需单独添加，避免重复配置导致冲突。

3. 权限配置后需验证 

配置完成后，建议先执行“小型虚拟机的测试备份”（如10GB以下的测试机），观察是否有“权限不足”的报错。若报错，根据报错信息定位缺失的权限（如提示“无法创建快照”则检查“Snapshot Management”权限），补充配置后重试。

四、总结：ABB权限配置的简化步骤

为方便管理员快速操作，将权限配置流程简化为3步：

1. 创建专用角色：在vSphere vCenter中，新建角色（如“ABB_Backup_Role”）； 

2. 添加权限集合：按上文模块，将所有必需权限添加到该角色（重点关注“Datastore”“Virtual Machine”“Global”模块，这3个是核心）； 

3. 分配角色给账户：将“ABB_Backup_Role”分配给用于连接ABB与vSphere的账户，选择“应用到所有子对象”（确保所有虚拟机都能被访问）。

通过以上步骤，即可为ABB配置完整的VMware vSphere权限，解决备份/还原时的权限不足问题，确保虚拟机备份任务稳定执行。若后续遇到新的权限报错，可对照本文权限清单，定位缺失的权限并补充，无需反复查阅官方文档。