Siga as práticas recomendadas para funções e permissões para maximizar a segurança e a capacidade de gerenciamento do seu ambiente vCenter Server.
Siga estas práticas recomendadas ao configurar funções e permissões no seu ambiente vCenter Server:
- Sempre que possível, atribua uma função a um grupo em vez de a usuários individuais.
- Conceda permissões somente nos objetos em que elas são necessárias e atribua privilégios apenas aos usuários ou grupos que devem tê-los. Use o número mínimo de permissões para facilitar a compreensão e o gerenciamento da estrutura de suas permissões.
- Se você atribuir uma função restritiva a um grupo, verifique se o grupo não contém o usuário Administrador ou outros usuários com privilégios administrativos. Caso contrário, você poderá restringir involuntariamente os privilégios dos administradores nas partes da hierarquia de inventário em que atribuiu a função restritiva a esse grupo.
- Agrupe objetos em pastas para facilitar a atribuição de permissões. Por exemplo, para conceder a permissão de modificação em um conjunto de hosts e a permissão de exibição em outro conjunto de hosts, coloque cada conjunto de hosts em uma pasta.
- Tenha cuidado ao adicionar uma permissão aos objetos vCenter Server raiz. Os usuários com privilégios no nível raiz têm acesso a dados globais em vCenter Server, como funções, atributos personalizados, configurações de vCenter Server.
- Considere habilitar a propagação ao atribuir permissões a um objeto. A propagação garante que novos objetos na hierarquia de objetos herdem permissões. Por exemplo, você pode atribuir uma permissão a uma pasta de máquina virtual e habilitar a propagação para garantir que a permissão se aplique a todas as máquinas virtuais na pasta.
- Use a função Sem Acesso para mascarar áreas específicas da hierarquia. A função Sem Acesso restringe o acesso dos usuários ou grupos com essa função.
- As alterações nas licenças são propagadas para todos os sistemas vCenter Server vinculados no mesmo domínio vCenter Single Sign-On.
- A propagação da licença ocorre mesmo se o usuário não tiver privilégios em todos os sistemas vCenter Server.