默认情况下,vCenter Server 授予本地系统(可由域管理员访问)管理员完全管理员特权。为了将滥用该特权的风险降至最低,请将管理权限从本地操作系统的管理员帐户中移除,并将这些权限分配给特殊用途的本地 vSphere 管理员帐户。使用本地 vSphere 帐户创建各个用户帐户。

关于此任务

只将管理员特权授予必须拥有该特权的管理员。不要将该特权授予成员资格未严格控制的任何组。

过程

  1. 创建将用于管理 vCenter Server 的用户帐户(例如 vi-admin)。

    确保该用户不属于任何本地组(例如管理员组)。

  2. 以本地操作系统管理员身份登录 vCenter Server 系统,并将全局 vCenter Server 管理员的角色授予您所创建的用户帐户(例如 vi-admin)。
  3. 注销 vCenter Server,然后使用您所创建的用户帐户 (vi-admin) 登录。
  4. 验证该用户是否可执行 vCenter Server 管理员的所有任务。
  5. 移除分配给本地操作系统管理员用户或组的管理员特权。