权限是由用户及针对某对象(如虚拟机或 ESXi 主机)为用户分配的角色组成的访问角色。权限授予用户执行对象(向其分配了角色)上的角色所指定的活动的权限。

例如,要配置主机的内存,必须为用户授予包括主机 > 配置 > 内存配置特权的角色。通过将不同角色分配给不同对象的用户,您可控制用户可以在 vSphere 环境中执行的任务。

除 root 和 vpx 用户之外的所有其他用户最初在任何对象上均无访问权限,这意味着他们不能查看这些对象或对其执行操作。具有管理员特权的用户必须向这些用户授予权限以允许他们执行任务。

ESXivCenter Server 的特权列表相同。有关特权的完整列表,请参见定义的特权

多个权限

许多任务需要多个对象的权限。

在子对象上应用的权限始终会替代在父对象上应用的权限。虚拟机文件夹和资源池在层次结构中是相同级别。如果您在虚拟机的文件夹及其资源池上授予用户或组传播权限,则用户拥有从资源池和文件夹传播的特权。

如果对同一对象定义了多个组权限,且用户属于这些组中的两个或多个组,则可能出现以下两种情况:

  • 如果没有为用户定义对该对象的权限,则用户将获得分配给该对象的组的一系列特权。

  • 如果为用户定义了对该对象的权限,则该用户权限将优先于所有组权限。

权限示例

这些规则可以帮助您确定必须在哪里分配权限以允许执行特定操作:

  • 消耗存储空间的任何操作(例如创建虚拟磁盘或生成快照)都需要目标数据存储上的数据存储 > 分配空间特权,以及自我执行的特权。

  • 在清单层次结构中移动对象需要对象自身、源父对象(如文件夹或群集)和目标父对象上的适当特权。

  • 每个主机和群集有其自身的固有资源池,其中包含该主机或群集的所有资源。将虚拟机直接部署到主机或群集需要资源 > 将虚拟机分配给资源池特权。