使用角色和权限的最佳做法可充分提高 vCenter Server 环境的安全性和易管理性。

vCenter Server 环境中配置角色和权限时,VMware 建议采用以下最佳做法:

  • 如果可能,向组而不是单个用户授予权限。

  • 仅在需要时授予权限。使用最少权限数使得了解和管理权限结构变得更容易。

  • 如果要为组分配限制性角色,请检查该组是否不包括管理员用户或其他具有管理特权的用户。否则,您可能无意识地限制了部分清单层次结构(已从中向该组分配了限制性角色)中管理员的特权。

  • 使用文件夹对对象进行分组。例如,如果要向一组主机授予修改权限并向一组用户授予对另一组主机的查看权限,请将各组主机置于文件夹中。

  • 授予根 vCenter Server 级别的权限时要小心。具有根级别权限的用户有权访问 vCenter Server 上的全局数据,例如角色、自定义属性、vCenter Server 设置和许可证。对许可证和角色的更改会传播到链接模式组中的所有 vCenter Server 系统,即使用户在组中的所有 vCenter Server 系统上均没有权限。

  • 大多数情况下,根据权限启用传播。这可确保当向清单层次结构中插入新对象时,它们会继承权限并且用户可以对其进行访问。

  • 使用“无权访问”角色可屏蔽您希望特定用户或组无权访问的层次结构的特定区域。