角色是一组预定义的特权。向对象添加权限时,请将用户或组与角色配对。vCenter Server 包括多种无法更改的系统角色。

vCenter Server 系统角色

vCenter Server 提供少量默认角色。不能更改与默认角色关联的特权。默认角色以层次结构方式进行组织;每个角色将继承前一个角色的特权。例如,管理员角色继承只读角色的特权。您创建的角色不继承任何系统角色的特权。

管理员角色

分配有管理员角色的对象用户可在对象上查看和执行所有操作。此角色也包括只读角色固有的所有特权。如果您使用管理员角色对对象执行操作,可以将特权分配给各个用户和组。如果您使用管理员角色在 vCenter Server 中进行操作,可以将特权分配给默认 vCenter Single Sign-On 标识源中的用户和组。支持的身份服务包括 Windows Active Directory 和 OpenLDAP 2.4。

默认情况下,安装后,administrator@vsphere.local 用户将对 vCenter Single Sign-OnvCenter Server 具有管理员角色。该用户之后可以将其他用户与 vCenter Server 上的管理员角色相关联。

无权访问角色

分配有无权访问角色的对象用户不能以任何方式查看或更改对象。默认情况下向新用户和组分配此角色。可以逐对象更改角色。

administrator@vsphere.local 用户、root 用户和 vpxuser 用户是默认未分配无权访问角色的唯一用户。相反,它们分配有管理员角色。只要首先在 root 级别使用管理员角色创建替代权限并将此权限与另一个用户相关联,就可以从移除 root 用户的所有权限或将其角色更改为无权访问。

只读角色

分配有只读角色的对象用户可查看对象的状况和详细信息。具有此角色的用户可查看虚拟机、主机和资源池属性。该用户不能查看主机的远程控制台。通过菜单和工具栏执行的所有操作均被禁止。