vCenter Server 对象层次结构中,标记对象不是 vCenter Server 的子项,而是在 vCenter Server root 级别创建的。在具有多个 vCenter Server 实例的环境中,标记对象在 vCenter Server 实例间共享。标记对象权限的工作方式不同于 vCenter Server 对象层次结构中其他对象的权限。

只有全局权限或分配给标记对象的权限适用

如果将权限授予 vCenter Server 清单对象(例如 ESXi 主机或虚拟机)上的某个用户,那么该用户无法对该对象执行标记操作。

例如,如果将 分配 vSphere 标记特权授予主机 TPA 上的用户 Dana,该权限对 Dana 能否在主机 TPA 上分配标记没有影响。Dana 必须拥有 root 级别的 分配 vSphere 标记特权(即全局权限)或者必须拥有针对该标记对象的特权。
表 1. 全局权限和标记对象权限如何影响用户可以执行的操作
全局权限 标记级别的权限 vCenter Server 对象级别的权限 有效权限
未分配标记特权 Dana 拥有标记的分配或取消分配 vSphere 标记特权。 Dana 在 ESXi 主机 TPA 上拥有删除 vSphere 标记特权 Dana 拥有标记的分配或取消分配 vSphere 标记特权。
Dana 拥有分配或取消分配 vSphere 标记特权。 未分配标记特权。 Dana 在 ESXi 主机 TPA 上拥有删除 vSphere 标记特权 Dana 拥有分配或取消分配 vSphere 标记全局特权。这包括标记级别的特权。
未分配标记特权 未分配标记特权。 Dana 在 ESXi 主机 TPA 上拥有分配或取消分配 vSphere 标记特权 Dana 在任何对象(包括主机 TPA)上均没有标记特权。

全局权限是标记对象权限的补充

全局权限,即在 root 对象上分配的权限,可在标记对象权限更为严格时作为标记对象权限的补充。vCenter Server 权限不会影响标记对象。

例如,假设您在 root 级别(也就是使用全局权限)向用户 Robin 分配了删除 vSphere 标记权限。对于标记“生产”,您未向 Robin 分配删除 vSphere 标记特权。这种情况下,Robin 对标记“生产”仍拥有特权,因为 Robin 拥有全局权限。除非修改全局权限,否则您无法限制特权。

表 2. 全局权限是标记级别权限的补充
全局权限 标记级别的权限 有效权限
Robin 拥有删除 vSphere 标记特权 Robin 没有标记的删除 vSphere 标记特权。 Robin 拥有删除 vSphere 标记特权。
未分配标记特权 Robin 没有针对标记分配的删除 vSphere 标记特权。 Robin 没有删除 vSphere 标记特权

标记级别权限可以扩展全局权限

您可以使用标记级别权限扩展全局权限。这意味着用户可以同时对标记拥有全局权限和标记级别权限。

表 3. 全局权限可以扩展标记级别权限
全局权限 标记级别的权限 有效权限
Lee 拥有分配或取消分配 vSphere 标记特权。 Lee 拥有删除 vSphere 标记特权。 Lee 拥有标记的分配 vSphere 标记特权和删除 vSphere 标记特权。
未分配标记特权。 Lee 拥有针对标记分配的删除 vSphere 标记特权。 Lee 拥有标记的删除 vSphere 标记特权。