权限在 vCenter 对象层次结构中的对象上设置。每种权限与包含用户或组的对象以及该组或用户的访问角色相关联。例如,您可以选择一个虚拟机对象,添加一种权限用于向组 1 授予 ReadOnly 角色,然后添加另一种权限用于将管理员角色授予用户 2。
通过将不同角色分配给不同对象的用户组,您可控制这些用户能够在 vSphere 环境中执行的任务。例如,要允许组配置主机内存,请选择该主机并添加用于向该组授予角色的权限,包括特权。
要从 vSphere Web Client 管理权限,需要了解以下概念:
- 权限
- vCenter Server 对象层次结构中的每个对象都具有关联的权限。每个权限为一个组或用户指定该组或用户具有对象的哪些特权。
- 用户和组
- 在 vCenter Server 系统中,可以仅向经过身份验证的用户或经过身份验证的用户组分配特权。用户通过 vCenter Single Sign-On 进行身份验证。必须在 vCenter Single Sign-On 正用于进行身份验证的标识源中定义用户和组。使用您的标识源(例如 Active Directory)中的工具定义用户和组。
- 特权
- 特权是精细的访问控制。可以将这些特权分组到角色中,然后可以将其映射到用户或组。
- 角色
- 角色是指一组特权。角色允许您基于用户执行的一系列典型任务分配对对象的权限。默认角色(例如管理员)已在 vCenter Server 中预定义,不能更改。其他角色(例如资源池管理员)是预定义的样本角色。可以从头开始或者通过克隆和修改样本角色创建自定义角色。请参见 创建自定义角色和 克隆角色。
可以在不同的层次结构级别为对象分配权限,例如,可以为主机对象或包含所有主机对象的文件夹对象分配权限。请参见权限的层次结构继承。还可以向全局根对象分配权限,以将权限应用于所有解决方案中的所有对象。请参见全局权限。
