vCenter Server 系统的权限模型需要向 vSphere 对象层次结构中的对象分配权限。每种权限都会向一个用户或组授予一组特权,即选定对象的角色。
以下概念非常重要。
- 权限
- vCenter Server 对象层次结构中的每个对象都具有关联的权限。每个权限为一个组或用户指定该组或用户具有对象的哪些特权。
- 用户和组
- 在 vCenter Server 系统中,可以仅向经过身份验证的用户或经过身份验证的用户组分配特权。用户通过 vCenter Single Sign-On 进行身份验证。必须在 vCenter Single Sign-On 正用于进行身份验证的标识源中定义用户和组。使用您的标识源(例如 Active Directory)中的工具定义用户和组。
- 特权
- 特权是精细的访问控制。可以将这些特权分组到角色中,然后可以将其映射到用户或组。
- 角色
- 角色是指一组特权。角色允许您基于用户执行的一系列典型任务分配对对象的权限。默认角色(例如管理员)已在 vCenter Server 中预定义,不能更改。其他角色(例如资源池管理员)是预定义的样本角色。可以从头开始或者通过克隆和修改样本角色创建自定义角色。请参见 创建自定义角色和 克隆角色。
要向对象分配权限,请执行以下步骤:
- 在 vCenter 对象层次结构中选择要应用权限的对象。
- 选择应对该对象具有特权的组或用户。
- 选择组或用户针对该对象应具有的各种特权或某个角色(即一组特权)。
默认情况下,权限会传播,即组或用户对选定对象及其子对象具有选定角色。
vCenter Server 提供预定义的角色,这些角色合并了经常使用的特权集。也可通过合并一组角色创建自定义角色。
通常,必须同时定义对源对象和目标对象的权限。例如,如果要移动虚拟机,您需要针对该虚拟机的特权,同时还需要针对目标数据中心的特权。
请参见下面的信息。
独立
ESXi 主机的权限模型比较简单。请参见
为 ESXi 主机分配特权。
| 要了解... | 请参见... |
|---|---|
| 创建自定义角色。 | 创建自定义角色 |
| 所有特权以及可对其应用特权的对象 | 定义的特权 |
| 对不同对象执行不同任务所需的特权集。 | 常见任务的所需特权 |
vCenter Server 用户验证
使用目录服务的 vCenter Server 系统将根据用户目录域定期验证用户和组。验证将根据 vCenter Server 设置中指定的固定时间间隔执行。例如,假设为用户 Smith 分配了对多个对象的角色,域管理员将该名称更改为 Smith2,下次进行验证时主机会认为 Smith 已不存在,并从 vSphere 对象中移除与该用户关联的权限。
同样,如果将用户 Smith 从域中移除,则在下次验证发生时与该用户关联的所有权限都将被移除。如果在下次验证之前将新用户 Smith 添加到域,新用户 Smith 会接替旧用户 Smith 获得对任意对象的权限。
