vCenter Server 系统的权限模型需要向 vSphere 对象层次结构中的对象分配权限。每种权限都会向一个用户或组授予一组特权,即选定对象的角色。

以下概念非常重要。

权限

vCenter Server 对象层次结构中的每个对象都具有关联的权限。每个权限为一个组或用户指定该组或用户具有对象的哪些特权。

用户和组

vCenter Server 系统中,可以仅向经过身份验证的用户或经过身份验证的用户组分配特权。用户通过 vCenter Single Sign-On 进行身份验证。必须在 vCenter Single Sign-On 正用于进行身份验证的标识源中定义用户和组。使用您的标识源(例如 Active Directory)中的工具定义用户和组。

特权

特权是精细的访问控制。可以将这些特权分组到角色中,然后可以将其映射到用户或组。

角色

角色是指一组特权。角色允许您基于用户执行的一系列典型任务分配对对象的权限。默认角色(例如管理员)已在 vCenter Server 中预定义,不能更改。其他角色(例如资源池管理员)是预定义的样本角色。可以从头开始或者通过克隆和修改样本角色创建自定义角色。请参见创建自定义角色克隆角色

图 1. vSphere 权限
一种角色中组合了多种特权。角色将分配给用户或组。

要向对象分配权限,请执行以下步骤:

  1. 在 vCenter 对象层次结构中选择要应用权限的对象。

  2. 选择应对该对象具有特权的组或用户。

  3. 选择组或用户针对该对象应具有的各种特权或某个角色(即一组特权)。

    默认情况下,权限会传播,即组或用户对选定对象及其子对象具有选定角色。

借助权限模型,您可以通过提供预定义的角色轻松完成操作。也可通过合并创建自定义角色。有关所有特权以及可对其应用特权的对象的参考信息,请参见定义的特权。有关执行常见任务所需的特权集的示例,请参见常见任务的所需特权

通常,必须同时定义对源对象和目标对象的权限。例如,如果要移动虚拟机,您需要针对该虚拟机的特权,同时还需要针对目标数据中心的特权。

独立 ESXi 主机的权限模型比较简单。请参见为 ESXi 主机分配特权

vCenter Server 用户验证

使用目录服务的 vCenter Server 系统将根据用户目录域定期验证用户和组。验证将根据 vCenter Server 设置中指定的固定时间间隔执行。例如,假设为用户 Smith 分配了对多个对象的角色,域管理员将该名称更改为 Smith2,下次进行验证时主机会认为 Smith 已不存在,并从 vSphere 对象中移除与该用户关联的权限。

同样,如果将用户 Smith 从域中移除,则在下次验证发生时与该用户关联的所有权限都将被移除。如果在下次验证之前将新用户 Smith 添加到域,新用户 Smith 会接替旧用户 Smith 获得对任意对象的权限。