vCenter Server 系统的权限模型需要向 vSphere 对象层次结构中的对象分配权限。每种权限都会向一个用户或组授予一组特权,即选定对象的角色。

以下概念非常重要。

权限

vCenter Server 对象层次结构中的每个对象都具有关联的权限。每个权限为一个组或用户指定该组或用户具有对象的哪些特权。

用户和组

vCenter Server 系统中,可以仅向经过身份验证的用户或经过身份验证的用户组分配特权。用户通过 vCenter Single Sign-On 进行身份验证。必须在 vCenter Single Sign-On 正用于进行身份验证的标识源中定义用户和组。使用您的标识源(例如 Active Directory)中的工具定义用户和组。

特权

特权是精细的访问控制。可以将这些特权分组到角色中,然后可以将其映射到用户或组。

角色

角色是指一组特权。角色允许您基于用户执行的一系列典型任务分配对对象的权限。默认角色(例如管理员)已在 vCenter Server 中预定义,不能更改。其他角色(例如资源池管理员)是预定义的样本角色。可以从头开始或者通过克隆和修改样本角色创建自定义角色。请参见创建自定义角色克隆角色

图 1. vSphere 权限
一种角色中组合了多种特权。角色将分配给用户或组。

要向对象分配权限,请执行以下步骤:

  1. 在 vCenter 对象层次结构中选择要应用权限的对象。

  2. 选择应对该对象具有特权的组或用户。

  3. 选择组或用户针对该对象应具有的各种特权或某个角色(即一组特权)。

    默认情况下,权限会传播,即组或用户对选定对象及其子对象具有选定角色。

vCenter Server 提供预定义的角色,这些角色合并了经常使用的特权集。也可通过合并一组角色创建自定义角色。

通常,必须同时定义对源对象和目标对象的权限。例如,如果要移动虚拟机,您需要针对该虚拟机的特权,同时还需要针对目标数据中心的特权。

请参见下面的信息。

要了解...

请参见...

创建自定义角色。

创建自定义角色

所有特权以及可对其应用特权的对象

定义的特权

对不同对象执行不同任务所需的特权集。

常见任务的所需特权

独立 ESXi 主机的权限模型比较简单。请参见为 ESXi 主机分配特权

vCenter Server 用户验证

使用目录服务的 vCenter Server 系统将根据用户目录域定期验证用户和组。验证将根据 vCenter Server 设置中指定的固定时间间隔执行。例如,假设为用户 Smith 分配了对多个对象的角色,域管理员将该名称更改为 Smith2,下次进行验证时主机会认为 Smith 已不存在,并从 vSphere 对象中移除与该用户关联的权限。

同样,如果将用户 Smith 从域中移除,则在下次验证发生时与该用户关联的所有权限都将被移除。如果在下次验证之前将新用户 Smith 添加到域,新用户 Smith 会接替旧用户 Smith 获得对任意对象的权限。