使用角色和权限的最佳做法可充分提高 vCenter Server 环境的安全性和易管理性。

vCenter Server 环境中配置角色和权限时,VMware 建议采用以下最佳做法:

  • 如果可能,请向组分配角色,而不要向单个用户分配角色,以便向该组授予特权。

  • 仅授予对被需要对象的权限,仅向必须拥有特权的用户或组分配特权。使用最少权限数使得了解和管理权限结构变得更容易。

  • 如果要为组分配限制性角色,请检查该组是否不包括管理员用户或其他具有管理特权的用户。否则,您可能无意识地限制了部分清单层次结构(已从中向该组分配了限制性角色)中管理员的特权。

  • 使用文件夹对对象进行分组。例如,如果要授予对一组主机的修改权限并授予对另一组主机的查看权限,请将各组主机置于一个文件夹中。

  • 向根 vCenter Server 对象添加权限时要小心。具有根级别特权的用户有权访问 vCenter Server 上的全局数据,例如,角色、自定义属性、vCenter Server 设置。

  • 在大多数情况下,向对象分配权限时启用传播功能。这可确保当向清单层次结构中插入新对象时,它们会继承权限并且用户可以对其进行访问。

  • 使用“无权访问”角色可屏蔽您希望特定用户或组无权访问的对象层次结构中的特定区域。

  • 对许可证所做的更改会传播到链接到同一 Platform Services Controller 或同一 vCenter Single Sign-On 域中 Platform Services Controller 的所有 vCenter Server 系统,即使用户并未对所有 vCenter Server 系统拥有特权也会传播。