使用角色和权限的最佳做法可充分提高 vCenter Server 环境的安全性和易管理性。

vCenter Server 环境中配置角色和权限时,VMware 建议采用以下最佳做法:

  • 如果可能,请向组分配角色,而不要向单个用户分配角色。

  • 仅授予对被需要对象的权限,仅向必须拥有特权的用户或组分配特权。使用最少权限数以使了解和管理权限结构变得更容易。

  • 如果要为组分配限制性角色,请检查该组是否不包括管理员用户或其他具有管理特权的用户。否则,您可能无意识地限制了部分清单层次结构(已从中向该组分配了限制性角色)中管理员的特权。

  • 使用文件夹对对象进行分组。例如,要授予对一组主机的修改权限并授予对另一组主机的查看权限,请将各组主机置于一个文件夹中。

  • 向根 vCenter Server 对象添加权限时要小心。具有根级别特权的用户有权访问 vCenter Server 上的全局数据,例如,角色、自定义属性、vCenter Server 设置。

  • 考虑向对象分配权限时启用传播功能。传播可确保对象层次结构中的新对象会继承权限并且用户可以对其进行访问。

  • 使用“无权访问”角色屏蔽层次结构的特定区域。“无权访问”角色会限制具有该角色的用户或组的访问权限。

  • 对许可证的更改会传播到以下项:

    • 链接到同一 Platform Services Controller 的所有 vCenter Server 系统。

    • 同一 vCenter Single Sign-On 域中的 Platform Services Controller 实例。

  • 即使用户并未对所有 vCenter Server 系统拥有特权,也会发生许可证传播。