在 vCenter Server 对象层次结构中,标记对象不是 vCenter Server 的子项,而是在 vCenter Server 顶层创建的。在具有多个 vCenter Server 实例的环境中,标记对象在 vCenter Server 实例间共享。标记对象权限的工作方式不同于 vCenter Server 对象层次结构中其他对象的权限。
只有全局权限或分配给标记对象的权限适用
如果将权限授予 vCenter Server 清单对象(例如虚拟机)上的某个用户,则该用户可以执行与该权限相关的任务。但是,用户无法对对象执行标记操作。
例如,如果将
分配 vSphere 标记特权授予主机 TPA 上的用户 Dana,该权限对 Dana 能否在主机 TPA 上分配标记没有影响。Dana 必须拥有顶层的
分配 vSphere 标记特权(即全局权限)或者必须拥有针对该标记对象的特权。
| 全局权限 | 标记级别的权限 | vCenter Server 对象级别的权限 | 有效权限 |
|---|---|---|---|
| 未分配标记特权。 | Dana 拥有标记的分配或取消分配 vSphere 标记特权。 | Dana 在 ESXi 主机 TPA 上拥有删除 vSphere 标记特权。 | Dana 拥有标记的分配或取消分配 vSphere 标记特权。 |
| Dana 拥有分配或取消分配 vSphere 标记特权。 | 未分配标记特权。 | Dana 在 ESXi 主机 TPA 上拥有删除 vSphere 标记特权。 | Dana 拥有分配或取消分配 vSphere 标记全局特权。这包括标记级别的特权。 |
| 未分配标记特权。 | 未分配标记特权。 | Dana 在 ESXi 主机 TPA 上拥有分配或取消分配 vSphere 标记特权。 | Dana 在任何对象(包括主机 TPA)上均没有标记特权。 |
全局权限是标记对象权限的补充
全局权限,即在顶层对象上分配的权限,可在标记对象权限更为严格时作为标记对象权限的补充。vCenter Server 权限不会影响标记对象。
例如,假设您在顶层使用全局权限向用户 Robin 分配了删除 vSphere 标记特权。对于标记“生产”,您未向 Robin 分配删除 vSphere 标记特权。这种情况下,Robin 对标记“生产”拥有特权,因为 Robin 拥有全局权限,而全局权限可从顶层传播。除非修改全局权限,否则您无法限制特权。
| 全局权限 | 标记级别的权限 | 有效权限 |
|---|---|---|
| Robin 拥有删除 vSphere 标记特权 | Robin 没有标记的删除 vSphere 标记特权。 | Robin 拥有删除 vSphere 标记特权。 |
| 未分配标记特权 | Robin 没有针对标记分配的删除 vSphere 标记特权。 | Robin 没有删除 vSphere 标记特权 |
标记级别权限可以扩展全局权限
可以使用标记级别权限扩展全局权限。这意味着用户可以同时对标记拥有全局权限和标记级别权限。
注: 此行为与继承
vCenter Server 特权的方式不同。在
vCenter Server 中,为子对象定义的权限将总是替代从父对象中传播的权限。
| 全局权限 | 标记级别的权限 | 有效权限 |
|---|---|---|
| Lee 拥有分配或取消分配 vSphere 标记特权。 | Lee 拥有删除 vSphere 标记特权。 | Lee 拥有标记的分配 vSphere 标记特权和删除 vSphere 标记特权。 |
| 未分配标记特权。 | Lee 拥有针对标记分配的删除 vSphere 标记特权。 | Lee 拥有标记的删除 vSphere 标记特权。 |
