vCenter Server 对象层次结构中,标记对象不是 vCenter Server 的子项,而是在 vCenter Server 顶层创建的。在具有多个 vCenter Server 实例的环境中,标记对象在 vCenter Server 实例间共享。标记对象权限的工作方式不同于 vCenter Server 对象层次结构中其他对象的权限。

只有全局权限或分配给标记对象的权限适用

如果将权限授予 vCenter Server 清单对象(例如虚拟机)上的某个用户,则该用户可以执行与该权限相关的任务。但是,用户无法对对象执行标记操作。

例如,如果将 分配 vSphere 标记特权授予主机 TPA 上的用户 Dana,该权限对 Dana 能否在主机 TPA 上分配标记没有影响。Dana 必须拥有顶层的 分配 vSphere 标记特权(即全局权限)或者必须拥有针对该标记对象的特权。
表 1. 全局权限和标记对象权限如何影响用户可以执行的操作
全局权限 标记级别的权限 vCenter Server 对象级别的权限 有效权限
未分配标记特权。 Dana 拥有标记的分配或取消分配 vSphere 标记特权。 Dana 在 ESXi 主机 TPA 上拥有删除 vSphere 标记特权。 Dana 拥有标记的分配或取消分配 vSphere 标记特权。
Dana 拥有分配或取消分配 vSphere 标记特权。 未分配标记特权。 Dana 在 ESXi 主机 TPA 上拥有删除 vSphere 标记特权。 Dana 拥有分配或取消分配 vSphere 标记全局特权。这包括标记级别的特权。
未分配标记特权。 未分配标记特权。 Dana 在 ESXi 主机 TPA 上拥有分配或取消分配 vSphere 标记特权。 Dana 在任何对象(包括主机 TPA)上均没有标记特权。

全局权限是标记对象权限的补充

全局权限,即在顶层对象上分配的权限,可在标记对象权限更为严格时作为标记对象权限的补充。vCenter Server 权限不会影响标记对象。

例如,假设您在顶层使用全局权限向用户 Robin 分配了删除 vSphere 标记特权。对于标记“生产”,您未向 Robin 分配删除 vSphere 标记特权。这种情况下,Robin 对标记“生产”拥有特权,因为 Robin 拥有全局权限,而全局权限可从顶层传播。除非修改全局权限,否则您无法限制特权。

表 2. 全局权限是标记级别权限的补充
全局权限 标记级别的权限 有效权限
Robin 拥有删除 vSphere 标记特权 Robin 没有标记的删除 vSphere 标记特权。 Robin 拥有删除 vSphere 标记特权。
未分配标记特权 Robin 没有针对标记分配的删除 vSphere 标记特权。 Robin 没有删除 vSphere 标记特权

标记级别权限可以扩展全局权限

可以使用标记级别权限扩展全局权限。这意味着用户可以同时对标记拥有全局权限和标记级别权限。

注: 此行为与继承 vCenter Server 特权的方式不同。在 vCenter Server 中,为子对象定义的权限将总是替代从父对象中传播的权限。
表 3. 全局权限可以扩展标记级别权限
全局权限 标记级别的权限 有效权限
Lee 拥有分配或取消分配 vSphere 标记特权。 Lee 拥有删除 vSphere 标记特权。 Lee 拥有标记的分配 vSphere 标记特权和删除 vSphere 标记特权。
未分配标记特权。 Lee 拥有针对标记分配的删除 vSphere 标记特权。 Lee 拥有标记的删除 vSphere 标记特权。