常见任务的所需特权

许多任务需要清单中多个对象的权限。如果尝试执行任务的用户仅具有一个对象的特权，则无法成功完成该任务。

下表列出了需要多个特权的常见任务。您可以通过将用户与某个预定义的角色或多个特权进行配对，为清单对象添加权限。如果希望多次分配一组特权，请创建自定义角色。

如果要执行的任务不在此表中，以下规则说明了必须将权限分配到的位置以允许执行特定操作：

消耗存储空间的任何操作都需要目标数据存储的数据存储.分配空间特权以及用于执行该操作本身的特权。例如，当创建虚拟磁盘或创建快照时，必须具有这些特权。
在清单层次结构中移动对象需要对象自身、源父对象（如文件夹或集群）和目标父对象上的适当特权。
每个主机和集群有其自身的固有资源池，其中包含该主机或集群的所有资源。将虚拟机直接部署到主机或集群需要资源.将虚拟机分配给资源池特权。

表 1. 常见任务的所需特权
任务	所需特权	适用角色
创建虚拟机	在目标文件夹或数据中心上：虚拟机.清单.新建虚拟机.配置.添加新磁盘（如果要创建新虚拟磁盘）虚拟机.配置.添加现有磁盘（如果使用现有虚拟磁盘）虚拟机.配置.配置裸设备（如果使用 RDM 或 SCSI 直通设备）	管理员
	在目标主机、集群或资源池上：资源.将虚拟机分配给资源池	资源池管理员或管理员
	在目标数据存储或包含数据存储的文件夹上：数据存储.分配空间	数据存储用户或管理员
	在虚拟机将分配到的网络上：网络.分配网络	网络用户或管理员
打开虚拟机电源	在其中部署虚拟机的数据中心上：虚拟机.交互.打开电源	虚拟机超级用户或管理员
打开虚拟机电源	在虚拟机或虚拟机的文件夹上：虚拟机.交互.打开电源	虚拟机超级用户或管理员
从模板部署虚拟机	在目标文件夹或数据中心上：虚拟机.清单.从现有项创建虚拟机.配置.添加新磁盘	管理员
	在模板或模板的文件夹上：虚拟机.置备.部署模板	管理员
	在目标主机、集群或资源池上：资源.将虚拟机分配给资源池	管理员
	在目标数据存储或数据存储的文件夹上：数据存储.分配空间	数据存储用户或管理员
	在虚拟机将分配到的网络上：网络.分配网络	网络用户或管理员
生成虚拟机快照	在虚拟机或虚拟机的文件夹上：虚拟机.快照管理.创建快照	虚拟机超级用户或管理员
将虚拟机移动到资源池中	在虚拟机或虚拟机的文件夹上：资源.将虚拟机分配给资源池虚拟机.清单.移动	管理员
将虚拟机移动到资源池中	在目标资源池上：资源.将虚拟机分配给资源池	管理员
在虚拟机上安装客户机操作系统	在虚拟机或虚拟机的文件夹上：虚拟机.交互.回答问题虚拟机.交互.控制台交互虚拟机.交互.设备连接虚拟机.交互.关闭电源虚拟机.交互.打开电源虚拟机.交互.重置虚拟机.交互.配置 CD 媒体（如果从 CD 安装）虚拟机.交互.配置软盘媒体（如果从软盘安装）虚拟机.交互.VMware Tools 安装	虚拟机超级用户或管理员
在虚拟机上安装客户机操作系统	在包含安装媒体 ISO 映像的数据存储上：数据存储.浏览数据存储（如果从数据存储上的 ISO 映像安装）在向其上载安装介质 ISO 映像的数据存储上：数据存储.浏览数据存储数据存储.低级别文件操作	虚拟机超级用户或管理员
通过 vMotion 迁移虚拟机	在虚拟机或虚拟机的文件夹上：资源.迁移已打开电源的虚拟机资源.将虚拟机分配给资源池（如果目标资源池与源资源池不同）	资源池管理员或管理员
通过 vMotion 迁移虚拟机	在目标主机、集群或资源池上（如果与源主机、集群或资源池不同）：资源.将虚拟机分配给资源池	资源池管理员或管理员
冷迁移（重定位）虚拟机	在虚拟机或虚拟机的文件夹上：资源.迁移已关闭电源的虚拟机资源.将虚拟机分配给资源池（如果目标资源池与源资源池不同）	资源池管理员或管理员
	在目标主机、集群或资源池上（如果与源主机、集群或资源池不同）：资源.将虚拟机分配给资源池	资源池管理员或管理员
	在目标数据存储上（如果与源数据存储不同）：数据存储.分配空间	数据存储用户或管理员
通过 Storage vMotion 迁移虚拟机	在虚拟机或虚拟机的文件夹上：资源.迁移已打开电源的虚拟机	资源池管理员或管理员
通过 Storage vMotion 迁移虚拟机	在目标数据存储上：数据存储.分配空间	数据存储用户或管理员
将主机移动到集群	在主机上：主机.清单.将主机添加到集群	管理员
将主机移动到集群	在目标集群上：主机.清单.将主机添加到集群	管理员
加密虚拟机	只有在包含vCenter Server的环境中才能执行加密任务。此外，ESXi主机必须为大多数加密任务启用加密模式。执行任务的用户必须拥有相应的特权。一组加密操作特权可实现精细控制。有关详细信息，请参见《vSphere 安全性》文档。	管理员