许多任务需要清单中多个对象的权限。如果尝试执行任务的用户仅具有一个对象的特权,则无法成功完成该任务。
下表列出了需要多个特权的常见任务。您可以通过将用户与某个预定义的角色或多个特权进行配对,为清单对象添加权限。如果希望多次分配一组特权,请创建自定义角色。
如果要执行的任务不在此表中,以下规则说明了必须将权限分配到的位置以允许执行特定操作:
- 消耗存储空间的任何操作都需要目标数据存储的 特权以及用于执行该操作本身的特权。例如,当创建虚拟磁盘或创建快照时,必须具有这些特权。
- 在清单层次结构中移动对象需要对象自身、源父对象(如文件夹或集群)和目标父对象上的适当特权。
- 每个主机和集群有其自身的固有资源池,其中包含该主机或集群的所有资源。将虚拟机直接部署到主机或集群需要 特权。
任务 | 所需特权 | 适用角色 |
---|---|---|
创建虚拟机 | 在目标文件夹或数据中心上:
|
管理员 |
在目标主机、集群或资源池上: |
资源池管理员或管理员 | |
在目标数据存储或包含数据存储的文件夹上: |
数据存储用户或管理员 | |
在虚拟机将分配到的网络上: |
网络用户或管理员 | |
打开虚拟机电源 | 在其中部署虚拟机的数据中心上: |
虚拟机超级用户或管理员 |
在虚拟机或虚拟机的文件夹上: |
||
从模板部署虚拟机 | 在目标文件夹或数据中心上:
|
管理员 |
在模板或模板的文件夹上: |
管理员 | |
在目标主机、集群或资源池上: |
管理员 | |
在目标数据存储或数据存储的文件夹上: |
数据存储用户或管理员 | |
在虚拟机将分配到的网络上: |
网络用户或管理员 | |
生成虚拟机快照 | 在虚拟机或虚拟机的文件夹上: |
虚拟机超级用户或管理员 |
将虚拟机移动到资源池中 | 在虚拟机或虚拟机的文件夹上:
|
管理员 |
在目标资源池上: |
管理员 | |
在虚拟机上安装客户机操作系统 | 在虚拟机或虚拟机的文件夹上:
|
虚拟机超级用户或管理员 |
在包含安装媒体 ISO 映像的数据存储上: (如果从数据存储上的 ISO 映像安装) 在向其上载安装介质 ISO 映像的数据存储上: |
虚拟机超级用户或管理员 | |
通过 vMotion 迁移虚拟机 | 在虚拟机或虚拟机的文件夹上:
|
资源池管理员或管理员 |
在目标主机、集群或资源池上(如果与源主机、集群或资源池不同): |
资源池管理员或管理员 | |
冷迁移(重定位)虚拟机 | 在虚拟机或虚拟机的文件夹上:
|
资源池管理员或管理员 |
在目标主机、集群或资源池上(如果与源主机、集群或资源池不同):
|
资源池管理员或管理员 | |
在目标数据存储上(如果与源数据存储不同): |
数据存储用户或管理员 | |
通过 Storage vMotion 迁移虚拟机 | 在虚拟机或虚拟机的文件夹上: |
资源池管理员或管理员 |
在目标数据存储上: |
数据存储用户或管理员 | |
将主机移动到集群 | 在主机上: |
管理员 |
在目标集群上: |
管理员 | |
加密虚拟机 | 只有在包含vCenter Server的环境中才能执行加密任务。此外,ESXi主机必须为大多数加密任务启用加密模式。执行任务的用户必须拥有相应的特权。一组加密操作特权可实现精细控制。有关详细信息,请参见《vSphere 安全性》文档。 |
管理员 |