当向对象授予权限时,可以选择是否允许其沿对象层次结构向下传播。为每个权限设置传播。传播并非普遍适用。为子对象定义的权限将总是替代从父对象中传播的权限。

下图说明了清单层次结构和权限传播的路径。
注: 全局权限支持从全局根对象跨多个解决方案分配特权。请参见 全局权限
图 1. vSphere 清单层次结构
此图显示了 vSphere 清单层次结构中从父对象到子对象的权限继承。

关于此图:

  • 您不能对虚拟机、主机、网络和存储文件夹设置直接权限。也就是说,这些文件夹充当容器,因此对用户不可见。
  • 您无法对标准交换机设置权限。
注: 为了能够设置权限并将其传播到 vSphere Distributed Switch (VDS) 上的子项,交换机对象必须驻留在数据中心上创建的网络文件夹中。

大多数清单对象在层次结构中从单一父对象继承权限。例如,数据存储从其父数据存储文件夹或父数据中心继承权限。虚拟机同时从父虚拟机文件夹和父主机、集群或资源池继承权限。

例如,可为 Distributed Switch 及其关联的分布式端口组设置权限,方法是设置对父对象(例如文件夹或数据中心)的权限。此外,还必须选择将这些权限传播给子对象的选项。

权限在层次结构中有多种形式:

受管实体
受管实体指的是以下vSphere对象。受管实体提供的特定操作因实体类型而异。特权用户可以对受管实体定义权限。有关 vSphere API 对象、属性和方法的详细信息,请参见 vSphere API 文档。
  • 集群
  • 数据中心
  • 数据存储
  • 数据存储集群
  • 文件夹
  • 主机
  • 网络(vSphere Distributed Switch 除外)
  • 分布式端口组
  • 资源池
  • 模板
  • 虚拟机
  • vSphere vApp
全局实体
不能修改从根 vCenter Server 系统中派生权限的实体的权限。
  • 自定义字段
  • 许可证
  • 角色
  • 统计间隔
  • 会话