VMware Host Client 中,权限是指为各种对象(如虚拟机或 ESXi 主机)的用户分配的访问角色。角色允许用户对分配的对象执行各种任务。

例如,要配置主机的内存,必须授予用户包括主机.配置.内存配置特权的角色。通过针对不同对象向用户分配不同角色,您可控制用户可以通过使用 VMware Host Client 执行的任务。

通过 VMware Host Client 直接连接到主机时,root 和 vpxuser 用户帐户与在所有对象上分配了管理员角色的任何用户拥有相同的访问权限。

所有其他用户最初对于任何对象均无权限,这意味着用户无法查看这些对象或在这些对象上执行任务。具有管理员特权的用户必须向这些用户授予权限以允许他们执行任务。

许多任务需要多个对象的权限。以下规则可以帮助您确定向用户分配哪些角色以允许特定任务:

  • 消耗硬盘空间的任何任务(例如创建虚拟磁盘或生成快照)都需要目标数据存储上的数据存储.分配空间特权,以及自我执行的特权。
  • 每个主机和集群有其自身的固有资源池,其中包含该主机或集群的所有资源。将虚拟机直接部署到主机或集群需要资源.将虚拟机分配给资源池特权。

ESXivCenter Server 的特权列表相同。

可通过直接连接到 ESXi 主机来创建角色并设置权限。

权限验证

使用活动目录的 vCenter ServerESXi 主机会定期针对 Windows 活动目录域验证用户和组。一旦主机系统启动或到了 vCenter Server 设置中指定的固定时间间隔,即会执行验证。

例如,如果为用户 Smith 分配了权限并在域中将用户名更改为 Smith2,则在下次验证发生时主机会认为 Smith 已不存在并移除其权限。

再如,如果将用户 Smith 从域中移除,则在下次验证发生时所有权限都将被移除。如果在下次验证发生之前将新用户 Smith 添加到域,新用户 Smith 会接收分配给旧用户 Smith 的所有权限。

向用户分配 VMware Host ClientESXi 主机的权限

要在 ESXi 主机上执行特定活动,用户必须具有与特定角色相关联的权限。在 VMware Host Client 中,您可以向用户分配角色并授予该用户在主机上执行各种任务所必需的权限。

过程

  1. VMware Host Client 清单中右键单击主机,然后单击权限
    此时将显示 管理权限窗口。
  2. 单击添加用户
  3. 选择用户文本框,选择要为其分配角色的用户。
  4. 单击选择角色文本框旁边的箭头并从列表中选择角色。
  5. (可选) 选择传播到所有子对象添加为组
    如果在 vCenter Server 级别设置权限并将其传播到子对象,该权限将应用于数据中心、文件夹、集群、主机、虚拟机以及该 vCenter Server 实例中的其他对象。
  6. 单击添加用户,然后单击关闭

VMware Host Client 中移除用户权限

移除用户的权限并不会将该用户从可用用户列表中移除。也不会从列表中移除可用项的角色。这样只会从所选的清单对象中移除用户和角色对。

过程

  1. VMware Host Client 清单中右键单击主机,然后单击权限
    此时将显示 管理权限窗口。
  2. 从列表中选择用户并单击移除用户
  3. 单击关闭

VMware Host Client 中分配虚拟机的用户权限

向特定用户分配角色,从而授予该用户在虚拟机上执行特定任务的权限。

过程

  1. VMware Host Client 清单中单击虚拟机
  2. 右键单击列表中的虚拟机,然后选择权限
    此时将显示 管理权限窗口。
  3. 单击添加用户
  4. 单击选择用户文本框旁边的箭头并选择要为其分配角色的用户。
  5. 单击选择角色文本框旁边的箭头并从列表中选择角色。
  6. (可选) 选择传播到所有子对象
    如果在 vCenter Server 级别设置权限并将其传播到子对象,该权限将应用于数据中心、文件夹、集群、主机、虚拟机以及该 vCenter Server 实例中的类似对象。
  7. 单击添加用户,然后单击关闭

VMware Host Client 中移除虚拟机权限

要使用户无法在特定虚拟机上执行任务,请移除用户对该虚拟机的权限。

移除用户的权限并不会将该用户从可用用户列表中移除。也不会从列表中移除可用项的角色。这样只会从所选的清单对象中移除用户和角色对。

过程

  1. VMware Host Client 清单中单击虚拟机
  2. 右键单击列表中的虚拟机,然后选择权限
    此时将显示 管理权限窗口。
  3. 从列表中选择用户并单击移除用户
  4. 单击关闭