使用 vCenter Server 角色分配特权

在 vCenter Server 中，角色是一组预定义的特权，用于定义执行操作和读取属性的权限。通过将角色分配给对象的用户或组来创建权限。默认情况下，vCenter Server 可提供系统角色和样本角色。也可创建自定义角色。

在 vCenter Server 中分配权限

在 vCenter Server 中分配权限时，可将用户或组与角色配对，并将该配对与清单对象关联。例如，可以使用虚拟机用户样本角色允许用户读取和更改虚拟机属性。

对于清单中的不同对象，单个用户或组可能有不同角色。例如，假设清单中有两个资源池（池 A 和池 B）。您可以为组 Sales 在池 A 上分配虚拟机用户样本角色，而在池 B 上分配只读角色。执行上述分配后，组 Sales 中的用户可以打开池 A 中的虚拟机，但只能查看池 B 中的虚拟机。

用户只有在创建任务时其角色包含执行该任务所需的特权的情况下，才能调度任务。

什么是预定义的 vCenter Server 角色

如下表所示，vCenter Server 提供预定义的角色。

表 1. 预定义的 vCenter Server 角色
角色类型	角色名称	描述
系统	管理员、只读和无权访问。	系统角色是永久的。您无法删除系统角色，也无法编辑与这些角色关联的特权。系统角色按层次结构进行组织。每个角色都继承前一个角色的特权。例如，管理员角色继承只读角色的特权。有关系统角色的更多详细信息，请参见以下部分。
样本	vSphere 提供了许多样本角色，例如 AutoUpdateUser、资源池管理员和虚拟机用户。	vSphere 可为某些频繁执行的任务组合提供样本角色。您可以克隆、修改或移除这些角色。注：为避免丢失样本角色中的预定义设置，请先克隆角色，然后再对克隆进行修改。无法将样本重置为其默认设置。

要查看与某个角色关联的特权，请在 vSphere Client 中导航到该角色（菜单 > 系统管理 > 角色），然后单击特权选项卡。

要查看所有 vSphere 特权和描述，请参见定义的特权。

注：即使所涉及到的用户已登录，对角色和特权的更改也会立即生效。但搜索除外，更改会在用户注销再重新登录之后才生效。

vCenter Server 系统角色

无法修改或删除系统角色。

管理员角色: 具有管理员角色的对象用户可在对象上查看和执行所有操作。此角色也包括只读角色的所有特权。如果您在某个对象上具有管理员角色，可以将特权分配给各个用户和组。; 如果您使用管理员角色在 vCenter Server 中进行操作，可以将特权分配给默认 vCenter Single Sign-On 标识源中的用户和组。有关支持的身份服务，请参见《vSphere 身份验证》文档。; 默认情况下，安装后，[email protected] 用户将对 vCenter Single Sign-On 和 vCenter Server 具有管理员角色。该用户之后可以将其他用户与 vCenter Server 上的管理员角色相关联。
提示：最佳做法是在 root 级别创建一个用户并向其分配管理员角色。创建一个具有管理员特权的指定用户后，可以移除 root 用户的所有权限或将其角色更改为“无权访问”。
只读角色: 具有“只读”角色的对象用户可查看对象的状态和详细信息。例如，具有此角色的用户可查看虚拟机、主机和资源池属性，但不能查看主机的远程控制台。通过菜单和工具栏执行的所有操作均被禁止。
无权访问角色: 具有“无权访问”角色的对象用户不能以任何方式查看或更改对象。默认情况下向新用户和组分配此角色。可以逐对象更改角色。; vCenter Single Sign-On 域的管理员（默认为 [email protected]）、root 用户和 vpxuser 默认分配有管理员角色。其他用户默认分配有“无权访问”角色。

vCenter Server 和 ESXi 中的自定义角色

可以为 vCenter Server 及其管理的所有对象或者为各个主机创建自定义角色。

vCenter Server 自定义角色（推荐）: 可使用 vSphere Client 中的角色编辑功能创建自定义角色，以创建符合用户需求的特权组。
ESXi 自定义角色: 可以使用 CLI 或 VMware Host Client 为各个主机创建自定义角色。请参见《vSphere 单台主机管理 - VMware Host Client》文档。自定义主机角色无法从 vCenter Server 进行访问。; 如果通过 vCenter Server 管理 ESXi 主机，请勿保留主机和 vCenter Server 中的自定义角色。在 vCenter Server 级别定义角色。

使用 vCenter Server 管理主机时，可以通过 vCenter Server 创建与该主机关联的权限并将其存储在 vCenter Server 上。如果直接连接到主机，则只有直接在主机上创建的角色才可用。

注：如果您添加自定义角色而不向其分配任何特权，则该角色将创建为只读角色，且具有以下三个系统定义的特权：系统.匿名、系统.查看和系统.读取。这些特权在 vSphere Client 中不显示，但用于读取某些受管对象的某些属性。 vCenter Server 中的所有预定义角色都包含这三个系统定义的特权。有关详细信息，请参见《vSphere Web Services API》。

创建 vCenter Server 自定义角色

为了满足环境的访问控制需求，可以创建 vCenter Server 自定义角色。可以创建角色或克隆现有角色。

您可以在与其他 vCenter Server 系统属于同一个 vCenter Single Sign-On 域的 vCenter Server 系统上创建或编辑角色。VMware Directory Service (vmdir) 会将您所做的角色更改传播到组中的所有其他 vCenter Server 系统。对特定用户和对象的角色分配不会在 vCenter Server 系统上共享。

前提条件

验证您对创建角色所在的 vCenter Server 系统是否拥有管理员特权。

过程

使用 vSphere Client 登录 vCenter Server。
选择系统管理，然后在访问控制区域中单击角色。

创建角色。

选项	描述
创建角色	单击新建。输入新角色的名称。选择和取消选择角色的特权。滚动特权类别，然后为该类别选择所有特权或一部分特权。可以显示所有、已选择或未选择的类别。还可以显示所有、已选择或未选择的特权。有关详细信息，请参见定义的特权。单击创建。
通过克隆创建角色	选择角色，然后单击克隆。输入角色的名称。单击确定。注：创建克隆的角色时，无法更改特权。要更改特权，请选择克隆的角色，然后单击编辑。

下一步做什么

现在，您可以通过选择对象并将角色分配给该对象的用户或组来创建权限。