vCenter Server 对象层次结构中的对象上设置权限。每种权限与包含用户或组的对象以及该组或用户的访问角色相关联。例如,您可以选择一个虚拟机对象,添加一种权限用于向组 1 授予只读角色,然后添加另一种权限用于将管理员角色授予用户 2。

通过将不同角色分配给不同对象的用户组,您可控制这些用户能够在 vSphere 环境中执行的任务。例如,要允许组配置主机内存,请选择该主机并添加用于向该组授予角色的权限,包括主机.配置.内存配置特权。

有关权限的概念信息,请参见了解对象级别权限模型中的讨论。

可以在不同的层次结构级别为对象分配权限,例如,可以为主机对象或包含所有主机对象的文件夹对象分配权限。请参见vSphere 中的权限层级继承 还可以向全局根对象分配传播权限,以将权限应用于所有解决方案中的所有对象。请参见使用 vCenter Server 全局权限

将权限添加到清单对象

在创建用户和组并定义角色后,必须将用户和组及其角色分配给相关的清单对象。通过将对象移动到文件夹并在文件夹上设置权限,可以同时将相同的传播权限分配给多个对象。

分配权限时,用户和组名称必须与 Active Directory 精确匹配,包括大小写。如果从 vSphere 的早期版本进行升级,则在遇到组问题时,请检查大小写是否不一致。

前提条件

在要修改其权限的对象上,必须具有包含权限.修改权限特权的角色。

过程

  1. vSphere Client 对象导航器中,浏览到要为其分配权限的对象。
  2. 单击权限选项卡。
  3. 单击添加
  4. (可选) 如果为联合身份验证配置了外部身份提供程序,则可以在下拉菜单中选择该身份提供程序的域。
  5. 选择将拥有选定角色所定义的特权的用户或组。
    1. 下拉菜单中,选择用户或组所在域。
    2. 在“搜索”框中输入名称。
      系统将搜索用户名和组名称。
    3. 选择用户或组。
  6. 角色下拉菜单中选择角色。
  7. (可选) 要传播权限,请选中传播到子对象复选框。
    角色将应用于选定对象,并传播到子对象。
  8. 单击确定

更改或移除清单对象的权限

在为清单对象设置用户或组和角色对后,可以更改与用户或组配对的角色或更改传播到子项复选框的设置。还可移除权限设置。

过程

  1. vSphere Client 对象导航器中,浏览到对象。
  2. 单击权限选项卡。
  3. 单击某行以选择权限。
    任务 步骤
    更改权限
    1. 单击编辑
    2. 角色下拉菜单中为用户或组选择一个角色。
    3. 切换传播到子项复选框以更改权限继承。
    4. 单击确定
    移除权限
    1. 单击删除
    2. 单击移除

更改 vCenter Server 用户验证设置

vCenter Server定期根据用户目录中的用户和组验证其用户和组列表。根据验证结果,它会移除该域中不再存在的用户或组。可以停用验证或更改两次验证之间的时间间隔。如果域中有数千个用户或组,或者如果完成搜索需要很长时间,则可以考虑调整搜索设置。

这些设置适用于 vCenter Single Sign-On 标识源,而不是可能与 vCenter Server 关联的外部标识源,例如 Active Directory。

注: 此步骤仅适用于 vCenter Server 用户列表。您无法以相同的方式搜索 ESXi 用户列表。

过程

  1. vSphere Client 对象导航器中,浏览到 vCenter Server 系统。
  2. 选择配置,然后单击设置 > 常规
  3. 单击编辑,然后选择用户目录
  4. 根据需要更改值,然后单击保存
    选项 描述
    用户目录超时 搜索此 vCenter Server 安装的超时时间间隔(以秒为单位)。
    查询限制 启用此选项可设置 vCenter Server 显示的最大用户和组数目。
    查询限制大小 选择用户或组对话框中 vCenter Server 显示所选域中用户和组的最大数目。如果输入 0(零),则所有用户和组均会出现。