vCenter Server 对象层次结构中的对象上设置权限。每种权限与包含用户或组的对象以及该组或用户的访问角色相关联。例如,您可以选择一个虚拟机对象,添加一种权限用于向组 1 授予只读角色,然后添加另一种权限用于将管理员角色授予用户 2。

通过将不同角色分配给不同对象的用户组,您可控制这些用户能够在 vSphere 环境中执行的任务。例如,要允许组配置主机内存,请选择该主机并添加用于向该组授予角色的权限,包括主机.配置.内存配置特权。

有关权限的概念信息,请参见了解对象级别权限模型中的讨论。

可以在不同的层次结构级别为对象分配权限,例如,可以为主机对象或包含所有主机对象的文件夹对象分配权限。请参见vSphere 中的权限层级继承 还可以向全局根对象分配传播权限,以将权限应用于所有解决方案中的所有对象。请参见使用 vCenter Server 全局权限

将权限添加到清单对象

在创建用户和组并定义角色后,必须将用户和组及其角色分配给相关的清单对象。通过将对象移动到文件夹并在文件夹上设置权限,可以同时将相同的传播权限分配给多个对象。

分配权限时,用户和组名称必须与 Active Directory 精确匹配,包括大小写。如果从 vSphere 的早期版本进行升级,则在遇到组问题时,请检查大小写是否不一致。

前提条件

在要修改其权限的对象上,必须具有包含权限.修改权限特权的角色。

过程

  1. vSphere Client 对象导航器中,浏览到要为其分配权限的对象。
  2. 单击权限选项卡。
  3. 单击添加
  4. (可选) 如果为联合身份验证配置了外部身份提供程序,则可以在下拉菜单中选择该身份提供程序的域。
  5. 如果从下拉菜单中选择 VMware ID,请输入用户名或组名称。
    注:

    用户名字段中输入 CSP 帐户的电子邮件地址。无法在 VMwareID 域中搜索 CSP 帐户。

  6. 选择将拥有选定角色所定义的特权的用户或组。
    1. 下拉菜单中,选择用户或组所在域。
    2. 在“搜索”框中输入名称。
      系统将搜索用户名和组名称。
    3. 选择用户或组。
  7. 角色下拉菜单中选择角色。
  8. (可选) 要传播权限,请选中传播到子对象复选框。
    角色将应用于选定对象,并传播到子对象。
  9. 单击确定

更改或移除清单对象的权限

在为清单对象设置用户或组和角色对后,可以更改与用户或组配对的角色或更改传播到子项复选框的设置。还可移除权限设置。

过程

  1. vSphere Client 对象导航器中,浏览到对象。
  2. 单击权限选项卡。
  3. 单击某行以选择权限。
    任务 步骤
    更改权限
    1. 单击编辑
    2. 角色下拉菜单中为用户或组选择一个角色。
    3. 切换传播到子项复选框以更改权限继承。
    4. 单击确定
    移除权限
    1. 单击删除
    2. 单击移除

更改 vCenter Server 用户验证设置

vCenter Server定期根据用户目录中的用户和组验证其用户和组列表。根据验证结果,它会移除该域中不再存在的用户或组。可以停用验证或更改两次验证之间的时间间隔。如果域中有数千个用户或组,或者如果完成搜索需要很长时间,则可以考虑调整搜索设置。

这些设置适用于 vCenter Single Sign-On 标识源,而不是可能与 vCenter Server 关联的外部标识源,例如 Active Directory。

注: 此步骤仅适用于 vCenter Server 用户列表。您无法以相同的方式搜索 ESXi 用户列表。

过程

  1. vSphere Client 对象导航器中,浏览到 vCenter Server 系统。
  2. 选择配置,然后单击设置 > 常规
  3. 单击编辑,然后选择用户目录
  4. 根据需要更改值,然后单击保存
    选项 描述
    用户目录超时 搜索此 vCenter Server 安装的超时时间间隔(以秒为单位)。
    查询限制 启用此选项可设置 vCenter Server 显示的最大用户和组数目。
    查询限制大小 选择用户或组对话框中 vCenter Server 显示所选域中用户和组的最大数目。如果输入 0(零),则所有用户和组均会出现。