许多任务需要对 vSphere 清单中多个对象的权限。如果尝试执行任务的用户仅具有一个对象的特权,则无法成功完成该任务。
下表列出了需要多个特权的常见任务。您可以通过将用户与某个预定义的角色或多个特权进行配对,为清单对象添加权限。如果希望必须多次分配一组特权,请创建自定义角色。要了解有关常见任务所需特权的更多信息,请参见特权记录器。
请参阅《vSphere Web Services API 参考》,以了解 vSphere Client 用户界面中的操作如何映射到 API 调用,以及执行操作需要哪些特权。例如,AddHost_Task(addHost) 方法对应的 API 文档规定,向集群添加主机需要拥有 Host.Inventory.AddHostToCluster 特权。
如果要执行的任务不在此表中,以下规则说明了必须将权限分配到的位置以允许执行特定操作:
- 消耗存储空间的任何操作都需要目标数据存储的 特权以及用于执行该操作本身的特权。例如,当创建虚拟磁盘或创建快照时,必须具有这些特权。
- 在清单层次结构中移动对象需要对象自身、源父对象(如文件夹或集群)和目标父对象上的适当特权。
- 每个主机和集群有其自身的固有资源池,其中包含该主机或集群的所有资源。将虚拟机直接部署到主机或集群需要 特权。
任务 | 所需特权 | 适用角色 |
---|---|---|
创建虚拟机 | 在目标文件夹或数据中心上:
|
管理员 |
在目标主机、集群或资源池上:
|
资源池管理员或管理员 | |
在目标数据存储或包含数据存储的文件夹上:
|
数据存储用户或管理员 | |
在虚拟机将分配到的网络上:
|
网络用户或管理员 | |
打开虚拟机电源 | 在其中部署虚拟机的数据中心上:
|
虚拟机超级用户或管理员 |
在虚拟机或虚拟机的文件夹上:
|
||
从模板部署虚拟机 | 在目标文件夹或数据中心上:
|
管理员 |
在模板或模板的文件夹上:
|
管理员 | |
在目标主机、集群或资源池上:
|
管理员 | |
在目标数据存储或数据存储的文件夹上:
|
数据存储用户或管理员 | |
在虚拟机将分配到的网络上:
|
网络用户或管理员 | |
生成虚拟机快照 | 在虚拟机或虚拟机的文件夹上:
|
虚拟机超级用户或管理员 |
将虚拟机移动到资源池中 | 在虚拟机或虚拟机的文件夹上:
|
管理员 |
在目标资源池上:
|
管理员 | |
在虚拟机上安装客户机操作系统 | 在虚拟机或虚拟机的文件夹上:
|
虚拟机超级用户或管理员 |
在包含安装媒体 ISO 映像的数据存储上: (如果从数据存储上的 ISO 映像安装) 在向其上载安装介质 ISO 映像的数据存储上: |
虚拟机超级用户或管理员 | |
通过 vMotion 迁移虚拟机 | 在虚拟机或虚拟机的文件夹上:
|
资源池管理员或管理员 |
在目标主机、集群或资源池上(如果与源主机、集群或资源池不同):
|
资源池管理员或管理员 | |
冷迁移(重定位)虚拟机 | 在虚拟机或虚拟机的文件夹上:
|
资源池管理员或管理员 |
在目标主机、集群或资源池上(如果与源主机、集群或资源池不同):
|
资源池管理员或管理员 | |
在目标数据存储上(如果与源数据存储不同):
|
数据存储用户或管理员 | |
通过 Storage vMotion 迁移虚拟机 | 在虚拟机或虚拟机的文件夹上:
|
资源池管理员或管理员 |
在目标数据存储上:
|
数据存储用户或管理员 | |
将主机移动到集群 | 在主机上:
|
管理员 |
在目标集群上:
|
管理员 | |
使用 vSphere Client 将单个主机添加到数据中心,或者使用 PowerCLI 或 API(利用 addHost API)将单个主机添加到集群 | 在主机上: |
管理员 |
在集群上:
|
管理员 | |
在数据中心上: |
管理员 | |
将多个主机添加到集群 | 在集群上:
|
管理员 |
在集群的父数据中心(具有传播权限)上:
|
管理员 | |
加密虚拟机 | 只有在包含 vCenter Server 的环境中才能执行加密任务。此外,ESXi 主机必须为大多数加密任务启用加密模式。执行任务的用户必须拥有相应的特权。一组加密操作特权可实现精细控制。请参见虚拟机加密任务的必备条件和必需特权。 |
管理员 |
保护虚拟机(如果使用 vSphere+ 保护虚拟机) | 在其中部署虚拟机的数据中心上:
|
管理员 |