许多任务需要对 vSphere 清单中多个对象的权限。如果尝试执行任务的用户仅具有一个对象的特权,则无法成功完成该任务。

下表列出了需要多个特权的常见任务。您可以通过将用户与某个预定义的角色或多个特权进行配对,为清单对象添加权限。如果希望必须多次分配一组特权,请创建自定义角色。要了解有关常见任务所需特权的更多信息,请参见特权记录器

请参阅《vSphere Web Services API 参考》,以了解 vSphere Client 用户界面中的操作如何映射到 API 调用,以及执行操作需要哪些特权。例如,AddHost_Task(addHost) 方法对应的 API 文档规定,向集群添加主机需要拥有 Host.Inventory.AddHostToCluster 特权。

如果要执行的任务不在此表中,以下规则说明了必须将权限分配到的位置以允许执行特定操作:

  • 消耗存储空间的任何操作都需要目标数据存储的数据存储.分配空间特权以及用于执行该操作本身的特权。例如,当创建虚拟磁盘或创建快照时,必须具有这些特权。
  • 在清单层次结构中移动对象需要对象自身、源父对象(如文件夹或集群)和目标父对象上的适当特权。
  • 每个主机和集群有其自身的固有资源池,其中包含该主机或集群的所有资源。将虚拟机直接部署到主机或集群需要资源.将虚拟机分配给资源池特权。
表 1. 常见任务的所需特权
任务 所需特权 适用角色
创建虚拟机 在目标文件夹或数据中心上:
  • 虚拟机.编辑清单.新建
  • 虚拟机.更改配置.添加新磁盘(如果要创建新虚拟磁盘)
  • 虚拟机.更改配置.添加现有磁盘(如果使用现有虚拟磁盘)
  • 虚拟机.配置.配置裸设备(如果使用 RDM 或 SCSI 直通设备)
管理员
在目标主机、集群或资源池上:

资源.将虚拟机分配给资源池

资源池管理员或管理员
在目标数据存储或包含数据存储的文件夹上:

数据存储.分配空间

数据存储用户或管理员
在虚拟机将分配到的网络上:

网络.分配网络

网络用户或管理员
打开虚拟机电源 在其中部署虚拟机的数据中心上:

虚拟机.交互.打开电源

虚拟机超级用户或管理员
在虚拟机或虚拟机的文件夹上:

虚拟机.交互.打开电源

从模板部署虚拟机 在目标文件夹或数据中心上:
  • 虚拟机.编辑清单.从现有清单创建
  • 虚拟机.更改配置.添加新磁盘
管理员
在模板或模板的文件夹上:

虚拟机.置备.部署模板

管理员
在目标主机、集群或资源池上:
  • 资源.将虚拟机分配给资源池
  • vApp.导入
管理员
在目标数据存储或数据存储的文件夹上:

数据存储.分配空间

数据存储用户或管理员
在虚拟机将分配到的网络上:

网络.分配网络

网络用户或管理员
生成虚拟机快照 在虚拟机或虚拟机的文件夹上:

虚拟机.快照管理.创建快照

虚拟机超级用户或管理员
将虚拟机移动到资源池中 在虚拟机或虚拟机的文件夹上:
  • 资源.将虚拟机分配给资源池
  • 虚拟机.编辑清单.移动
管理员
在目标资源池上:

资源.将虚拟机分配给资源池

管理员
在虚拟机上安装客户机操作系统 在虚拟机或虚拟机的文件夹上:
  • 虚拟机.交互.回答问题
  • 虚拟机.交互.控制台交互
  • 虚拟机.交互.设备连接
  • 虚拟机.交互.关闭电源
  • 虚拟机.交互.打开电源
  • 虚拟机.交互.重置
  • 虚拟机.交互.配置 CD 介质(如果从 CD 安装)
  • 虚拟机.交互.配置软盘介质(如果从软盘安装)
  • 虚拟机.交互.VMware Tools 安装
虚拟机超级用户或管理员
在包含安装媒体 ISO 映像的数据存储上:

数据存储.浏览数据存储(如果从数据存储上的 ISO 映像安装)

在向其上载安装介质 ISO 映像的数据存储上:

  • 数据存储.浏览数据存储
  • 数据存储.低级别文件操作
虚拟机超级用户或管理员
通过 vMotion 迁移虚拟机 在虚拟机或虚拟机的文件夹上:
  • 资源.迁移已打开电源的虚拟机
  • 资源.将虚拟机分配给资源池(如果目标资源池与源资源池不同)
资源池管理员或管理员
在目标主机、集群或资源池上(如果与源主机、集群或资源池不同):

资源.将虚拟机分配给资源池

资源池管理员或管理员
冷迁移(重定位)虚拟机 在虚拟机或虚拟机的文件夹上:
  • 资源.迁移已关闭电源的虚拟机
  • 资源.将虚拟机分配给资源池(如果目标资源池与源资源池不同)
资源池管理员或管理员

在目标主机、集群或资源池上(如果与源主机、集群或资源池不同):

资源.将虚拟机分配给资源池

资源池管理员或管理员
在目标数据存储上(如果与源数据存储不同):

数据存储.分配空间

数据存储用户或管理员
通过 Storage vMotion 迁移虚拟机 在虚拟机或虚拟机的文件夹上:

资源.迁移已打开电源的虚拟机

资源池管理员或管理员
在目标数据存储上:

数据存储.分配空间

数据存储用户或管理员
将主机移动到集群 在主机上:

主机.清单.将主机添加到集群

管理员
在目标集群上:
  • 主机.清单.将主机添加到集群
  • 主机.清单.修改集群
管理员
使用 vSphere Client 将单个主机添加到数据中心,或者使用 PowerCLI 或 API(利用 addHost API)将单个主机添加到集群 在主机上:

主机.清单.将主机添加到集群

管理员
在集群上:
  • 主机.清单.修改集群
  • 主机.清单.将主机添加到集群
管理员
在数据中心上:

主机.清单.添加独立主机

管理员
将多个主机添加到集群 在集群上:
  • 主机.清单.修改集群
  • 主机.清单.将主机添加到集群
管理员
在集群的父数据中心(具有传播权限)上:
  • 主机.清单.添加独立主机
  • 主机.清单.移动主机
  • 主机.清单.修改集群
  • 主机.配置.维护
管理员
加密虚拟机

只有在包含 vCenter Server 的环境中才能执行加密任务。此外,ESXi 主机必须为大多数加密任务启用加密模式。执行任务的用户必须拥有相应的特权。一组加密操作特权可实现精细控制。请参见虚拟机加密任务的必备条件和必需特权

管理员
保护虚拟机(如果使用 vSphere+ 保护虚拟机) 在其中部署虚拟机的数据中心上:
  • vSphere 标记.分配或取消分配 vSphere 标记
管理员