vCenter Server 中,全局权限应用到跨多个 VMware 解决方案的全局根对象。在内部部署 SDDC 中,全局权限可能同时跨 vCenter ServerVMware Aria Automation Orchestrator。但是,对于任何 vSphere SDDC,全局权限将应用于全局对象,如标记和内容库。

您可以向用户或组分配全局权限,确定每个用户或组的角色。角色确定用户或组针对层次结构中所有对象所具有的一组特权。您可以分配预定义角色,也可以创建自定义角色。请参见使用 vCenter Server 角色分配特权

重要的是对 vCenter Server 权限与全局权限加以区分。

表 1. vCenter Server 权限与全局权限之间的差异
权限类型 描述
vCenter Server vCenter Server 权限适用于清单层次结构中的特定对象,如主机、虚拟机、数据存储等。分配 vCenter Server 权限时,指定拥有对象角色(特权集)的用户或组。
全局 全局权限向用户和组提供查看或管理部署的每个清单层次结构中所有对象的特权。全局权限还将应用于全局对象,如标记和内容库。请参见标记对象的 vCenter Server 权限

如果分配了全局权限但未选择“传播”,则与此权限关联的用户或组无法访问层次结构中的对象。这些用户和组仅拥有某些功能的访问权限,如创建角色。

添加全局权限

可以使用全局权限向用户或组授予对您的部署中所有清单层次结构中的所有对象的特权。

重要说明: 使用全局权限时要小心谨慎。确认您确实希望分配对所有清单层次结构中所有对象的权限。

前提条件

您必须对所有清单层次结构的根对象具有权限.修改权限特权,才能执行此任务。

过程

  1. 使用 vSphere Client 登录 vCenter Server
  2. 选择系统管理,然后在“访问控制”区域中单击全局权限
  3. 权限提供程序下拉菜单中选择域。
  4. (可选) 如果为联合身份验证配置了外部身份提供程序,则可以在下拉菜单中选择该身份提供程序的域。
  5. 单击添加
  6. 选择将拥有选定角色所定义的特权的用户或组。
    1. 下拉菜单中,选择用户或组所在域。
    2. 在“搜索”框中输入名称。
      系统将搜索用户名和组名称。
    3. 选择用户或组。
  7. 角色下拉菜单中选择角色。
  8. 通过选中传播到子对象复选框,决定是否传播权限。
    如果分配了全局权限但未选中 传播到子对象,则与此权限关联的用户或组无法访问层次结构中的对象。这些用户和组仅拥有某些功能的访问权限,如创建角色。
  9. 单击确定

标记对象的 vCenter Server 权限

vCenter Server 对象层次结构中,标记对象不是 vCenter Server 的子项,而是在 vCenter Server 顶层创建的。在具有多个 vCenter Server 实例的环境中,标记对象在 vCenter Server 实例间共享。标记对象权限的工作方式不同于 vCenter Server 对象层次结构中其他对象的权限。

只有全局权限或分配给标记对象的权限适用

如果将权限授予 vCenter Server 清单对象(例如虚拟机)上的某个用户,则该用户可以执行与该权限相关的任务。但是,用户无法对对象执行标记操作。

例如,如果将 分配 vSphere 标记特权授予主机 TPA 上的用户 Dana,该权限对 Dana 能否在主机 TPA 上分配标记没有影响。Dana 必须拥有顶层的 分配 vSphere 标记特权(即全局权限)或者必须拥有针对该标记对象的特权。
表 2. 全局权限和标记对象权限如何影响用户可以执行的操作
全局权限 标记级别的权限 vCenter Server 对象级别的权限 有效权限
未分配标记特权。 Dana 拥有标记的分配或取消分配 vSphere 标记特权。 Dana 在 ESXi 主机 TPA 上拥有删除 vSphere 标记特权。 Dana 拥有标记的分配或取消分配 vSphere 标记特权。
Dana 拥有分配或取消分配 vSphere 标记特权。 未分配标记特权。 Dana 在 ESXi 主机 TPA 上拥有删除 vSphere 标记特权。 Dana 拥有分配或取消分配 vSphere 标记全局特权。这包括标记级别的特权。
未分配标记特权。 未分配标记特权。 Dana 在 ESXi 主机 TPA 上拥有分配或取消分配 vSphere 标记特权。 Dana 在任何对象(包括主机 TPA)上均没有标记特权。

全局权限是标记对象权限的补充

全局权限,即在顶层对象上分配的权限,可在标记对象权限更为严格时作为标记对象权限的补充。vCenter Server 权限不会影响标记对象。

例如,假设您在顶层使用全局权限向用户 Robin 分配了删除 vSphere 标记特权。对于标记“生产”,您未向 Robin 分配删除 vSphere 标记特权。这种情况下,Robin 对标记“生产”拥有特权,因为 Robin 拥有全局权限,而全局权限可从顶层传播。除非修改全局权限,否则您无法限制特权。

表 3. 全局权限是标记级别权限的补充
全局权限 标记级别的权限 有效权限
Robin 拥有删除 vSphere 标记特权 Robin 没有标记的删除 vSphere 标记特权。 Robin 拥有删除 vSphere 标记特权。
未分配标记特权 Robin 没有针对标记分配的删除 vSphere 标记特权。 Robin 没有删除 vSphere 标记特权

标记级别权限可以扩展全局权限

可以使用标记级别权限扩展全局权限。这意味着用户可以同时对标记拥有全局权限和标记级别权限。

注: 此行为与继承 vCenter Server 特权的方式不同。在 vCenter Server 中,为子对象定义的权限将总是替代从父对象中传播的权限。
表 4. 全局权限可以扩展标记级别权限
全局权限 标记级别的权限 有效权限
Lee 拥有分配或取消分配 vSphere 标记特权。 Lee 拥有删除 vSphere 标记特权。 Lee 拥有标记的分配 vSphere 标记特权和删除 vSphere 标记特权。
未分配标记特权。 Lee 拥有针对标记分配的删除 vSphere 标记特权。 Lee 拥有标记的删除 vSphere 标记特权。