操作在已部署目录项上运行。已置备目录项以及您授权在其上运行的操作会显示在“项目”选项卡中。要在已部署项目上运行操作,该操作必须包含在与通过服务目录置备项目的目录项相同的授权中。

例如,授权 1 包括 vSphere 虚拟机和“创建快照”操作,授权 2 仅包括 vSphere 虚拟机。通过授权 1 部署 vSphere 计算机时,“创建快照”操作可用。通过授权 2 部署 vSphere 计算机时,没有任何操作。要将该操作提供给授权 2 用户,请将“创建快照”操作添加到授权 2。

如果选择的操作不适用于授权中的任何目录项,则它不会以操作的形式出现在“项目”选项卡中。例如,授权包括 vSphere 计算机,并且您为云计算机授权销毁操作。销毁操作不适用于在已置备的计算机上运行。

您可以对操作应用另一批准策略,这种策略与应用到授权中目录项的策略不同。

如果服务目录用户是多个业务组的成员,且某一组仅有权打开电源和关闭电源,而另一个组仅有权进行销毁,则对于适用的置备计算机,该用户将使所有这三个操作可供这些业务组使用。

向用户授权操作的最佳做法

蓝图比较复杂。当授权在已置备蓝图上运行操作时,可能会导致出现意外行为。授权服务目录用户在已置备的项目上运行操作时,请遵循以下最佳做法。

  • 将“销毁计算机”操作授权给用户时,便会授权他们“销毁部署”。已置备的蓝图是一个部署。

    部署可以包含计算机。如果服务目录用户有权运行“销毁计算机”操作、但无权运行“销毁部署”,则当用户在部署中的最后一个或唯一一个计算机上运行“销毁计算机”操作时,将显示一条消息,指出他们无权运行该操作。同时授权这两个操作可确保从环境中移除该部署。要管理“销毁部署”操作的管治情况,您可以创建预批准策略并将其应用于该操作。此策略将允许指定的审批者在运行“销毁部署”请求之前验证该请求。

  • 将“更改租约”、“更改所有者”、“过期”、“重新配置”以及其他可应用于计算机和部署的操作授权给服务目录用户时,即向他们授权这两个操作。