可将用户帐户分配到一个或多个用户组,然后将角色和对象分配到该帐户,从而指定用户可以执行的操作以及可对哪些对象执行操作。仅为必须访问对象并在整个环境中执行操作的特定用户分配管理员角色。

为用户帐户分配组、角色和对象的位置

可以通过选择系统管理 > 访问控制,然后在“用户帐户”工具栏上单击添加图标,来向用户帐户分配组、角色和对象。可以通过选择用户帐户并单击编辑图标,来编辑帐户。

表 1. 访问控制:添加或编辑用户工作区 - 分配组和权限页面

分配组、角色和对象选项

描述

选择或取消选择与用户帐户相关联的组。要选择或取消选择所有帐户,请单击组名称复选框。您无法将用户帐户添加到从 LDAP 数据库导入的组。

对象

角色确定用户可以在系统中执行的操作。从选择角色下拉菜单中选择角色,然后选中将此角色分配给该用户复选框。可以将多个角色与用户帐户关联。

选择用户在分配有此角色时可以访问的对象。

  • 选择对象层次结构:显示对象的组。在此列表中选择一个对象可选择层次结构中的所有对象。

  • 选择对象:要在对象层次结构中选择特定对象,请单击向下箭头以展开对象的列表。例如,展开“适配器实例”层次结构,然后选择一个或多个适配器。

  • 允许访问系统中的所有对象:选择此复选框可允许用户帐户访问系统中的所有对象。

注:

当您为某个用户分配对某个父对象(例如适配器)执行操作的权限时,该用户可以对该父对象的所有子对象执行同样的操作。例如,如果某个用户有权访问 vRealize Operations Manager 适配器,该用户可以访问与该适配器关联的所有虚拟机。即使该用户同时拥有另一个角色,仅限于访问某台特定虚拟机,也是如此。