Verwenden Sie die empfohlenen Vorgehensweisen für Rollen und Berechtigungen, um die Sicherheit und Verwaltungsfreundlichkeit Ihrer vCenter Server-Umgebung zu maximieren.

VMware empfiehlt die folgenden Vorgehensweisen beim Konfigurieren von Rollen und Berechtigungen in Ihrer vCenter Server-Umgebung:

  • Weisen Sie Berechtigungen nach Möglichkeit Gruppen anstatt individuellen Benutzern zu.

  • Weisen Sie Berechtigungen nur nach Bedarf zu. Die Vergabe von so wenigen Berechtigungen wie möglich erleichtert das Verstehen und Verwalten Ihrer Berechtigungsstruktur.

  • Wenn Sie einer Gruppe eine restriktive Rolle zuweisen, überprüfen Sie, dass die Gruppe weder den Administrator noch Benutzer mit Administratorrechten enthält. Anderenfalls könnten Sie die Rechte eines Administrators in den Teilen der Bestandslistenhierarchie ungewollt einschränken, für die Sie der Gruppe die restriktive Rolle zugewiesen haben.

  • Verwenden Sie Ordner, um Objekte zu gruppieren. Wenn Sie z. B. einer Gruppe von Benutzern Änderungsberechtigungen für einen Satz Hosts und Anzeigeberechtigungen für einen anderen Satz Hosts zuweisen möchten, platzieren Sie die jeweiligen Hosts in einem Ordner.

  • Gehen Sie vorsichtig vor, wenn Sie eine Berechtigung für vCenter Server auf der Root-Ebene erteilen möchten. Benutzer mit Berechtigungen auf der Root-Ebene haben Zugriff auf globale Daten auf vCenter Server, wie z. B. Rollen, benutzerdefinierte Attribute, Einstellungen von vCenter Server und Lizenzen. Änderungen an Lizenzen und Rollen werden an alle vCenter Server-Systeme einer Gruppe im verknüpften Modus weitergegeben, und zwar auch dann, wenn der Benutzer nicht über Berechtigungen für alle vCenter Server-Systeme in der Gruppe verfügt.

  • Aktivieren Sie in der Regel die Weitergabe von Berechtigungen. Dadurch wird sichergestellt, dass neue Objekte beim Einfügen in die Bestandslistenhierarchie die Berechtigungen übernehmen und für Benutzer verfügbar sind.

  • Verwenden Sie die Rolle „Kein Zugriff“, um bestimmte Bereiche der Hierarchie zu maskieren, wenn bestimmte Benutzer oder Gruppen keinen Zugriff darauf erhalten sollen.