Das Berechtigungsmodell für vCenter Server-Systeme basiert auf der Zuweisung von Berechtigungen zu Objekten in der vSphere-Objekthierarchie. Jede Berechtigung erteilt einem Benutzer oder einer Gruppe eine Reihe von Rechten (d. h. eine Rolle) für das ausgewählte Objekt.

Mit den folgenden Konzepten sollten Sie vertraut sein:

Berechtigungen

Jedem Objekt in der vCenter Server-Objekthierarchie sind Berechtigungen zugeordnet. Jede Berechtigung gibt für eine Gruppe oder einen Benutzer an, über welche Rechte diese Gruppe bzw. dieser Benutzer für das Objekt verfügt.

Benutzer und Gruppen

Auf vCenter Server-Systemen können Sie Rechte nur authentifizierten Benutzern oder Gruppen von authentifizierten Benutzern zuweisen. Die Benutzer werden über vCenter Single Sign On authentifiziert. Die Benutzer und Gruppen müssen in der Identitätsquelle definiert werden, die vCenter Single Sign On für die Authentifizierung verwendet. Definieren Sie Benutzer und Gruppen mithilfe der Tools in Ihrer Identitätsquelle, wie z. B. Active Directory.

Rollen

Rollen ermöglichen die Zuweisung von Berechtigungen zu einem Objekt basierend auf typischen Aufgaben, die Benutzer ausführen. Standardrollen, wie z. B. Administrator, sind in vCenter Server vordefiniert und können nicht geändert werden. Andere Rollen, wie z. B. Ressourcenpool-Administrator, sind vordefinierte Beispielrollen. Sie können benutzerdefinierte Rollen entweder von Grund auf neu oder aber durch Klonen und Ändern von Beispielrollen erstellen.

Rechte

Rechte sind detaillierte Zugriffssteuerungsoptionen. Sie können diese Rechte nach Rollen gruppieren, die Sie dann Benutzern oder Gruppen zuordnen können.

Abbildung 1. vSphere-Berechtigungen
Mehrere Rechte werden zu einer Rolle zusammengefasst. Die Rolle wird Benutzern oder Gruppen zugewiesen.

Führen Sie die folgenden Schritte aus, um einem Objekt Berechtigungen zuzuweisen:

  1. Wählen Sie das Objekt in der vCenter-Objekthierarchie aus, auf die Sie die Berechtigung anwenden möchten.

  2. Wählen Sie die Gruppe oder den Benutzer aus, für die bzw. den Sie Rechte für das Objekt erteilen möchten.

  3. Wählen Sie die Rolle (d. h. die Gruppe von Rechten) aus, die Sie der Gruppe oder Benutzer für das Objekt erteilen möchten. Berechtigungen werden standardmäßig weitergegeben, d. h., die Gruppe oder der Benutzer verfügt über die ausgewählte Rolle für das ausgewählte Objekt und dessen untergeordnete Objekte.

Das Berechtigungsmodell vereinfacht und beschleunigt das Arbeiten mithilfe vordefinierter Rollen. Sie können auch Rechte zusammenfassen, um benutzerdefinierte Rollen zu erstellen. In Definierte Rechte finden Sie Informationen zu allen Rechten und zu den Objekten, auf die Sie die Rechte anwenden können. Unter Erforderliche Berechtigungen für allgemeine Aufgaben finden Sie Beispiele zu den Rechten, die Sie zum Ausführen dieser Aufgaben benötigen.

In vielen Fällen müssen Berechtigungen sowohl für ein Quellobjekt als auch für ein Zielobjekt definiert werden. Wenn Sie beispielswiese eine virtuelle Maschine verschieben, benötigen Sie Rechte für diese virtuelle Maschine, aber auch Rechte für das Zieldatencenter.

Das Berechtigungsmodell für eigenständige ESXi-Hosts ist einfacher. Siehe Zuweisen der Berechtigungen für ESXi.

vCenter Server-Benutzervalidierung

vCenter Server-Systeme, die einen Verzeichnisdienst verwenden, validieren Benutzer und Gruppen regelmäßig anhand der Verzeichnisdomäne des Benutzers. Die Validierung wird in regelmäßigen Zeitabständen durchgeführt, die in den vCenter Server-Einstellungen angegeben sind. Wenn beispielsweise dem Benutzer „Schmidt“ eine Rolle für mehrere Objekte zugewiesen wurde und der Benutzername in der Domäne in „Schmidt2“ geändert wird, schließt der Host daraus, dass der Benutzer „Schmidt“ nicht mehr vorhanden ist, und entfernt die Berechtigungen für diesen Benutzer bei der nächsten Validierung aus den vSphere-Objekten.

Wenn der Benutzer „Schmidt“ aus der Domäne entfernt wird, werden ebenfalls alle Berechtigungen für diesen Benutzer bei der nächsten Validierung entfernt. Wenn ein neuer Benutzer „Schmidt“ vor der nächsten Validierung zur Domäne hinzugefügt wird, ersetzt der neue Benutzer in den Berechtigungen für alle Objekte den alten Benutzer.