Standardmäßig kann ein Benutzer mit vCenter Server-Administratorrolle mit Dateien und Programmen innerhalb des Gastbetriebssystems einer virtuellen Maschine interagieren. Erstellen Sie eine Rolle ohne das Recht Gastvorgänge, um das Sicherheitsrisiko für die Vertraulichkeit, Verfügbarkeit und Integrität des Gastbetriebssystems zu verringern.

Vorbereitungen

Stellen Sie sicher, dass Sie im vCenter Server-System, auf dem Sie die Rolle erstellen, über das Administrator-Recht verfügen.

Warum und wann dieser Vorgang ausgeführt wird

Seien Sie beim Zulassen des Zugriffs auf das virtuelle Datencenter aus Sicherheitsgründen so restriktiv wie beim physischen Datencenter. Um Benutzern nicht den vollen Administratorzugriff gewähren zu müssen, erstellen Sie eine benutzerdefinierte Rolle, die den Gastzugriff deaktiviert, und wenden Sie diese Rolle auf Benutzer an, die Administratorrechte benötigen, aber nicht zur Interaktion mit Dateien und Programmen innerhalb eines Gastbetriebssystems autorisiert sind.

Beispielsweise könnte eine Konfiguration eine virtuelle Maschine in der Infrastruktur mit vertraulichen Daten enthalten. Für Aufgaben wie die Migration mit vMotion und Storage vMotion muss die IT-Rolle Zugriff auf die virtuelle Maschine haben. Deaktivieren Sie in diesem Fall einige Remotevorgänge innerhalb eines Gastbetriebssystems, um sicherzustellen, dass mit der IT-Rolle kein Zugriff auf die vertraulichen Daten möglich ist.

Prozedur

  1. Melden Sie sich beim vSphere Web Client als Benutzer an, der über Administrator-Rechte in dem vCenter Server-System verfügt, in dem Sie die Rolle erstellen möchten.
  2. Klicken Sie auf Verwaltung und wählen Sie Rollen aus.
  3. Klicken Sie auf das Symbol Rollenaktion erstellen und geben Sie einen Namen für die Rolle ein.

    Geben Sie beispielsweise Administrator ohne Gastzugriff ein.

  4. Wählen Sie Alle Rechte aus.
  5. Deaktivieren Sie Alle Rechte > Virtuelle Maschine > Gastvorgänge, um die Gastvorgangsrechte zu entfernen.
  6. Klicken Sie auf OK.

Nächste Maßnahme

Wählen Sie das vCenter Server-System oder den Host aus und weisen Sie eine Berechtigung zu, die den Benutzer bzw. die Gruppe, der/die über die neuen Berechtigungen verfügen soll, mit der neu erstellten Rolle verknüpft. Entfernen Sie diese Benutzer von der Standardadministratorrolle.