Verwenden Sie die empfohlenen Vorgehensweisen für Rollen und Berechtigungen, um die Sicherheit und Verwaltungsfreundlichkeit Ihrer vCenter Server-Umgebung zu maximieren.

VMware empfiehlt die folgenden Vorgehensweisen beim Konfigurieren von Rollen und Berechtigungen in Ihrer vCenter Server-Umgebung:

  • Weisen Sie eine Rolle nach Möglichkeit nicht einzelnen Benutzern, sondern einer Gruppe zu, um dieser Gruppe Rechte zu erteilen.

  • Erteilen Sie Berechtigungen nur für die entsprechenden erforderlichen Objekte und weisen Sie Rechte nur den entsprechenden erforderlichen Benutzern oder Gruppen zu. Die Vergabe von so wenigen Berechtigungen wie möglich erleichtert das Verstehen und Verwalten Ihrer Berechtigungsstruktur.

  • Wenn Sie einer Gruppe eine restriktive Rolle zuweisen, überprüfen Sie, dass die Gruppe weder den Administrator noch Benutzer mit Administratorrechten enthält. Anderenfalls könnten Sie die Rechte eines Administrators in den Teilen der Bestandslistenhierarchie ungewollt einschränken, für die Sie der Gruppe die restriktive Rolle zugewiesen haben.

  • Verwenden Sie Ordner, um Objekte zu gruppieren. Wenn Sie z. B. einer Hostgruppe die Änderungsberechtigung und einer anderen Hostgruppe die Anzeigeberechtigung zuweisen möchten, platzieren Sie die jeweiligen Hostgruppen in einem Ordner.

  • Gehen Sie vorsichtig vor, wenn Sie den vCenter Server-Stammobjekten eine Berechtigung hinzufügen. Benutzer mit Rechten auf der Root-Ebene haben Zugriff auf globale Daten auf vCenter Server, wie z. B. Rollen, benutzerdefinierte Attribute und vCenter Server-Einstellungen.

  • In den meisten Fällen sollten Sie beim Zuweisen von Berechtigungen zu einem Objekt die Weitergabe aktivieren. Dadurch wird sichergestellt, dass neue Objekte beim Einfügen in die Bestandslistenhierarchie die Berechtigungen übernehmen und für Benutzer verfügbar sind.

  • Verwenden Sie die Rolle „Kein Zugriff“, um bestimmte Bereiche der Hierarchie zu maskieren, wenn bestimmte Benutzer oder Gruppen keinen Zugriff auf die Objekte in diesem Bereich der Objekthierarchie erhalten sollen.

  • Änderungen an Lizenzen werden an alle vCenter Server-Systeme weitergegeben, die mit demselben Platform Services Controller oder mit Platform Services Controller-Instanzen in derselben vCenter Single Sign On-Domäne verknüpft sind, und zwar auch dann, wenn der Benutzer nicht über Berechtigungen für alle vCenter Server-Systeme verfügt.