In der Objekthierarchie von vCenter Server sind Tag-Objekte keine untergeordneten Objekte von vCenter Server, sondern werden auf der Root-Ebene von vCenter Server erstellt. In Umgebungen mit mehreren vCenter Server-Instanzen werden Tag-Objekte von vCenter Server-Instanzen gemeinsam genutzt. Die Berechtigungen für Tag-Objekte unterscheiden sich von Berechtigungen für andere Objekte in der Objekthierarchie von vCenter Server.

Nur globale Berechtigungen oder dem Tag-Objekt zugewiesene Berechtigungen werden angewendet

Wenn Sie einem Benutzer in einem vCenter Server-Bestandslistenobjekt Berechtigungen erteilen, beispielsweise einem ESXi-Host oder einer virtuellen Maschine, kann dieser Benutzer keine Tag-Vorgänge für dieses Objekt ausführen.

Wenn Sie beispielsweise das Recht vSphere-Tag zuweisen der Benutzerin Dana auf dem Host TPA gewähren, hat diese Berechtigung keine Auswirkungen darauf, ob Dana Tags auf dem Host TPA zuweisen kann. Dana benötigt das Recht vSphere-Tag zuweisen auf der Root-Ebene, d. h. eine globale Berechtigung, oder sie benötigt das Recht für das Tag-Objekt.

Tabelle 1. Festlegung der durch Benutzer ausführbaren Aktionen mittels globaler Berechtigungen und Berechtigungen für Tag-Objekte

Globale Berechtigung

Berechtigung auf Tag-Ebene

vCenter Server-Berechtigung auf Objektebene

Effektive Berechtigung

Es sind keine Tag-Berechtigungen zugewiesen.

Dana verfügt über das Recht vSphere-Tag zuweisen oder Zuweisung aufheben für das Tag.

Dana verfügt über das Recht vSphere-Tag löschen für ESXi-Host TPA.

Dana verfügt über das Recht vSphere-Tag zuweisen oder Zuweisung aufheben für das Tag.

Dana verfügt über das Recht vSphere-Tag zuweisen oder Zuweisung aufheben.

Für das Tag sind keine Rechte zugewiesen.

Dana verfügt über das Recht vSphere-Tag löschen für ESXi-Host TPA.

Dana verfügt über das globale Recht vSphere-Tag zuweisen oder Zuweisung aufheben. Dies beinhaltet Rechte auf der Tag-Ebene.

Es sind keine Tag-Berechtigungen zugewiesen.

Für das Tag sind keine Rechte zugewiesen.

Dana verfügt über das Recht vSphere-Tag zuweisen oder Zuweisung aufheben auf dem ESXi-Host TPA.

Dana verfügt über keine Tag-Berechtigungen für Objekte, einschließlich Host-TPA.

Globale Berechtigungen ergänzen Berechtigungen für Tag-Objekte

Globale Berechtigungen, also für dasRoot-Objekt zugewiesene Berechtigungen, ergänzen die Berechtigungen für Tag-Objekte, wenn die Berechtigungen für die Tag-Objekte restriktiver sind. Die vCenter Server-Berechtigungen haben keine Auswirkungen auf die Tag-Objekte.

Angenommen, Sie weisen das Recht vSphere-Tag löschen dem Benutzer Robin auf der Root-Ebene zu, d. h. mithilfe von globalen Berechtigungen. Für das Tag „Production“ weisen Sie dem Benutzer Robin nicht das Recht vSphere-Tag löschen zu. In diesem Fall verfügt Robin selbst für das Tag „Production“ über dieses Recht, da Robin über die globale Berechtigung verfügt. Berechtigungen können Sie nur beschränken, indem Sie die globale Berechtigung ändern.

Tabelle 2. Globale Berechtigungen ergänzen Berechtigungen auf Tag-Ebene

Globale Berechtigung

Berechtigung auf Tag-Ebene

Effektive Berechtigung

Robin verfügt über das Recht vSphere-Tag löschen.

Robin verfügt nicht über das Recht vSphere-Tag löschen für das Tag.

Robin verfügt über das Recht vSphere-Tag löschen.

Es sind keine Tag-Berechtigungen zugewiesen.

Robin ist das Recht vSphere-Tag löschen nicht für das Tag zugewiesen.

Robin verfügt nicht über das Recht vSphere-Tag löschen.

Berechtigungen auf Tag-Ebene können globale Berechtigungen erweitern

Mithilfe von Berechtigungen auf Tag-Ebene können Sie globale Berechtigungen erweitern. Dies bedeutet, dass Benutzer sowohl über eine globale Berechtigung als auch über eine Berechtigung auf Tag-Ebene für ein Tag verfügen können.

Tabelle 3. Globale Berechtigungen erweitern Berechtigungen auf Tag-Ebene

Globale Berechtigung

Berechtigung auf Tag-Ebene

Effektive Berechtigung

Lee verfügt über das Recht vSphere-Tag zuweisen oder Zuweisung aufheben.

Lee verfügt über das Recht vSphere-Tag löschen.

Lee verfügt über die Rechte vSphere-Tag zuweisen und vSphere-Tag löschen für das Tag.

Es sind keine Tag-Berechtigungen zugewiesen.

Lee ist das Recht vSphere-Tag löschen für das Tag zugewiesen.

Lee verfügt über das Recht vSphere-Tag löschen für das Tag.