Standardmäßig kann ein Benutzer mit der vCenter Server-Administratorrolle mit Dateien und Anwendungen innerhalb des Gastbetriebssystems einer virtuellen Maschine interagieren. Erstellen Sie eine Rolle ohne das Recht Gastvorgänge, um das Sicherheitsrisiko für die Vertraulichkeit, Verfügbarkeit und Integrität des Gastbetriebssystems zu verringern. Weisen Sie diese Rolle Administratoren zu, die keinen Zugriff auf Dateien virtueller Maschinen benötigen.

Warum und wann dieser Vorgang ausgeführt wird

Seien Sie beim Zulassen des Zugriffs auf das virtuelle Datencenter aus Sicherheitsgründen so restriktiv wie beim physischen Datencenter. Wenden Sie eine benutzerdefinierte Rolle, mit der der Gastzugriff deaktiviert wird, auf Benutzer an, die Administratorberechtigungen benötigen, die aber nicht mit Dateien und Anwendungen des Gastbetriebssystems interagieren dürfen.

Beispielsweise könnte eine Konfiguration eine virtuelle Maschine in der Infrastruktur mit vertraulichen Daten enthalten.

Wenn für Aufgaben wie die Migration mit vMotion Datencenter-Administratoren Zugriff auf die virtuelle Maschine benötigen, deaktivieren Sie einige Remote-Gastbetriebssystemvorgänge, um sicherzustellen, dass diese Administratoren keinen Zugriff auf vertrauliche Informationen haben.

Voraussetzungen

Stellen Sie sicher, dass Sie im vCenter Server-System, auf dem Sie die Rolle erstellen, über das Administrator-Recht verfügen.

Prozedur

  1. Melden Sie sich beim vSphere Web Client als Benutzer an, der über Administrator-Rechte in dem vCenter Server-System verfügt, in dem Sie die Rolle erstellen möchten.
  2. Klicken Sie auf Verwaltung und wählen Sie Rollen aus.
  3. Klicken Sie auf das Symbol Rollenaktion erstellen und geben Sie einen Namen für die Rolle ein.

    Geben Sie beispielsweise Administrator ohne Gastzugriff ein.

  4. Wählen Sie Alle Rechte aus.
  5. Deaktivieren Sie Alle Rechte > Virtuelle Maschine > Gastvorgänge, um die Gastvorgangsrechte zu entfernen.
  6. Klicken Sie auf OK.

Nächste Maßnahme

Wählen Sie das vCenter Server-System oder den Host aus und weisen Sie eine Berechtigung zu, die den Benutzer bzw. die Gruppe, der/die über die neuen Berechtigungen verfügen soll, mit der neu erstellten Rolle verknüpft. Entfernen Sie diese Benutzer aus der Administratorrolle.