Folgen Sie den Best Practices für Rollen und Berechtigungen, um die Sicherheit und Verwaltbarkeit Ihrer vCenter Server-Umgebung zu maximieren.
Folgen Sie diesen Best Practices beim Konfigurieren von Rollen und Berechtigungen in Ihrer vCenter Server-Umgebung:
- Sofern möglich, weisen Sie eine Rolle nicht einzelnen Benutzern sondern einer Gruppe zu.
- Erteilen Sie Berechtigungen nur für die entsprechenden erforderlichen Objekte und weisen Sie Rechte nur den entsprechenden erforderlichen Benutzern oder Gruppen zu. Vergeben Sie möglichst wenige Berechtigungen, um das Verstehen und Verwalten Ihrer Berechtigungsstruktur zu erleichtern.
- Wenn Sie einer Gruppe eine restriktive Rolle zuweisen, überprüfen Sie, dass die Gruppe weder den Administrator noch Benutzer mit Administratorrechten enthält. Anderenfalls schränken Sie möglicherweise die Rechte eines Administrators in den Teilen der Bestandslistenhierarchie ungewollt ein, für die Sie der Gruppe die restriktive Rolle zugewiesen haben.
- Verwenden Sie Ordner, um Objekte zu gruppieren. Um beispielsweise einer Hostgruppe die Änderungsberechtigung und einer anderen Hostgruppe die Anzeigeberechtigung zuzuweisen, platzieren Sie die jeweiligen Hostgruppen in einem Ordner.
- Gehen Sie vorsichtig vor, wenn Sie den vCenter Server-Stammobjekten eine Berechtigung hinzufügen. Benutzer mit Rechten auf der Root-Ebene haben Zugriff auf globale Daten auf vCenter Server, wie z. B. Rollen, benutzerdefinierte Attribute und vCenter Server-Einstellungen.
- Ziehen Sie die Aktivierung der Weitergabe in Betracht, wenn Sie einem Objekt Berechtigungen zuweisen. Durch die Weitergabe wird sichergestellt, dass neue Objekte in der Objekthierarchie Berechtigungen erben. Sie können z. B. eine Berechtigung zu einem Ordner der virtuellen Maschine zuweisen und die Weitergabe aktivieren, um sicherzustellen, dass die Berechtigung für alle VMs im Ordner gilt.
- Verwenden Sie die Rolle „Kein Zugriff“, um bestimmte Bereiche der Hierarchie zu maskieren. Die Rolle „Kein Zugriff“ beschränkt den Zugriff auf die Benutzer oder Gruppen mit dieser Rolle.
- Änderungen an Lizenzen werden an alle verknüpften vCenter Server-Systeme in derselben vCenter Single Sign On-Domäne weitergegeben.
- Die Lizenzweitergabe erfolgt selbst dann, wenn der Benutzer nicht über Rechte auf allen vCenter Server-Systemen verfügt.