Verwenden von vCenter Server-Rollen zum Zuweisen von Rechten

In vCenter Server ist eine Rolle ein vordefinierter Satz von Rechten, der Rechte zum Ausführen von Aktionen und Leseeigenschaften definiert. Sie erstellen Berechtigungen, indem Sie einem Benutzer oder einer Gruppe für ein Objekt eine Rolle zuweisen. vCenter Server bietet standardmäßig System- und Beispielrollen. Sie können auch benutzerdefinierte Rollen erstellen.

Zuweisen von Berechtigungen in vCenter Server

Beim Zuweisen von Berechtigungen in vCenter Server weisen Sie einen Benutzer oder einer Gruppe einer Rolle zu und verknüpfen diese Zuweisung mit einem Bestandslistenobjekt. Sie können beispielsweise die Beispielrolle „VM-Benutzer“ verwenden, um einem Benutzer das Lesen und Ändern von Attributen der virtuellen Maschine zu ermöglichen

Ein Benutzer oder eine Gruppe kann verschiedene Rollen für verschiedene Objekte in der Bestandsliste aufweisen. Nehmen Sie z. B. an, dass zwei Ressourcenpools in Ihrer Bestandsliste vorhanden sind: Pool A und Pool B. Sie können der Gruppe „Vertrieb“ die VM-Benutzerbeispielrolle auf Pool A und die Nur-Lese-Rolle auf Pool B zuweisen. Mit diesen Zuweisungen können die Benutzer der Gruppe „Vertrieb“ die virtuellen Maschinen in Pool A einschalten, aber die virtuellen Maschinen in Pool B nur anzeigen.

Ein Benutzer kann eine Aufgabe nur dann planen, wenn er zum Zeitpunkt der Aufgabenerstellung eine Rolle mit der Berechtigung zum Ausführen dieser Aufgabe besitzt.

Definition der vordefinierten vCenter Server-Rollen

vCenter Server bietet vordefinierte Rollen, wie in der folgenden Tabelle dargestellt.

Tabelle 1. Vordefinierte vCenter Server-Rollen
Rollentyp	Rollennamen	Beschreibung
System	„Administrator“, „Nur lesen“ und „Kein Zugriff“.	Systemrollen sind dauerhaft. Sie können weder Systemrollen löschen noch die mit diesen Rollen verknüpften Rechte bearbeiten. Die Systemrollen sind hierarchisch organisiert. Jede Rolle enthält die Rechte der vorhergehenden Rolle. So übernimmt beispielsweise die Rolle „Administrator“ die Rechte der Rolle „Nur lesen“. Weitere Informationen zu Systemrollen finden Sie im folgenden Abschnitt.
Beispiel	vSphere bietet eine Reihe von Beispielrollen, z. B. AutoUpdateUser, Ressourcenpooladministrator und VM-Benutzer.	vSphere bietet Beispielrollen für einige gängige Aufgabenkombinationen. Diese Rollen können Sie klonen, abändern oder entfernen. Hinweis: Um die vordefinierten Einstellungen einer Rolle nicht zu verlieren, sollten Sie die Rolle zunächst klonen und die gewünschten Änderungen dann am Klon vornehmen. Das Beispiel kann nicht auf die Standardeinstellungen zurückgesetzt werden.

Um die mit einer Rolle verknüpften Rechte anzuzeigen, navigieren Sie zu der Rolle im vSphere Client (Menü > Verwaltung > Rollen) und klicken Sie auf die Registerkarte Rechte .

Informationen zum Anzeigen aller vSphere-Rechte und -Beschreibungen finden Sie unter Definierte Rechte.

Hinweis: Änderungen an Berechtigungen und Rollen werden sofort wirksam, auch wenn die betroffenen Benutzer gerade angemeldet sind. Eine Ausnahme bilden Änderungen an Suchberechtigungen, denn diese Änderungen werden erst wirksam, wenn der Benutzer sich abgemeldet und wieder angemeldet hat.

vCenter Server-Systemrollen

Systemrollen können nicht geändert oder gelöscht werden.

Administratorrolle: Benutzer mit der Administratorrolle für ein Objekt können sämtliche Vorgänge auf ein Objekt anwenden und diese anzeigen. Zu dieser Rolle gehören alle Rechte der „Nur Lesen“-Rolle. Wenn Sie über die Administratorrolle für ein Objekt verfügen, können Sie einzelnen Benutzern und Gruppen Rechte zuweisen.; Wenn Sie die Rolle des Administrators in vCenter Server innehaben, können Sie Benutzern und Gruppen in der standardmäßigen vCenter Single Sign On-Identitätsquelle Rechte zuweisen. Weitere Informationen finden Sie in der Dokumentation vSphere-Authentifizierung für unterstützte Identitätsdienste.; Nach der Installation verfügt der Benutzer „[email protected]“ standardmäßig über die Administratorrolle in vCenter Single Sign On und vCenter Server. Dieser Benutzer kann dann anderen Benutzern die Administratorrolle in vCenter Server zuordnen.
Tipp: Es wird empfohlen, einen Benutzer auf der Root-Ebene zu erstellen und diesem Benutzer die Administratorrolle zuzuweisen. Nach der Erstellung eines benannten Benutzers mit Administratorrechten können Sie den Root-Benutzer aus allen Berechtigungen entfernen oder dessen Rolle in „Kein Zugriff“ ändern.
Rolle „Nur Lesen“: Benutzer mit der Rolle „Nur Lesen“ für ein Objekt können den Status des Objekts und Details zum Objekt anzeigen. Beispielsweise können Benutzer mit dieser Rolle VM-, Host- und Ressourcenpoolattribute anzeigen, aber die Remote-Konsole für einen Host können sie nicht anzeigen. Alle Vorgänge über die Menüs und Symbolleisten sind nicht zugelassen.
Rolle „Kein Zugriff“: Benutzer mit der Rolle „Kein Zugriff“ für ein bestimmtes Objekt können das Objekt weder anzeigen noch ändern. Neuen Benutzern und Gruppen wird diese Rolle standardmäßig zugewiesen. Sie können die Rolle objektabhängig ändern.; Dem Administrator der vCenter Single Sign-On-Domäne (standardmäßig [email protected]), dem Root-Benutzer und vpxuser wird standardmäßig die Administratorrolle zugewiesen. Anderen Benutzern wird standardmäßig die Rolle „Kein Zugriff“ zugewiesen.

Benutzerdefinierte Rollen in vCenter Server und ESXi

Sie können benutzerdefinierte Rollen für vCenter Server und alle von ihm verwalteten Objekte oder für einzelne Hosts erstellen.

Benutzerdefinierte Rolle in vCenter Server (empfohlen): Benutzerdefinierte Rollen können Sie mit den Rollenbearbeitungsdienstprogrammen im vSphere Client erstellen und an Ihre Anforderungen anpassen.
Benutzerdefinierte Rollen in ESXi: Sie können mithilfe einer Befehlszeilenschnittstelle oder des VMware Host Client Rollen für einzelne Hosts erstellen. Informationen finden Sie in der Dokumentation Verwaltung eines einzelnen Hosts von vSphere – VMware Host Client. Auf benutzerdefinierte Hostrollen ist in vCenter Server kein Zugriff möglich.; Wenn Sie ESXi-Hosts über vCenter Server verwalten, unterhalten Sie keine benutzerdefinierten Rollen sowohl auf dem Host als auch auf dem vCenter Server. Definieren Sie Rollen auf der vCenter Server-Ebene.

Bei der Verwaltung von Hosts mit vCenter Server werden die zugehörigen Berechtigungen mit vCenter Server erstellt und in vCenter Server gespeichert. Bei Direktverbindungen mit dem Host sind nur jene Rollen verfügbar, die direkt auf dem Host erstellt wurden.

Hinweis: Wenn Sie eine benutzerdefinierte Rolle hinzufügen, ohne ihr Berechtigungen zuzuweisen, wird sie als schreibgeschützte Rolle mit drei systemdefinierten Berechtigungen erstellt: System. Anonym, System.Anzeigen und System.Lesen. Diese Berechtigungen sind im vSphere Client nicht sichtbar, werden jedoch zum Lesen bestimmter Eigenschaften einiger verwalteter Objekte verwendet. Alle vordefinierten Rollen in vCenter Server enthalten diese drei systemdefinierten Berechtigungen. Weitere Informationen finden Sie in der Dokumentation vSphere Web Services-API.

Erstellen einer benutzerdefinierten vCenter Server-Rolle

Sie können benutzerdefinierte vCenter Server-Rollen erstellen, um den Zugriff entsprechend den Anforderungen Ihrer Umgebung zu steuern. Sie können eine Rolle erstellen oder eine vorhandene Rolle klonen.

Sie können eine Rolle in einem vCenter Server-System erstellen oder bearbeiten, das Teil derselben vCenter Single Sign-On-Domäne wie andere vCenter Server-Systeme ist. Der VMware Directory Service (vmdir) propagiert die von Ihnen vorgenommenen Rollenänderungen an alle anderen vCenter Server-Systeme in der Gruppe. Zuweisungen von Rollen zu bestimmten Benutzern und Objekten werden innerhalb von vCenter Server-Systemen jedoch nicht weitergegeben.

Voraussetzungen

Stellen Sie sicher, dass Sie im vCenter Server-System, auf dem Sie die Rolle erstellen, über Administratorrechte verfügen.

Prozedur

Melden Sie sich beim vCenter Server mit dem vSphere Client an.
Wählen Sie Verwaltung aus und klicken Sie auf Rollen im Bereich Zugriffssteuerung.

Erstellen Sie die Rolle.

Option	Beschreibung
So erstellen Sie eine Rolle:	Klicken Sie auf Neu. Geben Sie einen Namen für die neue Rolle ein. Aktivieren und deaktivieren Sie Rechte für die Rolle. Führen Sie einen Bildlauf durch die Berechtigungskategorien durch und wählen Sie alle Rechte oder eine Teilmenge der Rechte für diese Kategorie aus. Sie können alle, ausgewählte oder nicht ausgewählte Kategorien anzeigen. Sie können auch alle, ausgewählte oder nicht ausgewählte Berechtigungen anzeigen. Weitere Informationen hierzu finden Sie unter Definierte Rechte. Klicken Sie auf Erstellen.
Erstellen der Rolle durch Klonen	Wählen Sie eine Rolle aus und klicken Sie auf Klonen. Geben Sie einen Namen für die Rolle ein. Klicken Sie auf OK. Hinweis: Wenn Sie eine geklonte Rolle erstellen, können Rechte nicht geändert werden. Zum Ändern von Berechtigungen wählen Sie die geklonte Rolle aus und klicken auf Bearbeiten.

Option

Beschreibung

So erstellen Sie eine Rolle:

Klicken Sie auf Neu.
Geben Sie einen Namen für die neue Rolle ein.
Aktivieren und deaktivieren Sie Rechte für die Rolle.
Führen Sie einen Bildlauf durch die Berechtigungskategorien durch und wählen Sie alle Rechte oder eine Teilmenge der Rechte für diese Kategorie aus. Sie können alle, ausgewählte oder nicht ausgewählte Kategorien anzeigen. Sie können auch alle, ausgewählte oder nicht ausgewählte Berechtigungen anzeigen. Weitere Informationen hierzu finden Sie unter Definierte Rechte.
Klicken Sie auf Erstellen.

Erstellen der Rolle durch Klonen

Wählen Sie eine Rolle aus und klicken Sie auf Klonen.
Geben Sie einen Namen für die Rolle ein.
Klicken Sie auf OK.

Hinweis: Wenn Sie eine geklonte Rolle erstellen, können Rechte nicht geändert werden. Zum Ändern von Berechtigungen wählen Sie die geklonte Rolle aus und klicken auf Bearbeiten.

Nächste Maßnahme

Sie können nun Berechtigungen erstellen, indem Sie ein Objekt auswählen und für dieses Objekt die Rolle einem Benutzer oder einer Gruppe zuweisen.