Eine Berechtigung wird für ein Objekt in der vCenter Server-Objekthierarchie festgelegt. Jede Berechtigung ordnet das Objekt einer Gruppe bzw. einem Benutzer sowie den Zugriffsrollen der Gruppe bzw. des Benutzers zu. Beispielsweise können Sie ein VM-Objekt auswählen, eine Berechtigung zum Erteilen der Rolle „Nur Lesen“ (ReadOnly) für Gruppe 1 und eine zweite Berechtigung zum Erstellen der Administratorrolle für Benutzer 2 hinzufügen.

Indem Sie einer Gruppe von Benutzern verschiedene Rollen für verschiedene Objekte zuweisen, können Sie steuern, welche Aufgaben Benutzer in Ihrer vSphere-Umgebung ausführen können. Wenn Sie beispielsweise einer Gruppe das Konfigurieren von Arbeitsspeicher für den Host erlauben möchten, wählen Sie den entsprechenden Host aus und fügen eine Berechtigung hinzu, mit der der Gruppe eine Rolle erteilt wird, die das Recht Host.Konfiguration.Arbeitsspeicherkonfiguration enthält.

Konzeptuelle Informationen zu Berechtigungen finden Sie in der Diskussion unter Einblick in das objektbezogene Berechtigungsmodell.

Sie können Objekten auf verschiedenen Hierarchieebenen Berechtigungen zuweisen. Beispielsweise können Sie einem Hostobjekt oder einem Ordnerobjekt, das alle Hostobjekte beinhaltet, Berechtigungen zuweisen. Siehe Hierarchische Vererbung von Berechtigungen in vSphere. Darüber hinaus können Sie einem globalen Stammobjekt Weitergabeberechtigungen zuweisen, um die Berechtigungen auf alle Objekte in allen Lösungen anzuwenden. Weitere Informationen hierzu finden Sie unter Verwenden globaler vCenter Server-Berechtigungen.

Hinzufügen einer Berechtigung zu einem Bestandslistenobjekt

Nachdem Sie Benutzer und Gruppen erstellen und Rollen festlegen, müssen Sie die Benutzer und Gruppen und ihre Rollen den relevanten Bestandslistenobjekten zuordnen. Sie können dieselben Berechtigungen gleichzeitig mehreren Objekten zuweisen, indem Sie die Objekte in einen Ordner verschieben und die Berechtigungen für den Ordner festlegen.

Wenn Sie Berechtigungen zuweisen, müssen die Benutzer- und Gruppennamen denjenigen in Active Directory genau entsprechen, einschließlich der Groß- und Kleinschreibung. Wenn nach einem Upgrade von einer früheren Version von vSphere Probleme mit Gruppen auftreten, überprüfen Sie, ob Inkonsistenzen bei der Groß-/Kleinschreibung vorliegen.

Voraussetzungen

Für das Objekt, dessen Berechtigungen Sie ändern möchten, benötigen Sie eine Rolle, die das Recht Berechtigungen.Berechtigung ändern beinhaltet.

Prozedur

  1. Navigieren Sie im Objektnavigator des vSphere Client zu dem Objekt, für das Sie Berechtigungen zuweisen möchten.
  2. Klicken Sie auf die Registerkarte Berechtigungen.
  3. Klicken Sie auf Hinzufügen.
  4. (Optional) Wenn Sie einen externen Identitätsanbieter für die Verbundauthentifizierung konfiguriert haben, kann die Domäne dieses Identitätsanbieters im Dropdown-Menü Domäne ausgewählt werden.
  5. Wenn Sie im Dropdown-Menü Domäne den Eintrag VMware-ID auswählen, geben Sie den Benutzer- oder Gruppennamen ein.
    Hinweis:

    Geben Sie die E-Mail-Adresse des CSP-Kontos in das Feld Benutzername ein. CSP-Konten können in der VMwareID-Domäne nicht durchsucht werden.

  6. Wählen Sie den Benutzer oder die Gruppe aus, für den bzw. die die Rechte mithilfe der ausgewählten Rolle definiert werden.
    1. Wählen Sie im Dropdown-Menü Domäne die Domäne für den Benutzer oder die Gruppe aus.
    2. Geben Sie einen Namen im Feld „Suchen“ ein.
      Das System sucht nach Benutzer- und Gruppennamen.
    3. Wählen Sie den Benutzer oder die Gruppe aus.
  7. Wählen Sie eine Rolle aus dem Dropdown-Menü Rolle aus.
  8. (Optional) Zur Weitergabe der Berechtigungen aktivieren Sie das Kontrollkästchen An untergeordnete Objekte weitergeben.
    Die Rolle wird auf das ausgewählte Objekt angewendet und an die untergeordneten Objekte weitergegeben.
  9. Klicken Sie auf OK.

Ändern oder Entfernen von Berechtigungen für ein Bestandslistenobjekt

Wenn eine Kombination aus Rolle und Benutzer oder Gruppe für ein Bestandslistenobjekt festgelegt wurde, können Sie Änderungen an der Rolle für den Benutzer oder die Gruppe vornehmen oder die Einstellung des Kontrollkästchens An untergeordnete Objekte weitergeben ändern. Sie können auch die Berechtigungseinstellung entfernen.

Prozedur

  1. Navigieren Sie zum Objekt im Objektnavigator des vSphere Client.
  2. Klicken Sie auf die Registerkarte Berechtigungen.
  3. Klicken Sie auf eine Zeile, um eine Berechtigung auszuwählen.
    Aufgabe Schritte
    Ändern von Berechtigungen
    1. Klicken Sie auf Bearbeiten.
    2. Wählen Sie im Dropdown-Menü Rolle eine Rolle für den Benutzer oder die Gruppe aus.
    3. Aktivieren Sie das Kontrollkästchen An untergeordnete Objekte weitergeben, um die Vererbung von Berechtigungen zu ändern.
    4. Klicken Sie auf OK.
    Entfernen von Berechtigungen
    1. Klicken Sie auf Löschen.
    2. Klicken Sie auf Entfernen.

Ändern der Einstellungen für die vCenter Server-Benutzervalidierung

vCenter Server validiert die Benutzer- und Gruppenlisten regelmäßig anhand der Benutzer und Gruppen im Benutzerverzeichnis. Er entfernt anschließend Benutzer oder Gruppen, die nicht mehr in der Domäne vorhanden sind. Sie können das Validieren deaktivieren oder das Intervall zwischen Validierungen ändern. Wenn Sie über Domänen mit Tausenden von Benutzern oder Gruppen verfügen oder wenn Suchvorgänge viel Zeit in Anspruch nehmen, sollten Sie eventuell die Sucheinstellungen anpassen.

Diese Einstellungen gelten für vCenter Single Sign On-Identitätsquellen und nicht für eine externe Identitätsquelle, wie z. B. Active Directory, die vCenter Server zugeordnet sein könnten.

Hinweis: Die beschriebene Vorgehensweise bezieht sich nur auf vCenter Server-Benutzerlisten. ESXi-Benutzerlisten können nicht auf diese Weise durchsucht werden.

Prozedur

  1. Navigieren Sie im Objektnavigator des vSphere Client zum vCenter Server-System.
  2. Wählen Sie Konfigurieren und klicken Sie auf Einstellungen > Allgemein.
  3. Klicken Sie auf Bearbeiten und wählen Sie Benutzerverzeichnis aus.
  4. Ändern Sie die Werte nach Bedarf und klicken Sie auf Speichern.
    Option Beschreibung
    Benutzerverzeichnis - Zeitüberschreitung Zeitüberschreitungsintervall (in Sekunden) für die Suche nach dieser vCenter Server-Installation.
    Abfragegrenze Aktivieren Sie die Option, um die maximale Anzahl von Benutzern und Gruppen festzulegen, die vCenter Server anzeigt.
    Größe der Abfragegrenze Maximale Anzahl der Benutzer und Gruppen der ausgewählten Domäne, die von vCenter Server im Dialogfeld Benutzer oder Gruppen auswählen angezeigt werden. Bei Eingabe des Werts 0 (Null) werden alle Benutzer und Gruppen angezeigt.