vSphere unterstützt mehrere Modelle, um zu ermitteln, ob ein Benutzer eine Aufgabe ausführen darf. Die Gruppenmitgliedschaft in einer vCenter Single Sign-On-Gruppe entscheidet, was Sie tun dürfen. Ihre Rolle für ein Objekt oder Ihre globale Berechtigung legt fest, ob Sie andere Aufgaben durchführen dürfen.

Funktionsweise von Berechtigungen in vSphere

vSphere ermöglicht es Benutzern mit entsprechenden Rechten, anderen Benutzern Berechtigungen zum Durchführen von Aufgaben zu geben. Sie können globale oder lokale vCenter Server-Berechtigungen verwenden, um andere Benutzer für einzelne vCenter Server-Instanzen zu autorisieren.

Die folgende Abbildung veranschaulicht die Funktionsweise globaler und lokaler Berechtigungen.

Abbildung 1. Globale und lokale Berechtigungen
Diese Abbildung veranschaulicht die Funktionsweise globaler und lokaler Berechtigungen.

In dieser Abbildung:

  1. Sie weisen eine globale Berechtigung auf der Root-Objektebene zu, wenn „An untergeordnete Objekte weitergeben“ ausgewählt ist.
  2. vCenter Server gibt die Berechtigungen an die Objekthierarchien vCenter Server 1 und vCenter Server 2 in der Umgebung weiter.
  3. Eine lokale Berechtigung für den Root-Ordner in vCenter Server 2 überschreibt die globale Berechtigung.
vCenter Server-Berechtigungen

Das Berechtigungsmodell für vCenter Server-Systeme basiert auf der Zuweisung von Berechtigungen zu Objekten in der Objekthierarchie. Benutzer erhalten Berechtigungen auf folgende Art und Weise.

  • Von einer bestimmten Berechtigung für den Benutzer oder von den Gruppen, in denen der Benutzer Mitglied ist
  • Von einer Berechtigung für das Objekt oder über die Vererbung von Berechtigungen von einem übergeordneten Objekt

Jede Berechtigung erteilt einem Benutzer oder einer Gruppe eine Reihe von Berechtigungen (d. h. eine Rolle) für das ausgewählte Objekt. Sie können den vSphere Client zum Hinzufügen von Berechtigungen verwenden. Sie können z. B. mit der rechten Maustaste auf eine virtuelle Maschine klicken, Berechtigung hinzufügen auswählen und das Dialogfeld beenden, um einer Gruppe von Benutzern eine Rolle zuzuweisen. Diese Rolle weist diesen Benutzern die entsprechenden Privilegien auf dieser virtuellen Maschine zu.

Abbildung 2. Hinzufügen von Berechtigungen zu einer virtuellen Maschine mithilfe von vSphere Client
Klicken Sie mit der rechten Maustaste auf eine virtuelle Maschine und wählen Sie „Berechtigungen hinzufüge“n aus, um das Dialogfeld „Berechtigungen hinzufügen“ zu aktivieren.
Globale Berechtigungen
Mithilfe von globalen Berechtigungen werden einem Benutzer oder einer Gruppe Rechte zum Anzeigen oder Verwalten aller Objekte in allen Bestandslistenhierarchien der Lösungen Ihrer Bereitstellung erteilt. Das heißt, globale Berechtigungen werden auf ein globales Stammobjekt angewendet, das sich über Lösungsbestandshierarchien erstreckt. (Lösungen umfassen vCenter Server, VMware Aria Automation Orchestrator usw.) Globale Berechtigungen gelten auch für globale Objekte wie Tags und Inhaltsbibliotheken. Betrachten Sie beispielsweise eine Bereitstellung, die aus zwei Lösungen besteht: vCenter Server und VMware Aria Automation Orchestrator. Sie können anhand globaler Berechtigungen einer Gruppe von Benutzern, die über Leseberechtigungen für alle Objekte in den Objekthierarchien von vCenter Server und VMware Aria Automation Orchestrator verfügen, eine Rolle zuweisen.
Globale Berechtigungen werden über die vCenter Single Sign-On-Domäne hinweg repliziert (standardmäßig „vsphere.local“). Sie dienen jedoch nicht zur Autorisierung von Diensten, die in den vCenter Single Sign-On-Domänengruppen verwaltet werden. Weitere Informationen hierzu finden Sie unter Verwenden globaler vCenter Server-Berechtigungen.
Gruppenmitgliedschaft in vCenter Single Sign-On-Gruppen
Mitglieder einer vCenter Single Sign-On-Domänengruppe können bestimmte Aufgaben ausführen. Wenn Sie beispielsweise Mitglied der Gruppe „LicenseService.Administrators“ sind, dürfen Sie Lizenzen verwalten. Informationen finden Sie in der Dokumentation vSphere-Authentifizierung.
Berechtigungen für lokale ESXi-Hosts
Wenn Sie einen eigenständigen ESXi-Host verwalten, der nicht von einem vCenter Server-System verwaltet wird, können Sie Benutzern eine der vordefinierten Rollen zuweisen. Informationen finden Sie in der Dokumentation Verwaltung eines einzelnen Hosts von vSphere – VMware Host Client.
Für verwaltete Hosts weisen Sie Rollen dem ESXi-Hostobjekt in der vCenter Server-Bestandsliste zu.

Einblick in das objektbezogene Berechtigungsmodell

Für einen Benutzer oder eine Gruppe autorisieren Sie die Ausführung von Aufgaben für vCenter Server-Objekte, indem Sie Berechtigungen für das Objekt verwenden. Wenn ein Benutzer versucht, einen Vorgang auszuführen, wird aus programmgesteuerter Sicht eine API-Methode ausgeführt. vCenter Server prüft die Berechtigungen für diese Methode, um zu ermitteln, ob der Benutzer für die Durchführung des Vorgangs autorisiert ist. Wenn beispielsweise ein Benutzer versucht, einen Host hinzuzufügen, wird die AddStandaloneHost_Task-Methode aufgerufen. Für diese Methode muss die Rolle für den Benutzer über das Recht „Host.Inventory.AddStandaloneHost“ verfügen. Wenn bei der Prüfung dieses Recht nicht gefunden wird, wird dem Benutzer die Berechtigung zum Hinzufügen des Hosts verweigert.

Die folgenden Konzepte sind wichtig.

Berechtigungen
Jedem Objekt in der vCenter Server-Objekthierarchie sind Berechtigungen zugeordnet. Jede Berechtigung gibt für eine Gruppe oder einen Benutzer an, über welche Rechte diese Gruppe bzw. dieser Benutzer für das Objekt verfügt. Berechtigungen können an untergeordnete Objekte weitergegeben werden.
Benutzer und Gruppen
Auf vCenter Server-Systemen können Sie Rechte nur authentifizierten Benutzern oder Gruppen von authentifizierten Benutzern zuweisen. Die Benutzer werden über vCenter Single Sign On authentifiziert. Benutzer und Gruppen müssen in der Identitätsquelle definiert werden, die vCenter Single Sign On für die Authentifizierung verwendet. Definieren Sie Benutzer und Gruppen mithilfe der Tools in Ihrer Identitätsquelle, wie z. B. Active Directory.
Berechtigungen
Rechte sind detaillierte Zugriffssteuerungsoptionen. Sie können diese Rechte nach Rollen gruppieren, die dann Benutzern oder Gruppen zugeordnet werden können.
Rollen
Rollen sind Gruppen von Rechten. Rollen ermöglichen die Zuweisung von Berechtigungen zu einem Objekt basierend auf typischen Aufgaben, die Benutzer ausführen. Systemrollen, wie z. B. Administrator, sind in vCenter Server vordefiniert und können nicht geändert werden. vCenter Server stellt auch bestimmte Standard-Beispielrollen bereit, wie z. B. Ressourcenpool-Administrator, die geändert werden können. Sie können benutzerdefinierte Rollen entweder von Grund auf neu oder aber durch Klonen und Ändern von Beispielrollen erstellen. Siehe Erstellen einer benutzerdefinierten vCenter Server-Rolle.

Die folgende Abbildung veranschaulicht, wie eine Berechtigung aus Rechten und Rollen erstellt und einem Benutzer oder einer Gruppe für ein vSphere-Objekt zugewiesen wird.

Abbildung 3. vSphere-Berechtigungen
Mehrere Rechte werden zu einer Rolle zusammengefasst. Die Rolle wird Benutzern oder Gruppen zugewiesen.
Führen Sie die folgenden Schritte aus, um einem Objekt Berechtigungen zuzuweisen:
  1. Wählen Sie das Objekt aus, auf das Sie die Berechtigung in der vCenter Server-Objekthierarchie anwenden möchten.
  2. Wählen Sie die Gruppe oder den Benutzer aus, für die bzw. den Sie Rechte für das Objekt erteilen möchten.
  3. Wählen Sie einzelne Rechte oder eine Rolle aus, bei der es sich um einen Satz von Rechten handelt, die die Gruppe bzw. der Benutzer für dieses Objekt haben sollte.

    Standardmäßig ist „An untergeordnete Objekte weitergeben“ nicht ausgewählt. Sie müssen das Kontrollkästchen für die Gruppe oder den Benutzer aktivieren, damit die ausgewählte Rolle für das ausgewählte Objekt und dessen untergeordnete Objekte ausgewählt wird.

vCenter Server bietet Beispielrollen aus einer Kombination von häufig verwendeten Berechtigungssätzen. Sie können benutzerdefinierte Rollen auch erstellen, indem Sie einen Satz von Rollen kombinieren.

Oft müssen Berechtigungen sowohl für ein Quell- als auch für ein Zielobjekt definiert werden. Wenn Sie beispielsweise eine virtuelle Maschine verschieben, benötigen Sie Rechte für diese virtuelle Maschine, aber auch Rechte für das Zieldatencenter.

Siehe folgende Informationen.
Um mehr zu erfahren über... Siehe...
Erstellen von benutzerdefinierten Rollen. Erstellen einer benutzerdefinierten vCenter Server-Rolle
Alle Berechtigungen und die Objekte, auf die Sie die Berechtigungen anwenden können Definierte Rechte
Gruppen von Berechtigungen, die für verschiedene Objekte und verschiedene Aufgaben erforderlich sind. Erforderliche vCenter Server-Rechte für allgemeine Aufgaben
Das Berechtigungsmodell für eigenständige ESXi-Hosts ist einfacher. Weitere Informationen hierzu finden Sie unter Zuweisen von Rechten für ESXi-Hosts.

Was ist vCenter Server-Benutzervalidierung?

vCenter Server-Systeme, die einen Verzeichnisdienst verwenden, validieren Benutzer und Gruppen regelmäßig anhand der Verzeichnisdomäne des Benutzers. Die Validierung wird in regelmäßigen Zeitabständen durchgeführt, die in den vCenter Server-Einstellungen angegeben sind. Beispiel: Dem Benutzer Schmidt wurde eine Rolle für mehrere Objekte zugewiesen. Der Domänenadministrator ändert den Namen in Schmidt2. Der Host folgert, dass Schmidt nicht mehr vorhanden ist, und entfernt während der nächsten Validierung die Berechtigungen von Benutzer Schmidt aus den vSphere-Objekten.

Wenn der Benutzer „Schmidt“ aus der Domäne entfernt wird, werden ebenfalls alle Berechtigungen für diesen Benutzer bei der nächsten Validierung entfernt. Wenn vor der nächsten Validierung ein neuer Benutzer namens „Schmidt“ zur Domäne hinzugefügt wird, ersetzt der neue Benutzer den alten Benutzer bei den Berechtigungen für ein Objekt.

Hierarchische Vererbung von Berechtigungen in vSphere

Wenn Sie einem Objekt eine Berechtigung zuweisen, können Sie auswählen, ob die Berechtigung über die Objekthierarchie nach unten weitergegeben wird. Sie legen die Weitergabe für jede Berechtigung fest. Die Weitergabe ist nicht universell einsetzbar. Für ein untergeordnetes Objekt definierte Berechtigungen setzen immer die von übergeordneten Objekten vererbten Berechtigungen außer Kraft.

In der folgenden Abbildung werden die Bestandslistenhierarchie und die Pfade dargestellt, über die Berechtigungen weitergegeben werden können.
Hinweis: Globale Berechtigungen unterstützen das lösungsübergreifende Zuweisen von Berechtigungen von einem globalen Stammobjekt aus. Weitere Informationen hierzu finden Sie unter Verwenden globaler vCenter Server-Berechtigungen.
Abbildung 4. vSphere-Bestandslistenhierarchie
Diese Abbildung zeigt die Vererbung von Berechtigungen in der vSphere-Bestandslistenhierarchie von übergeordneten Objekten bis zu untergeordneten Objekten.

Über diese Abbildung:

  • Sie können keine direkten Berechtigungen für die VM, den Host, das Netzwerk und die Speicherordner festlegen. Das heißt, diese Ordner fungieren als Container und sind daher für Benutzer nicht sichtbar.
  • Sie können keine Berechtigungen für Standard-Switches festlegen.
Hinweis: Um Berechtigungen auf einem vSphere Distributed Switch (VDS) festlegen und an untergeordnete Elemente weitergeben zu können, muss sich das Switchobjekt in einem Netzwerkordner befinden, der im Datencenter erstellt wurde.

Die meisten Bestandslistenobjekte übernehmen Berechtigungen von einem einzelnen übergeordneten Objekt in der Hierarchie. Beispielweise übernimmt ein Datenspeicher Berechtigungen entweder vom übergeordneten Datencenter-Ordner oder vom übergeordneten Datencenter. Virtuelle Maschinen übernehmen Berechtigungen sowohl von dem übergeordneten Ordner der virtuellen Maschine als auch vom übergeordneten Host, Cluster oder Ressourcenpool.

Legen Sie beispielsweise zum Festlegen von Berechtigungen für einen Distributed Switch und seine zugewiesenen verteilten Portgruppen Berechtigungen auf einem übergeordneten Objekt fest, z. B. auf einem Ordner oder Datencenter. Sie müssen auch die Option zum Weitergeben dieser Berechtigungen an untergeordnete Objekte wählen.

In der Hierarchie gibt es verschiedene Formen von Berechtigungen.

Verwaltete Elemente

Verwaltete Elemente beziehen sich auf die folgenden vSphere-Objekte. Verwaltete Elemente bieten bestimmte Vorgänge, die je nach Entitätstyp variieren. Berechtigte Benutzer können Berechtigungen auf verwalteten Elemente definieren. Weitere Informationen zu vSphere-Objekten, -Eigenschaften und -Methoden finden Sie in der vSphere API-Dokumentation.

  • Cluster
  • Datencenter
  • Datenspeicher
  • Datenspeicher-Cluster
  • Ordner
  • „Hosts“
  • Netzwerke (außer vSphere Distributed Switches)
  • Verteilte Portgruppen
  • Ressourcenpools
  • Vorlagen
  • virtuelle Maschinen
  • vSphere-vApps

Globale Entitäten

Sie können keine Berechtigungen für Instanzen ändern, die ihre Berechtigungen aus dem vCenter Server-Stammsystem ableiten.

  • Benutzerdefinierte Felder
  • Lizenzen
  • Rollen
  • Statistikintervalle
  • Sitzungen