Verwenden globaler vCenter Server-Berechtigungen

In vCenter Server werden globale Berechtigungen auf ein globales Stammobjekt angewendet, das für mehrere VMware-Lösungen verwendet wird. In einem lokalen SDDC können sich globale Berechtigungen sowohl auf vCenter Server als auch auf VMware Aria Automation Orchestrator erstrecken. Für jedes vSphere SDDC gelten jedoch globale Berechtigungen für globale Objekte wie Tags und Inhaltsbibliotheken.

Sie können Benutzern oder Gruppen globale Berechtigungen zuweisen und für jeden Benutzer oder jede Gruppe die Rolle festlegen. Die Rolle bestimmt die Rechte, über die der Benutzer oder die Gruppe für alle Objekte in der Hierarchie verfügt. Sie können eine vordefinierte Rolle zuweisen oder benutzerdefinierte Rollen erstellen. Weitere Informationen hierzu finden Sie unter Verwenden von vCenter Server-Rollen zum Zuweisen von Rechten.

Sie sollten unbedingt zwischen vCenter Server-Berechtigungen und globalen Berechtigungen unterscheiden.

Tabelle 1. Unterschiede zwischen vCenter Server-Berechtigungen und globalen Berechtigungen
Berechtigungstyp	Beschreibung
vCenter Server	vCenter Server-Berechtigungen gelten für bestimmte Objekte in der Bestandslistenhierarchie, z. B. Hosts, virtuelle Maschinen, Datenspeicher usw. Beim Zuweisen von vCenter Server-Berechtigungen geben Sie an, dass ein Benutzer oder eine Gruppe über eine Rolle (eine Reihe von Rechten) für das Objekt verfügt.
Global	Mithilfe von globalen Berechtigungen werden einem Benutzer oder einer Gruppe Rechte zum Anzeigen oder Verwalten aller Objekte in allen Bestandslistenhierarchien Ihrer Bereitstellung erteilt. Globale Berechtigungen gelten auch für globale Objekte wie Tags und Inhaltsbibliotheken. Weitere Informationen hierzu finden Sie unter vCenter Server-Berechtigungen für Tag-Objekte. Wenn Sie eine globale Berechtigung zuweisen und „Weitergeben“ nicht auswählen, haben die Benutzer oder Gruppen, denen diese Berechtigung zugeordnet ist, keinen Zugriff auf die Objekte in der Hierarchie. Sie haben nur Zugriff auf bestimmte globale Funktionen wie etwa das Erstellen von Rollen.

Hinzufügen einer globalen Berechtigung

Mithilfe von globalen Berechtigungen können Sie einem Benutzer oder einer Gruppe Rechte für alle Objekte in allen Bestandslistenhierarchien Ihrer Bereitstellung erteilen.

Wichtig: Globale Berechtigungen sollten Sie mit Vorsicht verwenden. Vergewissern Sie sich, ob wirklich allen Objekten in allen Bestandslistenhierarchien Berechtigungen zugewiesen werden sollen.

Voraussetzungen

Um diese Aufgabe auszuführen, benötigen Sie das Recht Berechtigungen.Berechtigung ändern für das Stammobjekt aller Bestandslistenhierarchien.

Prozedur

Melden Sie sich beim vCenter Server mit dem vSphere Client an.
Wählen Sie Verwaltung aus und klicken Sie im Zugriffssteuerungsbereich auf Globale Berechtigungen.
Klicken Sie auf Hinzufügen.
(Optional) Wenn Sie einen externen Identitätsanbieter für die Verbundauthentifizierung konfiguriert haben, kann die Domäne dieses Identitätsanbieters im Dropdown-Menü Domäne ausgewählt werden.
Wenn Sie in vSphere+-Umgebungen im Dropdown-Menü Domäne den Eintrag VMware-ID auswählen, geben Sie den Namen des CSP-Kontos in das Feld Benutzername ein.

Hinweis:
Geben Sie die E-Mail-Adresse des CSP-Kontos in das Feld Benutzername ein. CSP-Konten können in der VMwareID-Domäne nicht durchsucht werden.
Wählen Sie den Benutzer oder die Gruppe aus, für den bzw. die die Rechte mithilfe der ausgewählten Rolle definiert werden.
1. Wählen Sie im Dropdown-Menü Domäne die Domäne für den Benutzer oder die Gruppe aus.
2. Geben Sie einen Namen im Feld „Suchen“ ein.
  Das System sucht nach Benutzer- und Gruppennamen.
3. Wählen Sie den Benutzer oder die Gruppe aus.
Wählen Sie eine Rolle aus dem Dropdown-Menü Rolle aus.
Geben Sie an, ob die Berechtigungen weitergegeben werden sollen, indem Sie das Kontrollkästchen An untergeordnete Objekte weitergeben aktivieren.
Wenn Sie eine globale Berechtigung zuweisen und An untergeordnete Objekte weitergeben nicht aktivieren, haben die Benutzer oder Gruppen, denen diese Berechtigung zugeordnet ist, keinen Zugriff auf die Objekte in der Hierarchie. Sie haben nur Zugriff auf bestimmte globale Funktionen wie etwa das Erstellen von Rollen.
Klicken Sie auf OK.

vCenter Server-Berechtigungen für Tag-Objekte

In der Objekthierarchie von vCenter Server sind Tag-Objekte keine untergeordneten Objekte von vCenter Server, sondern werden auf der obersten Ebene von vCenter Server erstellt. In Umgebungen mit mehreren vCenter Server-Instanzen werden Tag-Objekte von vCenter Server-Instanzen gemeinsam genutzt. Die Berechtigungen für Tag-Objekte unterscheiden sich von Berechtigungen für andere Objekte in der Objekthierarchie von vCenter Server.

Nur globale Berechtigungen oder dem Tag-Objekt zugewiesene Berechtigungen werden angewendet

Wenn Sie einem Benutzer Berechtigungen für ein vCenter Server-Bestandslistenobjekt wie beispielsweise eine virtuelle Maschine erteilen, kann der Benutzer die mit der Berechtigung verbundenen Aufgaben durchführen. Der Benutzer kann jedoch keine Tag-Vorgänge für das Objekt durchführen.

Wenn Sie beispielsweise das Recht vSphere-Tag zuweisen der Benutzerin Dana auf dem Host TPA gewähren, hat diese Berechtigung keine Auswirkungen darauf, ob Dana Tags auf dem Host TPA zuweisen kann. Dana benötigt das Recht vSphere-Tag zuweisen auf der obersten Ebene, d. h. eine globale Berechtigung, oder sie benötigt das Recht für das Tag-Objekt.

Tabelle 2. Festlegung der durch Benutzer ausführbaren Aktionen mittels globaler Berechtigungen und Berechtigungen für Tag-Objekte
Globale Berechtigung	Berechtigung auf Tag-Ebene	vCenter Server-Berechtigung auf Objektebene	Effektive Berechtigung
Es sind keine Tag-Berechtigungen zugewiesen.	Dana verfügt über das Recht vSphere-Tag zuweisen oder Zuweisung aufheben für das Tag.	Dana verfügt über das Recht vSphere-Tag löschen für ESXi-Host-TPA.	Dana verfügt über das Recht vSphere-Tag zuweisen oder Zuweisung aufheben für das Tag.
Dana verfügt über das Recht vSphere-Tag zuweisen oder Zuweisung aufheben.	Für das Tag sind keine Rechte zugewiesen.	Dana verfügt über das Recht vSphere-Tag löschen für ESXi-Host-TPA.	Dana verfügt über das globale Recht vSphere-Tag zuweisen oder Zuweisung aufheben. Dies beinhaltet Rechte auf der Tag-Ebene.
Es sind keine Tag-Berechtigungen zugewiesen.	Für das Tag sind keine Rechte zugewiesen.	Dana verfügt über das Recht vSphere-Tag zuweisen oder Zuweisung aufheben für ESXi-Host-TPA.	Dana verfügt über keine Tag-Berechtigungen für Objekte, einschließlich Host-TPA.

Globale Berechtigungen ergänzen Berechtigungen für Tag-Objekte

Globale Berechtigungen, also für das Objekt der obersten Ebene zugewiesene Berechtigungen, ergänzen die Berechtigungen für Tag-Objekte, wenn die Berechtigungen für die Tag-Objekte restriktiver sind. Die vCenter Server-Berechtigungen haben keine Auswirkungen auf die Tag-Objekte.

Angenommen, Sie weisen das Recht vSphere-Tag löschen dem Benutzer Robin auf der obersten Ebene zu, d. h. mithilfe von globalen Berechtigungen. Für das Tag „Production“ weisen Sie dem Benutzer Robin nicht das Recht vSphere-Tag löschen zu. In diesem Fall verfügt Robin für das Tag „Production“ über dieses Recht, da Robin über die globale Berechtigung verfügt, die von der obersten Ebene aus weitergegeben wird. Berechtigungen können Sie nur beschränken, indem Sie die globale Berechtigung ändern.

Tabelle 3. Globale Berechtigungen ergänzen Berechtigungen auf Tag-Ebene
Globale Berechtigung	Berechtigung auf Tag-Ebene	Effektive Berechtigung
Robin verfügt über das Recht vSphere-Tag löschen.	Robin verfügt nicht über das Recht vSphere-Tag löschen für das Tag.	Robin verfügt über das Recht vSphere-Tag löschen.
Es sind keine Tag-Berechtigungen zugewiesen.	Robin ist das Recht vSphere-Tag löschen nicht für das Tag zugewiesen.	Robin verfügt nicht über das Recht vSphere-Tag löschen.

Berechtigungen auf Tag-Ebene können globale Berechtigungen erweitern

Mithilfe von Berechtigungen auf Tag-Ebene können Sie globale Berechtigungen erweitern. Dies bedeutet, dass Benutzer sowohl über eine globale Berechtigung als auch über eine Berechtigung auf Tag-Ebene für ein Tag verfügen können.

Hinweis: Dieses Verhalten unterscheidet sich von der Art und Weise, wie vCenter Server-Berechtigungen übernommen werden. Für ein untergeordnetes Objekt definierte Berechtigungen in vCenter Server setzen immer die von übergeordneten Objekten vererbten Berechtigungen außer Kraft.

Tabelle 4. Globale Berechtigungen erweitern Berechtigungen auf Tag-Ebene
Globale Berechtigung	Berechtigung auf Tag-Ebene	Effektive Berechtigung
Lee verfügt über das Recht vSphere-Tag zuweisen oder Zuweisung aufheben.	Lee verfügt über das Recht vSphere-Tag löschen.	Lee verfügt über die Rechte vSphere-Tag zuweisen und vSphere-Tag löschen für das Tag.
Es sind keine Tag-Berechtigungen zugewiesen.	Lee ist das Recht vSphere-Tag löschen für das Tag zugewiesen.	Lee verfügt über das Recht vSphere-Tag löschen für das Tag.