Folgen Sie den Best Practices für Rollen und Berechtigungen, um die Sicherheit und Verwaltbarkeit Ihrer vCenter Server-Umgebung zu maximieren.
Folgen Sie diesen Best Practices beim Konfigurieren von Rollen und Berechtigungen in Ihrer vCenter Server-Umgebung:
- Sofern möglich, weisen Sie eine Rolle nicht einzelnen Benutzern sondern einer Gruppe zu.
- Erteilen Sie Berechtigungen nur für die entsprechenden erforderlichen Objekte und weisen Sie Rechte nur den entsprechenden erforderlichen Benutzern oder Gruppen zu. Vergeben Sie möglichst wenige Berechtigungen, um das Verstehen und Verwalten Ihrer Berechtigungsstruktur zu erleichtern.
- Wenn Sie einer Gruppe eine restriktive Rolle zuweisen, überprüfen Sie, dass die Gruppe weder den Administrator noch Benutzer mit Administratorrechten enthält. Anderenfalls schränken Sie möglicherweise die Rechte von Administratoren in den Teilen der Bestandslistenhierarchie ungewollt ein, für die Sie der Gruppe die restriktive Rolle zugewiesen haben.
- Gruppieren Sie Objekte in Ordnern, um die Zuweisung von Berechtigungen zu vereinfachen. Um beispielsweise einer Hostgruppe die Änderungsberechtigung und einer anderen Hostgruppe die Anzeigeberechtigung zuzuweisen, platzieren Sie die jeweiligen Hostgruppen in einem Ordner.
- Gehen Sie vorsichtig vor, wenn Sie den vCenter Server-Stammobjekten eine Berechtigung hinzufügen. Benutzer mit Rechten auf der Root-Ebene haben Zugriff auf globale Daten auf vCenter Server, wie z. B. Rollen, benutzerdefinierte Attribute und vCenter Server-Einstellungen.
- Ziehen Sie die Aktivierung der Weitergabe in Betracht, wenn Sie einem Objekt Berechtigungen zuweisen. Durch die Weitergabe wird sichergestellt, dass neue Objekte in der Objekthierarchie Berechtigungen erben. Sie können z. B. eine Berechtigung zu einem Ordner der virtuellen Maschine zuweisen und die Weitergabe aktivieren, um sicherzustellen, dass die Berechtigung für alle virtuellen Maschinen im Ordner gilt.
- Verwenden Sie die Rolle „Kein Zugriff“, um bestimmte Bereiche der Hierarchie zu maskieren. Die Rolle „Kein Zugriff“ beschränkt den Zugriff auf die Benutzer oder Gruppen mit dieser Rolle. Im Fall von VMs und vAPPs gibt es jedoch zwei Weitergabeketten für Berechtigungen. Das Zuweisen einer weitergegebenen Berechtigung mit der Rolle „Kein Zugriff“ für eine der Ketten bedeutet nicht, dass die entsprechende vApp oder VM über keine Berechtigungen verfügt, die an sie weitergegeben werden.
- Änderungen an Lizenzen werden an alle verknüpften vCenter Server-Systeme in derselben vCenter Single Sign On-Domäne weitergegeben.
- Die Lizenzweitergabe erfolgt selbst dann, wenn der Benutzer nicht über Rechte auf allen vCenter Server-Systemen verfügt.