Utilice las prácticas recomendadas para funciones y permisos con el fin de maximizar la seguridad y la capacidad de administración del entorno de vCenter Server.

VMware recomienda las siguientes prácticas recomendadas para configurar funciones y permisos en un entorno de vCenter Server:

  • Cuando sea posible, en lugar de que los usuarios individuales otorguen privilegios a un grupo, asigne una función a este último.

  • Otorgue permisos solo en los objetos en los que esto sea necesario y asigne privilegios solo a los usuarios o grupos que deban tenerlos. El uso de una cantidad mínima de permisos facilita la comprensión y la administración de la estructura de permisos.

  • Si asigna una función restrictiva a un grupo, compruebe que el grupo no contenga el usuario administrador u otros usuarios con privilegios administrativos. De lo contrario, es posible que restrinja privilegios de administradores de forma accidental en partes de la jerarquía de inventario en las que asignó la función restrictiva al grupo.

  • Use carpetas para agrupar objetos. Por ejemplo, si desea otorgar un permiso de modificación para un grupo de hosts y ver dicho permiso en otro conjunto de hosts, coloque cada conjunto de hosts en una carpeta.

  • Tenga cuidado al agregar un permiso a los objetos raíz de vCenter Server. Los usuarios con privilegios en nivel de raíz tienen acceso a los datos globales en vCenter Server, como funciones, atributos personalizados y configuración de vCenter Server.

  • En la mayoría de los casos, habilite la propagación al asignar permisos para un objeto. Esto garantiza que los objetos nuevos que se inserten en la jerarquía de inventario hereden los permisos y sean accesibles para los usuarios.

  • Utilice la función Sin acceso para enmascarar áreas específicas de la jerarquía si no desea que determinados usuarios o grupos tengan acceso a los objetos de esa parte de la jerarquía de objetos.

  • Los cambios en las licencias se propagan a todos los sistemas de vCenter Server vinculados a la misma instancia de Platform Services Controller o a Platform Services Controller del mismo dominio de vCenter Single Sign-On, incluso si el usuario no tiene privilegios en todos los sistemas vCenter Server.