Utilice las prácticas recomendadas para funciones y permisos con el fin de maximizar la seguridad y la capacidad de administración del entorno de vCenter Server.

VMware recomienda las siguientes prácticas recomendadas para configurar funciones y permisos en un entorno de vCenter Server:

  • Siempre que sea posible, asigne una función a un grupo en lugar de hacerlo a usuarios individuales.

  • Otorgue permisos solo en los objetos en los que esto sea necesario y asigne privilegios solo a los usuarios o grupos que deban tenerlos. Use una cantidad mínima de permisos para facilitar la comprensión y la administración de la estructura de permisos.

  • Si asigna una función restrictiva a un grupo, compruebe que el grupo no contenga el usuario administrador u otros usuarios con privilegios administrativos. De lo contrario, podría restringir los privilegios de administradores de forma accidental en partes de la jerarquía de inventario en las que asignó la función restrictiva al grupo.

  • Use carpetas para agrupar objetos. Por ejemplo, para conceder un permiso de modificación para un grupo de hosts y ver dicho permiso en otro conjunto de hosts, coloque cada conjunto de hosts en una carpeta.

  • Tenga cuidado al agregar un permiso a los objetos raíz de vCenter Server. Los usuarios con privilegios en nivel de raíz tienen acceso a los datos globales en vCenter Server, como funciones, atributos personalizados y configuración de vCenter Server.

  • Considere la posibilidad de habilitar la propagación al asignar los permisos a un objeto. Con la propagación, garantiza que los nuevos objetos de la jerarquía de objetos hereden los permisos y los usuarios puedan acceder a ellos.

  • Utilice la función Sin acceso para enmascarar determinadas áreas de la jerarquía. La función Sin acceso restringe el acceso a los usuarios o grupos que tengan esa función.

  • Los cambios que se realicen en las licencias se propagan del siguiente modo:

    • A todos los sistemas vCenter Server que estén vinculados al mismo Platform Services Controller.

    • A las instancias de Platform Services Controller en el mismo dominio de vCenter Single Sign-On.

  • La propagación de las licencias se produce incluso si el usuario no tiene privilegios en todos los sistemas vCenter Server.