Siga las prácticas recomendadas para funciones y permisos a fin de maximizar la seguridad y la facilidad de administración del entorno de vCenter Server.
Siga estas prácticas recomendadas para configurar funciones y permisos en un entorno de vCenter Server:
- Siempre que sea posible, asigne una función a un grupo en lugar de hacerlo a usuarios individuales.
- Otorgue permisos solo en los objetos en los que esto sea necesario y asigne privilegios solo a los usuarios o grupos que deban tenerlos. Use una cantidad mínima de permisos para facilitar la comprensión y la administración de la estructura de permisos.
- Si asigna una función restrictiva a un grupo, compruebe que el grupo no contenga el usuario administrador u otros usuarios con privilegios administrativos. De lo contrario, podría restringir los privilegios de administradores de forma accidental en partes de la jerarquía de inventario en las que asignó la función restrictiva al grupo.
- Use carpetas para agrupar objetos. Por ejemplo, para conceder un permiso de modificación para un grupo de hosts y ver dicho permiso en otro conjunto de hosts, coloque cada conjunto de hosts en una carpeta.
- Tenga cuidado al agregar un permiso a los objetos raíz de vCenter Server. Los usuarios con privilegios en nivel de raíz tienen acceso a los datos globales en vCenter Server, como funciones, atributos personalizados y configuración de vCenter Server.
- Considere la posibilidad de habilitar la propagación al asignar los permisos a un objeto. La propagación garantiza que los objetos nuevos de la jerarquía de objetos hereden los permisos. Por ejemplo, puede asignar un permiso a una carpeta de máquina virtual y habilitar la propagación para garantizar que el permiso se aplique a todas las máquinas virtuales de la carpeta.
- Utilice la función Sin acceso para enmascarar determinadas áreas de la jerarquía. La función Sin acceso restringe el acceso a los usuarios o grupos que tengan esa función.
- Los cambios que se realicen en las licencias se propagan del siguiente modo:
- A todos los sistemas vCenter Server que estén vinculados al mismo Platform Services Controller.
- A las instancias de Platform Services Controller en el mismo dominio de vCenter Single Sign-On.
- La propagación de las licencias se produce incluso si el usuario no tiene privilegios en todos los sistemas vCenter Server.