Siga las prácticas recomendadas para funciones y permisos a fin de maximizar la seguridad y la facilidad de administración del entorno de vCenter Server.
Siga estas prácticas recomendadas para configurar funciones y permisos en un entorno de vCenter Server:
- Siempre que sea posible, asigne una función a un grupo en lugar de hacerlo a usuarios individuales.
- Otorgue permisos solo en los objetos en los que esto sea necesario y asigne privilegios solo a los usuarios o grupos que deban tenerlos. Use la cantidad mínima de permisos para facilitar la comprensión y la administración de la estructura de permisos.
- Si asigna una función restrictiva a un grupo, compruebe que el grupo no contenga el usuario administrador u otros usuarios con privilegios administrativos. De lo contrario, podría restringir los privilegios de administradores de forma accidental en partes de la jerarquía de inventario en las que asignó la función restrictiva al grupo.
- Agrupe los objetos en carpetas para que sea más fácil asignar permisos. Por ejemplo, para conceder el permiso de modificación para un grupo de hosts y el permiso de visualización para otro conjunto de hosts, coloque cada conjunto de hosts en una carpeta.
- Tenga cuidado al agregar un permiso a los objetos raíz de vCenter Server. Los usuarios con privilegios en nivel de raíz tienen acceso a los datos globales en vCenter Server, como funciones, atributos personalizados y configuración de vCenter Server.
- Considere la posibilidad de habilitar la propagación al asignar los permisos a un objeto. La propagación garantiza que los objetos nuevos de la jerarquía de objetos hereden los permisos. Por ejemplo, puede asignar un permiso a una carpeta de máquina virtual y habilitar la propagación para garantizar que el permiso se aplique a todas las máquinas virtuales de la carpeta.
- Utilice la función Sin acceso para enmascarar determinadas áreas de la jerarquía. La función Sin acceso restringe el acceso a los usuarios o grupos que tengan esa función. Sin embargo, en el caso de las máquinas virtuales y las VMware® vApp, existen dos cadenas de propagación de permisos. La asignación de un permiso de propagación con la función Sin acceso en una de las cadenas no implica que la vApp o la máquina virtual respectivas no tengan privilegios propagados en ellas.
- Los cambios en las licencias se propagan a todos los sistemas vCenter Server vinculados en el mismo dominio de vCenter Single Sign-On.
- La propagación de las licencias se produce incluso si el usuario no tiene privilegios en todos los sistemas vCenter Server.