Utilisez les meilleures pratiques pour les rôles et les autorisations afin de maximiser la sécurité et la gérabilité de votre environnement vCenter Server.

VMware recommande les meilleures pratiques suivantes lorsque vous configurez les rôles et les autorisations dans votre environnement vCenter Server :

  • Lorsque cela est possible, attribuez un rôle à un groupe plutôt qu'à des utilisateurs individuels pour accorder des privilèges à ce groupe.

  • Accordez des autorisations uniquement sur les objets lorsque cela est nécessaire et attribuez des privilèges uniquement aux utilisateurs ou aux groupes qui doivent en disposer. Utiliser un nombre minimal d'autorisations facilite la compréhension et la gestion de votre structure d'autorisations.

  • Si vous assignez un rôle restrictif à un groupe, vérifiez que le groupes ne contient pas l'utilisateur d'administrateur ou d'autres utilisateurs avec des privilèges administratifs. Sinon, vous pourriez involontairement limiter les privilèges des administrateurs dans les parties de la hiérarchie d'inventaire où vous avez assigné à ce groupes le rôle restrictif.

  • Utilisez des dossiers pour grouper des objets. Par exemple, si vous souhaitez accorder une autorisation de modification sur un ensemble d'hôtes et afficher une autorisation sur un autre ensemble d'hôtes, placez chaque ensemble d'hôtes dans un dossier.

  • Soyez prudent lorsque vous ajoutez une autorisation aux objets vCenter Server racine. Les utilisateurs disposant de privilèges au niveau racine ont accès à des données globales sur vCenter Server, telles que les rôles, les attributs personnalisés et les paramètres vCenter Server.

  • Dans la plupart des cas, activez la propagation lorsque vous attribuez des autorisations à un objet. Ceci garantit que quand de nouveaux objets sont insérés dans la hiérarchie d'inventaire, ils héritent des autorisations et sont accessibles aux utilisateurs.

  • Utilisez le rôle Aucun Accès pour masquer des zones spécifiques de la hiérarchie si vous souhaitez empêcher l'accès de certains utilisateurs ou groupes aux objets qui se trouvent dans cette partie de la hiérarchie d'objets.

  • Les modifications apportées aux licences sont appliquées à tous les systèmes vCenter Server qui sont liés au même Platform Services Controller ou aux Platform Services Controller se trouvant dans le même domaine vCenter Single Sign-On, même si l'utilisateur ne dispose pas de privilèges sur tous les systèmes vCenter Server.