vCenter Server 環境のセキュリティと管理性を最大にするため、ロールと権限のベスト プラクティスを使用します。

vCenter Server 環境のロールと権限を構成するときは、次のベスト プラクティスが推奨されます。

  • 可能であれば、個々のユーザーではなく、グループに権限を付与する。

  • 権限は、必要な場所にのみ付与する。使用する権限の数を最小限にすることで、権限構造が分かりやすくなり、管理が簡単になります。

  • 制限付きロールをグループに割り当てる場合は、そのグループにシステム管理者ユーザーまたはその他の管理権限を持つユーザーが含まれていないことを確認してください。含まれている場合、グループに制限付きロールを割り当てたインベントリ階層の一部で、管理者の権限が誤って制限されます。

  • フォルダを使用してオブジェクトをグループ化します。たとえば、1 つのホスト セットに対する変更権限と別のホスト セットに対する表示権限を 1 つのユーザー グループに付与する場合、各ホスト セットを 1 つのフォルダに入れます。

  • vCenter Server のルート レベルで権限を付与するときは注意する。ルート レベルの権限を持つユーザーは、ロール、カスタム属性、vCenter Server の設定、ライセンスなど、vCenter Server のグローバル データにアクセスできます。ライセンスとロールの変更は、リンク モード グループ内のすべての vCenter Server システムに継承されます。これは、ユーザーがそのグループ内のすべての vCenter Server システムに対する権限を持っていない場合も行われます。

  • ほとんどの場合、権限の伝達を有効にする。これによって、新しいオブジェクトをインベントリ階層に挿入したときに、権限が継承され、ユーザーがアクセスできるようになります。

  • 特定のユーザーまたはグループがアクセスできないようにする階層内の特別な領域は、アクセスなしロールを使用してマスクします。