vCenter Server 系統的權限模型依賴於將權限指派到 vSphere 物件階層中的物件。每個權限會針對某個使用者或群組指定一組權限,即所選物件的角色。

您需要瞭解以下概念:

權限

vCenter Server 物件階層中的每個物件都擁有相關聯的權限。每個權限指定一個群組或使用者對物件擁有哪些權限。

使用者和群組

vCenter Server 系統中,您只能將權限指派給已驗證使用者或已驗證使用者的群組。使用者將透過 vCenter Single Sign-On 進行驗證。必須在 vCenter Single Sign-On 用於驗證的身分識別來源中定義使用者和群組。使用身分識別來源中的工具 (例如 Active Directory) 定義使用者和群組。

角色

角色讓您能夠根據使用者一般會執行的一組工作來指派物件的權限。vCenter Server 中已預先定義預設角色 (例如管理員) 且無法變更。其他角色 (例如資源集區管理員) 為預先定義的範例角色。您可以從頭開始建立自訂角色,也可以透過複製和修改範例角色來建立自訂角色。

權限

權限為細密的存取控制。您可以將這些權限群組到角色,然後將角色對應到使用者或群組。

圖表 1. vSphere 權限
數個權限合併為一個角色。會將該角色指派給使用者或群組。

若要將權限指派給物件,請遵循以下步驟執行:

  1. 在 vCenter 物件階層中選取要套用權限的物件。

  2. 選取應擁有該物件權限的群組或使用者。

  3. 選取角色,即群組或使用者應擁有的物件權限集。依預設,會散佈權限,即使用者或群組在所選物件及其子系物件上擁有所選角色。

權限模型透過提供預先定義的角色,使工作效率得到大幅提高。您還可以合併權限,以建立自訂角色。如需所有權限和可將權限套用至其中的物件的相關參考,請參閱定義的權限。如需執行這些工作所需權限集的一些範例,請參閱一般工作所需的權限

在許多情況下,必須在來源物件和目的地物件上同時定義權限。例如,如果您移動虛擬機器,則不僅需要該虛擬機器的部分權限,還需要目的地資料中心的權限。

獨立 ESXi 主機的權限模型更為簡單。請參閱為 ESXi 指派權限

vCenter Server 使用者驗證

使用目錄服務的 vCenter Server 系統將根據使用者目錄網域定期驗證使用者和群組。系統將根據 vCenter Server 設定中指定的固定間隔執行驗證。例如,如果在數個物件上為使用者 Smith 指派了某個角色並在網域中將使用者名稱變更為 Smith2,則在下次驗證時,主機會認為 Smith 已不存在並從 vSphere 物件中移除與該使用者關聯的權限。

同樣地,如果將使用者 Smith 從網域中移除,則下次進行驗證時與該使用者關聯的所有權限都會遭到移除。如果在下次進行驗證之前將新使用者 Smith 新增至網域,則新使用者 Smith 會取代舊使用者 Smith 對任何物件具有的權限。