使用角色和權限的最佳做法,盡可能地提高 vCenter Server 環境的安全性和管理性。

vCenter Server 環境中設定角色和權限時,VMware 建議採用下列最佳做法:

  • 如有可能,請將角色指派給群組而不是個別使用者,以便將權限授與該群組。

  • 僅在有需要的物件上授與權限,並且僅將權限指派給必須具有這些權限的使用者或群組。使用最少權限數可以更輕鬆地瞭解和管理權限結構。

  • 如果要為群組指派限制性角色,請確定該群組不包含管理員使用者或其他具有管理權限的使用者。否則,您可能無意中限制了詳細目錄階層組成部分 (已從中向該群組指派了限制性角色) 中管理員的權限。

  • 使用資料夾將物件分組。例如,如果您想在一組主機上授與修改權限,而在另一組主機上授與檢視權限,請將每組主機置於一個資料夾中。

  • 將權限新增到根 vCenter Server 物件時,請務必謹慎。具有根層級權限的使用者有權存取 vCenter Server 上的全域資料,如角色、自訂屬性、vCenter Server 設定。

  • 大多數情況下,請在將權限指派給某物件時啟用傳播。這樣可確保在向詳細目錄階層中插入新物件時,這些物件會繼承權限並且可供使用者存取。

  • 如果不希望特定使用者或群組擁有該部分物件階層中之物件的存取權,請使用無存取權角色來遮罩階層的特定區域。

  • 即使使用者沒有所有 vCenter Server 系統的權限,對授權的變更也會散佈到連結到相同 Platform Services Controller 或相同 vCenter Single Sign-On 網域中 Platform Services Controller 的所有 vCenter Server 系統。