vCenter Server 系統的權限模型依賴於將權限指派到 vSphere 物件階層中的物件。每個權限會針對某個使用者或群組指定一組權限,即所選物件的角色。

下列概念很重要。

權限

vCenter Server 物件階層中的每個物件都擁有相關聯的權限。每個權限指定一個群組或使用者對物件擁有哪些權限。

使用者和群組

vCenter Server 系統中,您只能將權限指派給已驗證使用者或已驗證使用者的群組。使用者將透過 vCenter Single Sign-On 進行驗證。必須在 vCenter Single Sign-On 用於驗證的身分識別來源中定義使用者和群組。使用身分識別來源中的工具 (例如 Active Directory) 定義使用者和群組。

權限

權限為細密的存取控制。您可以將這些權限群組到角色,然後將角色對應到使用者或群組。

角色

角色為權限集。角色讓您能夠根據使用者一般會執行的一組工作來指派物件的權限。vCenter Server 中已預先定義預設角色 (例如管理員) 且無法變更。其他角色 (例如資源集區管理員) 為預先定義的範例角色。您可以從頭開始建立自訂角色,也可以透過複製和修改範例角色來建立自訂角色。請參閱建立自訂角色複製角色

圖表 1. vSphere 權限
數個權限合併為一個角色。會將該角色指派給使用者或群組。

若要將權限指派給物件,請遵循以下步驟執行:

  1. 選取要將 vCenter 物件階層中的權限套用至的物件。

  2. 選取應擁有該物件權限的群組或使用者。

  3. 選取個別權限或角色,即群組或使用者應擁有的一組物件權限。

    依預設,會散佈權限,即使用者或群組在所選物件及其子系物件上擁有所選角色。

vCenter Server 提供預先定義的角色,這些角色將合併常用權限集。您也可以透過合併一組角色來建立自訂角色。

通常必須在來源物件和目的地物件上同時定義權限。例如,如果您移動虛擬機器,則不僅需要該虛擬機器的權限,還需要目的地資料中心的權限。

請參閱下列資訊。

若要瞭解...

請參閱...

建立自訂角色。

建立自訂角色

所有權限和可套用權限的物件

定義的權限

不同工作的不同物件上所需的權限集。

一般工作所需的權限

獨立 ESXi 主機的權限模型更為簡單。請參閱為 ESXi 主機指派權限

vCenter Server 使用者驗證

使用目錄服務的 vCenter Server 系統將根據使用者目錄網域定期驗證使用者和群組。系統將根據 vCenter Server 設定中指定的固定間隔執行驗證。例如,假設在數個物件上為使用者 Smith 指派了某個角色。網域管理員將名稱變更為 Smith2。下次進行驗證時,主機會認為 Smith 已不存在,並從 vSphere 物件中移除與該使用者相關聯的權限。

同樣地,如果將使用者 Smith 從網域中移除,則下次進行驗證時與該使用者關聯的所有權限都會遭到移除。如果在下次進行驗證之前將新使用者 Smith 新增至網域,則新使用者 Smith 會取代舊使用者 Smith 對任何物件具有的權限。