角色是一組預先定義的權限。當您將權限新增到物件時,同時也會將使用者或群組與角色進行配對。vCenter Server 包括數個系統角色,您無法變更這些角色。

vCenter Server 系統角色

vCenter Server 提供幾個預設角色。不能變更與預設角色關聯的權限。預設角色以階層方式進行組織整理。每個角色會繼承前一個角色的權限。例如,管理員角色會繼承唯讀角色的權限。您建立的角色不會繼承任何系統角色的權限。

管理員角色

具有某物件之管理員角色的使用者,能夠檢視該物件並對其執行所有動作。此角色還包括唯讀角色中的所有固有權限。如果您充當的是某物件上的管理員角色,則可以將權限指派給個別使用者和群組。如果您充當的是 vCenter Server 中的管理員角色,則可以將權限指派給預設 vCenter Single Sign-On 身分識別來源中的使用者和群組。支援的身分識別服務包括 Windows Active Directory 和 OpenLDAP 2.4。

依預設,安裝完成後,administrator@vsphere.local 使用者會同時在 vCenter Single Sign-OnvCenter Server 上獲得管理員角色。此時,該使用者即可將其他使用者與 vCenter Server 上的管理員角色進行關聯。

無密碼編譯管理員角色

具有某物件之無密碼編譯管理員角色的使用者擁有與具有管理員角色的使用者相同的權限,除了密碼編譯作業權限之外。這個角色允許管理員指定其他管理員,所指定管理員無法加密或解密虛擬機器,也無法存取已加密資料,但可執行所有其他管理工作。

無存取權角色

具有某物件之無存取權角色的使用者無法以任何方式檢視或變更該物件。依預設,新的使用者和群組會指派此角色。您可以逐物件地變更角色。

vCenter Single Sign-On 網域的管理員 (依預設為 administrator@vsphere.local)、根使用者以及 vpxuser 將依預設獲指派管理員角色。依預設,其他使用者將獲指派無存取權角色。

唯讀角色

具有某物件之唯讀角色的使用者能夠檢視該物件的狀態和有關該物件的詳細資料。例如,具有此角色的使用者可檢視虛擬機器、主機以及資源集區屬性,但無法檢視主機的遠端主控台。透過功能表和工具列執行的所有動作均會遭到禁止。

最佳做法是在根層級建立使用者,並將管理員角色指派給該使用者。建立具有管理員權限的具名使用者後,您可從任何權限移除根使用者,或將其角色變更為無存取權。