vcenterserver权限管理

我们先来看一下vcenter server 权限介绍

访问控制系统使vCenterserver管理员能够定义用户权限来访问库存中的对象。

那我们要分清楚几个概念：

• 权限: 每个权限为一个组或用户指定该组或用户对对象具有哪些特权

vCenter server system的权限模型依赖于为vSphere中的对象分配权限。每个权限都为一个用户或组提供一组特权，即所选对象的一个角色。每个角色决定不同的一组权限分配给不同的用户或用户组

• 特权:执行特定操作 比如打开虚拟机，创建警报
• 角色:一组特权。
• 对象:执行操作的目标。（数据中心，文件夹，资源池，集群，主机，数据存储，网络和虚拟机）
• 用户或组:可以由谁去执行这些操作，您只能将特权分配给经过身份验证的用户或经过身份验证的用户组

例如，您可以选择一个虚拟机对象，添加一个权限，将ReadOnly角色授予组1，并添加第二个权限，将Administrator角色授予用户2。通过为不同对象上的一组用户分配不同的角色，您可以控制这些用户可以在vSphere环境中执行的任务。

（用户通过vCenter单点登录进行身份验证。必须在vCenter单点登录用于身份验证的标识源中定义用户和组。使用标识源(例如Active Directory)中的工具定义用户和组。默认角色(如管理员)是在vCenter服务器上预定义的，不能更改。其他角色(如资源池管理员)是预定义的示例角色。您可以从头开始创建自定义角色，也可以通过克隆和修改示例角色来创建自定义角色）
向vCenterserver目录添加权限

• 在vsphere web client 上选择一个对象（可以是数据中心，可以是文件夹，可以是虚拟机）
• 右击add permisions 选择一个用户或者组对这个对象去实行权限 ，然后给这个用户或者组去分配一个角色

关于角色：

一组特权被分配给一个角色:

• 角色允许用户执行任务。
• 为了简化配置，将角色按类别分组（系统角色，例子角色，自定义角色）

•Administrator角色:允许具有对象的Administrator角色的用户查看和执行对象上的所有操作。
•没有密码管理员角色:对象没有密码管理员角色的用户与具有管理员角色的用户拥有相同的特权，除了密码操作特权。
•无访问角色:具有对象的无访问角色的用户不能以任何方式查看或更改对象。
•只读角色:对象的只读角色允许用户查看对象的状态和对象的详细信息。
所有角色都是相互独立的。它们之间没有层次结构或继承

对象是执行操作的实体。
对象包括数据中心、文件夹、资源池、集群、主机、数据存储、网络和虚拟机。所有对象都有一个权限选项卡。Permissions选项卡显示与所选对象关联的用户或组和角色

应用权限

• 第一种场景

直接应用于对象的权限覆盖继承的权限

权限可以沿对象层次结构向下传播到所有子对象，也可以仅应用于直接对象。
除了指定权限是否向下传播外，还可以通过显式地为较低级别的对象设置不同的权限来覆盖较高级别的权限设置。在幻灯片上，用户Greg在训练数据中心被授予只读访问权限。此角色将传播到除Prod03-2虚拟机之外的所有子对象。对于这个虚拟机，Greg是管理员。

• 第二种场景

若一个用户属于多个组，组对同一个对象有不同的权限：用户被分配多个组的权限的集合

当一个用户是不同组的成员被分配了不同的角色然后应用在同一个对象上，那么这个用户对于这个对象就具有这些角色的所有权限
在幻灯片上，Group1被分配VM_Power_On角色，这是一个自定义角色，只包含一项特权:在虚拟机上运行的能力。Group2被分配了take_snapshot角色，这是另一个自定义角色，包含创建和删除快照的特权。这两个角色都传播到子对象。因为Greg同时属于Group1和Group2，所以他获得了培训数据中心中所有对象的VM_Power_On和take_snapshot特权。

• 第三种场景

每个组队每个对象都有不同的权限，如同直接基于用户相应的权限，直接作用于对象的权限有效

当一个用户是具有对对象有不同权限的多个组的成员，相同的权限（和另一个组相同的权限）适用于该组具有权限的每个对象，就好像它们是直接授予用户的一样。
在幻灯片上，Group1在培训数据中心被分配为管理员角色，Group2在虚拟机对象Prod03-1上被分配为只读角色。授予Group1的权限被传播到子对象。因为Greg同时是Group1和Group2的成员，所以除了名为Prod03-1的虚拟机(较低层的对象)之外，他在整个培训数据中心(较高层的对象)上拥有管理员特权，并对其进行只读访问。

• 第四种场景

为对象上的用户显式定义的权限优先于同一对象上的所有组权限。

在幻灯片上，有三个权限被分配给培训数据中心:•Group1被分配给VM_Power_On角色。•Group2分配了take_snapshot角色。•Greg被分配为只读角色。因为Greg同时是Group1和Group2的成员，所以还假设在所有角色上都启用了对子对象的传播。尽管Greg同时是Group1和Group2的成员，但他对训练数据中心及其下的所有对象具有只读权限。Greg获得只读权限，因为对象上的显式用户权限优先于同一对象上的所有组权限。

创建角色：

只创建支持必要任务的角色:例如，虚拟机创建者。使用文件夹来限定执行权限范围:例如，将虚拟机创建者角色分配给用户Nancy并将其应用到财务文件夹。
虚拟机创建者角色是可以创建的角色的许多示例之一。作为一种最佳实践，使用尽可能少的特权定义一个角色，以便最大限度地提高对环境的安全性和控制。
另外，给出角色名称，明确指出每个角色允许的内容，以明确其用途。
使用文件夹来包含权限范围。
例如，要限制虚拟机的创建，请在VMs和Templates inventory视图中创建一个文件夹。在此文件夹中为用户应用虚拟机创建者角色。