VMwarevCenter访问控制..docx

VMware vCenter 访问控制1. 简介使用用户、组、角色和权限可控制哪些用户可以访问 vSphere 受管对象以及他们可以执行哪些操作。vCenter Server 和 ESX/ESXi 主机根据分配给用户的权限确定用户的访问级别。vCenter Server 和 ESX/ESXi 主机凭借用户名、密码和权限组合这一机制对用户的访问权限进行验证并授予其执行操作的权限。服务器和主机将维护授权用户及分配给每个用户的权限的列表。特权定义执行操作和读取属性所需的基本个人权限。ESX/ESXi 和 vCenter Server 使用一组特权或角色来控制哪些用户或组可以访问特定的 vSphere 对象。ESX/ESXi 和 vCenter Server 提供一组预定角色。您也可以创建新的角色。特别注意的是：在ESX/ESXi 主机上分配的特权和角色与在 vCenter Server 系统上分配的特权和角色是相互独立的。当使用vCenter Server 管理主机时，只有通过 vCenter Server 系统分配的特权和角色可用。如果使用 vSphere Client直接连接主机，则只有直接在主机上分配的特权和角色可用。2. vSphere 用户/组用户是经过授权可登录主机或 vCenter Server 的个人。多个用户可以在同一时间从不同的 vSphere Client 会话访问 vCenter Server 系统。vSphere 未明确限制具有相 同身份验证凭据的用户同时访问 vSphere 环境并在其中执行操作。单独管理在vCenter Server 系统上定义的用户和在单个主机上定义的用户。即使主机和 vCenter Server 系统的用户列表似乎有共同的用户（例如，称为 devuser 的用户），也应将这些用户视为碰巧拥有相同名称的独立用户。vCenter Server 中的 devuser 属性（包括权限和密码等）与 ESX/ESXi 主机上的 devuser 属性相互独立。如果以devuser 身份登录 vCenter Server，则可能拥有查看和删除数据存储内文件的权限。如果以 devuser 身份登录ESX/ESXi 主机，则可能没有这些权限。2.1 vCenter Server 用户vCenter Server 授权用户是包括在 vCenter Server 引用的 Windows 域列表中的用户，或者是 vCenter Server系统上的本地 Windows 用户。一旦用户连接到 vCenter Server，便会应用这些用户定义的权限。不能使用 vCenter Server 手动创建、移除或以其他方式更改 vCenter Server 用户。要 操作用户列表或更改用户密码，使只能使用用于管理 Windows 域或活动目录的工具。对 Windows 域作出的任何更改均反映在 vCenter Server 中。由于不能直接管理 vCenter Server 中的用户，因此用户界面不会提供用户列表供您查看。只有在选择用户为其配置权限时才会看到这些更改。链接模式组中已连接的 vCenter Server 使用活动目录维护用户列表，以允许该组中的所有 vCenter Server 系统共享公用的用户集。2.2 主机用户经授权直接在 ESX/ESXi 主机上工作的用户已在安装 ESX/ESXi 时默认添加到内部用户列表，或者由系统管理员在安装后添加到内部用户列表。如果使用 vSphere Client 以 root 身份登录到 ESX/ESXi 主机，则可以使用用户和组选项卡执行针对这些用户的各种管理活动。可以添加用户、移除用户、更改密码、设置组成员资格并配置权限。每台 ESX/ESXi 主机都有两个默认用户：根用户(root)拥有全部管理特权。管理员使用此用户登录，并可使用其关联的密码通过 vSphere Client 登录主机。根用户可在其所登录的特定主机上执行所有控制操作，包括操作权限、创建组和用户（仅在 ESX/ESXi 主机上）以及使用事件等。 vpxuser 用户是一个 vCenter Server 实体，在 ESX/ESXi 主机上拥有根权限，能够管理该主机上的活动。vpxuser 在 ESX/ESXi 主机连接 vCenter Server 时创建。除非通过 vCenter Server 对该主机进行了管理，否则它不会显示在 ESX 主机上。 2.3 组vCenter Server 和 ESX/ESXi 主机上的组列表的来源与其各自用户列表的来源相同。如果通过 vCenter Server进行操作，则会从 Windows 域调用组列表。如果直接登录 ESX/ESXi 主机，则在该主机维护的表中