vSphere權(quán)限管理項(xiàng)目十目錄CONTENTS1項(xiàng)目導(dǎo)入ProjectImport2職業(yè)能力目標(biāo)和要求Vocationalcompetencyobjectivesandrequirements3相關(guān)知識(shí)relatedknowledge一、項(xiàng)目導(dǎo)入學(xué)校信息中心為了充分利用現(xiàn)有的服務(wù)器硬件資源，，將實(shí)施一個(gè)虛擬化項(xiàng)目，將原有的2臺(tái)服務(wù)器進(jìn)行虛擬化。為了進(jìn)行分級(jí)管理，對(duì)ESXi主機(jī)創(chuàng)建不同的用戶和進(jìn)行相應(yīng)的角色分配。二、職業(yè)能力目標(biāo)和要求掌握vSphere的權(quán)限類型能熟練配置vSphere中的各種權(quán)限掌握vSphere權(quán)限結(jié)構(gòu)掌握vSphere中常見(jiàn)任務(wù)所需特權(quán)三、相關(guān)知識(shí)1.vSphere中的授權(quán)在vSphere中授權(quán)用戶或組的主要方式是vCenterServer權(quán)限。根據(jù)要執(zhí)行的任務(wù)，可能需要其他授權(quán)。vSphere6.0及更高版本允許有特權(quán)的用戶以下列方式授予其他用戶執(zhí)行任務(wù)的權(quán)限。這些方法大多數(shù)互相排斥；但是，可以使用全局權(quán)限授予某些用戶對(duì)所有解決方案的權(quán)限，以及使用本地vCenterServer權(quán)限授予其他用戶對(duì)各個(gè)vCenterServer系統(tǒng)的權(quán)限。權(quán)限類型如表10-1所示。三、相關(guān)知識(shí)

三、相關(guān)知識(shí)2.vCenterServer權(quán)限模型vCenterServer系統(tǒng)的權(quán)限模型需要向vSphere對(duì)象層次結(jié)構(gòu)中的對(duì)象分配權(quán)限。每種權(quán)限都會(huì)向一個(gè)用戶或組授予一組特權(quán)，即選定對(duì)象的角色。相關(guān)概念如下：（1)權(quán)限vCenterServer對(duì)象層次結(jié)構(gòu)中的每個(gè)對(duì)象都具有關(guān)聯(lián)的權(quán)限。每個(gè)權(quán)限為一個(gè)組或用戶指定該組或用戶具有對(duì)象的哪些特權(quán)。三、相關(guān)知識(shí)（2)用戶和組在vCenterServer系統(tǒng)中，可以僅向經(jīng)過(guò)身份驗(yàn)證的用戶或經(jīng)過(guò)身份驗(yàn)證的用戶組分配特權(quán)。用戶通過(guò)vCenterSingleSign-On進(jìn)行身份驗(yàn)證。必須在vCenterSingleSign-On正用于進(jìn)行身份驗(yàn)證的標(biāo)識(shí)源中定義用戶和組。使用您的標(biāo)識(shí)源（例如ActiveDirectory）中的工具定義用戶和組。（3)角色角色允許基于用戶執(zhí)行的一系列典型任務(wù)分配對(duì)對(duì)象的權(quán)限。默認(rèn)角色（例如管理員）已在vCenterServer中預(yù)定義，不能更改。其他角色（例如資源池管理員）是預(yù)定義的樣本角色?？梢詮念^開(kāi)始或者通過(guò)克隆和修改樣本角色創(chuàng)建自定義角色。三、相關(guān)知識(shí)（4)特權(quán)特權(quán)是精細(xì)的訪問(wèn)控制。可以將這些特權(quán)分組到角色中，然后可以將其映射到用戶或組。（5)vSphere權(quán)限vSphere權(quán)限結(jié)構(gòu)如圖10-1所示。圖10-1vSphere權(quán)限結(jié)構(gòu)三、相關(guān)知識(shí)

要向?qū)ο蠓峙錂?quán)限，執(zhí)行以下步驟：①在vCenter對(duì)象層次結(jié)構(gòu)中選擇要對(duì)其應(yīng)用權(quán)限的對(duì)象。②選擇應(yīng)對(duì)該對(duì)象具有特權(quán)的組或用戶。③選擇組或用戶針對(duì)該對(duì)象應(yīng)具有的角色（即一組特權(quán)）。默認(rèn)情況下，權(quán)限會(huì)傳播，即組或用戶對(duì)選定對(duì)象及其子對(duì)象具有選定角色。權(quán)限是可以繼承的，當(dāng)向?qū)ο笫谟铏?quán)限時(shí)，可以選擇是否允許其沿對(duì)象層次結(jié)構(gòu)向下傳播。為每個(gè)權(quán)限設(shè)置傳播。傳播并非普遍適用。為子對(duì)象定義的權(quán)限將總是替代從父對(duì)象中傳播的權(quán)限。三、相關(guān)知識(shí)3.vCenterServer系統(tǒng)角色角色是一組預(yù)定義的特權(quán)。向?qū)ο筇砑訖?quán)限時(shí)，請(qǐng)將用戶或組與角色配對(duì)。vCenterServer包括多種無(wú)法更改的系統(tǒng)角色。vCenterServer提供少量默認(rèn)角色。不能更改與默認(rèn)角色關(guān)聯(lián)的特權(quán)。默認(rèn)角色以層次結(jié)構(gòu)方式進(jìn)行組織；每個(gè)角色將繼承前一個(gè)角色的特權(quán)。例如，管理員角色繼承只讀角色的特權(quán)。創(chuàng)建的角色不繼承任何系統(tǒng)角色的特權(quán)。三、相關(guān)知識(shí)（1)管理員角色分配有管理員角色的對(duì)象用戶可在對(duì)象上查看和執(zhí)行所有操作。此角色也包括只讀角色固有的所有特權(quán)。如果您使用管理員角色對(duì)對(duì)象執(zhí)行操作，可以將特權(quán)分配給各個(gè)用戶和組。如果您使用管理員角色在vCenterServer中進(jìn)行操作，可以將特權(quán)分配給默認(rèn)vCenterSingleSign-On標(biāo)識(shí)源中的用戶和組。支持的身份服務(wù)包括WindowsActiveDirectory和OpenLDAP2.4。默認(rèn)情況下，安裝后，administrator@vsphere.local用戶將對(duì)vCenterSingleSign-On和vCenterServer具有管理員角色。該用戶之后可以將其他用戶與vCenterServer上的管理員角色相關(guān)聯(lián)。三、相關(guān)知識(shí)（2)無(wú)權(quán)訪問(wèn)角色分配有無(wú)權(quán)訪問(wèn)角色的對(duì)象用戶不能以任何方式查看或更改對(duì)象。默認(rèn)情況下向新用戶和組分配此角色。administrator@vsphere.local用戶、root用戶和vpxuser用戶默認(rèn)分配有管理員角色。其他用戶默認(rèn)分配有“無(wú)權(quán)訪問(wèn)”角色。（3)只讀角色分配有只讀角色的對(duì)象用戶可查看對(duì)象的狀況和詳細(xì)信息。具有此角色的用戶可查看虛擬機(jī)、主機(jī)和資源池屬性。該用戶不能查看主機(jī)的遠(yuǎn)程控制臺(tái)。通過(guò)菜單和工具欄執(zhí)行的所有操作均被禁止。三、相關(guān)知識(shí)常見(jiàn)任務(wù)所需特權(quán)，如表10-2所示。三、相關(guān)知識(shí)

三、相關(guān)知識(shí)

三、相關(guān)知識(shí)