環境說明:
AD域-> centaline.net
閱讀目錄:
登陸vCenter后,在 系統管理 -> 配置 -> 標識源 里面,添加 AD標識源。
切換到相關的域下面,就可以看到對應的活動目錄對象
我們一般不會針對單個AD用戶授權,推薦給AD組授權。
如果想給某個AD安全組:vmadmins,授權vCenter管理員權限的話,切換到組,找到administrators組,加入AD域的安全組vmadmins,那么AD域中vmadmins中的所有用戶都具有vCenter管理員權限了。
全局權限=角色+用戶和組
在 vCenter Server 環境中配置角色和權限時,VMware 建議采用以下最佳做法:
•如果可能,請向組分配角色,而不要向單個用戶分配角色,以便向該組授予特權。
•僅授予對被需要對象的權限,僅向必須擁有特權的用戶或組分配特權。
•如果要為組分配限制性角色,請檢查該組是否不包括管理員用戶或其他具有管理特權的用戶。否則,您可能無意識地限制了部分清單層次結構(已從中向該組分配了限制性角色)中管理員的特權。
•使用文件夾對對象進行分組。例如,如果要授予對一組主機的修改權限並授予對另一組主機的查看權限,請將各組主機置於一個文件夾中。
•向根 vCenter Server 對象添加權限時要小心。具有根級別特權的用戶有權訪問 vCenter Server 上的全局數據。
•在大多數情況下,向對象分配權限時啟用傳播功能。這可確保當向清單層次結構中插入新對象時,它們會繼承權限並且用戶可以對其進行訪問。
•使用“無權訪問”角色可屏蔽您希望特定用戶或組無權訪問的對象層次結構中的特定區域。
•對許可證所做的更改會傳播到鏈接到同一 Platform Services Controller 或同一 vCenter Single Sign-On 域中 Platform Services Controller 的所有 vCenter Server 系統,即使用戶並未對所有 vCenter Server 系統擁有特權也會傳播。
先創建 角色 。
讓用戶與角色關聯起來,授權就完成了。
