管理用戶和用戶組

用戶具有登錄vCenter主機(jī)或VMWare ESX/ESXi服務(wù)器的權(quán)限，用戶組可以包括若干用戶，可授予其相同的權(quán)限。用戶或用戶組可在VMWare ESX/ESXi服務(wù)器創(chuàng)建，也可在vCenter主機(jī)上創(chuàng)建。當(dāng)然，也可借助于Active Directory域賬戶進(jìn)行授權(quán)。對(duì)于vCenter主機(jī)來說，可以加入域環(huán)境，也可以運(yùn)行在工作組環(huán)境下。如果加入到域中，那么對(duì)于域中的域管理員來說，默認(rèn)擁有了對(duì)vCenter管理的所有ESX/ESXi服務(wù)器，虛擬機(jī)等對(duì)對(duì)象完全的控制權(quán)限。

即系統(tǒng)會(huì)自動(dòng)為Active Directory中 名 為“ESX Admins”組中的用戶分配Administartor角 色。Active Directory服務(wù)可以為本地服務(wù)提供身份驗(yàn)證，對(duì)于ESX/ESXi主機(jī)來說，可以使用活動(dòng)目錄域賬戶，通過vSphere Client進(jìn)行登錄。當(dāng)然，只有域管理員組中的成員才可以使用DCUI直接控制臺(tái)界面。在vCenter主機(jī)和ESX/ESXi主機(jī)分別管理自己的角色組，角色是分開管理的，即某個(gè)用戶直接登錄到ESX/ESXi主機(jī)上，在vCenter主機(jī)上創(chuàng)建的角色，在ESX/ESXi主機(jī)上是看不到的。

使用角色來分配權(quán)限

角色是一個(gè)或多個(gè)特權(quán)的組合，使用特權(quán)可以執(zhí)行特定的任務(wù)，可以將一項(xiàng)特權(quán)和其他特權(quán)劃分為一個(gè)組。例如對(duì)于虛擬機(jī)Power User組來說，可以授予其對(duì)數(shù)據(jù)存儲(chǔ)，Global等訪問權(quán)限。

角色可以按照類別進(jìn)行分類，例如系統(tǒng)角色、示例角色、自定義角色等。對(duì)于系統(tǒng)角色來說，是永久的不可刪除的，不能編輯與這些角色相關(guān)的特權(quán)。例如管理員角色、Read only角色等。對(duì)于示例角色來說，VMWare為了方便起見角色定義，提供了樣本角色作為準(zhǔn)則和建議，可以根據(jù)需要修改或刪除這些角色。

在ESX/ESXi主 機(jī) 和vCenter主機(jī)上提供了一些默認(rèn)的角色，包括管理員角色、只讀角色和無權(quán)訪問角色等，這些角色是系統(tǒng)角色，無法進(jìn)行編輯和刪除。對(duì)于管理員角色來說，就具有對(duì)所有對(duì)象的訪問特權(quán)，可以為vSphere環(huán)境中的所有vCenter主機(jī)用戶和所有虛擬對(duì)象執(zhí)行添加、移除和設(shè)置訪問權(quán)限和特權(quán)。對(duì)于只讀角色來說，可以查看對(duì)象的狀態(tài)和詳細(xì)信息，但不能對(duì)其編輯和修改，其無權(quán)查看這些對(duì)象的屬性，其可以查看vSphere Client中除了控制臺(tái)頁面之外的所有頁面內(nèi)容，也無法利用菜單或工具欄執(zhí)行任何操作。對(duì)于無權(quán)訪問角色來說，通常用于撤銷從父對(duì)象傳播下來的子對(duì)象的權(quán)限。在配置權(quán)限時(shí)，存在一個(gè)向下傳遞的過程，如果不希望某個(gè)對(duì)象繼承上面一層父對(duì)象的權(quán)限，即撤銷繼承的權(quán)限，就要授予無權(quán)訪問角色。

利用權(quán)限來管理對(duì)象

對(duì)象即要對(duì)其執(zhí)行操作的實(shí)體，包括數(shù)據(jù)中心、文件夾、資源池、群集、主機(jī)、數(shù)據(jù)存儲(chǔ)、網(wǎng)絡(luò)、虛擬機(jī)等。對(duì)于每一個(gè)對(duì)象來說，都可以在與之關(guān)聯(lián)的“Permissions”頁面中對(duì)其進(jìn)行權(quán)限控制，即允許哪些賬戶對(duì)于執(zhí)行何種操作權(quán)限。例如對(duì)某賬戶來說，對(duì)其擁有管理權(quán)限，某些賬戶對(duì)其擁有只讀權(quán)限等。在分配權(quán)限時(shí)，可以在清單中選擇一個(gè)對(duì)象，在權(quán)限頁面中執(zhí)行添加權(quán)限操作，在分配權(quán)限窗口左側(cè)選擇具體的用戶，在角色分配列表中為其選定所需的角色，如果選擇“Propagate to Child Object”項(xiàng)，表示可以將權(quán)限傳遞給子對(duì)象。否則的話，這些角色值授予當(dāng)前對(duì)象，當(dāng)前對(duì)象下的子對(duì)象是不會(huì)繼承權(quán)限的。

例如對(duì)數(shù)據(jù)中心進(jìn)行了授權(quán)，在該數(shù)據(jù)中心下有多臺(tái)ESX/ESXi主機(jī)，如果禁止繼承權(quán)限的話，那么這些ESX/ESXi主機(jī)將不會(huì)繼承這里的權(quán)限。當(dāng)給對(duì)象分配了相應(yīng)的角色，授予適當(dāng)?shù)臋?quán)限，之后可以對(duì)其進(jìn)行查看，了解某角色分配了哪些對(duì)象，以及該角色授予了哪些用戶和用戶組具體的權(quán)限。在vSphere Client中切換到主頁面板，在系統(tǒng)管理下的角色欄中進(jìn)行查看。在角色列表中例如選擇某個(gè)角色，來查看其對(duì)于數(shù)據(jù)中心有哪些管理選項(xiàng)，對(duì)哪些文件夾和ESXi主機(jī)，以及這些ESXi主機(jī)上有哪些虛擬機(jī)和用戶進(jìn)行管理操作。在信息面板中會(huì)顯示得到該角色的用戶和用戶組信息，權(quán)限可以沿著對(duì)象層次結(jié)構(gòu)向下傳遞給所有的子對(duì)象，例如當(dāng)對(duì)數(shù)據(jù)中心設(shè)置了權(quán)限后，其下的所有虛擬機(jī)都將繼承該權(quán)限。

當(dāng)然，也可以對(duì)其中的子對(duì)象直接定義權(quán)限。例如，當(dāng)對(duì)某用戶設(shè)置了對(duì)于數(shù)據(jù)中心的管理員角色，那么該用戶對(duì)其中的所有虛擬機(jī)都具有管理權(quán)限。如果想禁止該用戶管理其中的某臺(tái)虛擬機(jī)，可以直接對(duì)其該虛擬機(jī)對(duì)象應(yīng)用權(quán)限，即授予其沒有訪問權(quán)限。這和大家熟悉Windows的權(quán)限疊加機(jī)制不同，當(dāng)對(duì)較低級(jí)別的對(duì)象單獨(dú)設(shè)置了權(quán)限，則會(huì)替換從較高級(jí)別對(duì)象繼承下來的權(quán)限，即其權(quán)限的優(yōu)先級(jí)更高。如果某個(gè)用戶隸屬于多個(gè)用戶組，而不同的用戶組對(duì)于同一個(gè)對(duì)象擁有不同的權(quán)限，那么該用戶就具有了分配給這些用戶組的所有權(quán)限，例如虛擬機(jī)開機(jī)權(quán)限，創(chuàng)建虛擬機(jī)快照權(quán)限等。如果某用戶隸屬于多個(gè)用戶組，而這些組具有訪問不同對(duì)象的權(quán)限，那么對(duì)于這些組有權(quán)訪問的每個(gè)對(duì)象。該用戶也可以擁有相同的訪問權(quán)限，猶如為該用戶賦予了這些權(quán)限一樣。

例如用戶A屬于組1和組2，組1擁有對(duì)數(shù)據(jù)中心的管理權(quán)限，組2擁有對(duì)某虛擬機(jī)的只讀權(quán)限，那么用戶A將擁有上述所有權(quán)限。對(duì)于某個(gè)對(duì)象來說，當(dāng)用戶A隸屬于多個(gè)用戶組的話，當(dāng)對(duì)用戶A單獨(dú)設(shè)置了訪問權(quán)限，那么其優(yōu)先級(jí)要高于其隸屬的不同用戶組的權(quán)限。例如對(duì)于用戶A，設(shè)置了其擁有對(duì)數(shù)據(jù)中心的只讀權(quán)限，該用戶隸屬于組1和組2，這兩個(gè)組擁有對(duì)數(shù)據(jù)中心不同的權(quán)限，那么用戶A的權(quán)限將覆蓋其在這些組中獲取的權(quán)限，即其只擁有只讀權(quán)限，不具有其他權(quán)限，這和Windows的權(quán)限管理機(jī)制截然不同。

可以根據(jù)需要，使用管理員特權(quán)身份登錄，在vCenter或者ESXi主機(jī)上創(chuàng)建自定義角色，便于委派合適的工作任務(wù)。注意，在執(zhí)行具體操作時(shí)，應(yīng)以盡可能小的特權(quán)來定義角色來提高系統(tǒng)的安全性以及控制力度。例如，可以使用文件夾來限定權(quán)限，在vCenter主機(jī)上使用VM和模版清單，在其中創(chuàng)建某個(gè)文件夾，在該文件夾下創(chuàng)建多個(gè)虛擬機(jī)，之后對(duì)用戶賦予創(chuàng)建虛擬機(jī)的權(quán)限，并將其應(yīng)用到該文件夾中。然后創(chuàng)建一個(gè)虛擬機(jī)角色，授權(quán)其分配磁盤空間、分配網(wǎng)絡(luò)權(quán)限、創(chuàng)建虛擬機(jī)清單、創(chuàng)建磁盤和網(wǎng)絡(luò)、配置虛擬機(jī)等權(quán)限。將該角色授予該用戶，即可讓其擁有相關(guān)的權(quán)限。

在ESXi主機(jī)上管理賬戶

使用域管理員身份登錄域控，在活動(dòng)目錄用戶和計(jì)算機(jī)窗口左側(cè)選擇“Computers”項(xiàng)，在右側(cè)可以看到所有的ESXi和vCenter主機(jī)，如果不存在則需要加入到域中。運(yùn)行vSphere Client，輸入目標(biāo)vCenter主機(jī)IP，以Root賬戶和密碼登錄。注意，以域管理員賬戶登錄是不行的，因?yàn)槠湓谀繕?biāo)ESXi主機(jī)上不具有本地管理員角色。而根賬戶是擁有對(duì)該機(jī)的管理權(quán)限。在vSphere Client界面中依次點(diǎn)擊菜單“系統(tǒng)管理”→“清單”→“清單”項(xiàng)，可以查看在當(dāng)前ESXi主機(jī)上存在的虛擬機(jī)信息。

在左側(cè)選擇該ESXi主機(jī)項(xiàng)，依次點(diǎn)擊菜單“清單”→“系統(tǒng)管理”→“角色”項(xiàng)，在角色列表中看到內(nèi)置的無權(quán)訪問、只讀、管理員角色。選擇對(duì)應(yīng)角色，在右側(cè)可以顯示其使用情況。例如選擇管理員角色，在右側(cè)顯示Root賬戶、DCUI、進(jìn)程管理賬戶等用戶擁有該角色。要對(duì)用戶授予角色，可打開清單列表，在右側(cè)的“本地用戶和組”面板選擇用戶或組標(biāo)簽，右鍵點(diǎn)擊“添加”項(xiàng)，來添加新的用戶或組。例如，在新增用戶窗口中輸入登錄名（例 如“administrator”）和密碼，選擇“授予該用戶shell程序訪問權(quán)限”項(xiàng)，可以讓其通過Shell執(zhí)行管理操作。在“組”列表中選擇“root”項(xiàng)，點(diǎn)擊“確定”按鈕，添加該賬戶。

在“權(quán)限”面板中可以看到，Root組擁有管理員角色，這樣該賬戶就擁有了針對(duì)該ESXi主機(jī)的完全管理權(quán)限。之后關(guān)閉vSphere Client，以該 Administrator賬戶身份進(jìn)行登錄，在“權(quán)限”面板中的右鍵菜單中點(diǎn)擊“添加權(quán)限”項(xiàng)，在“分配權(quán)限”窗口中的“用戶和組”欄中點(diǎn)擊“添加”按鈕，在“打開”窗口中的“域”列表中選擇“服務(wù)器”項(xiàng)，選擇該“administrator”賬戶，點(diǎn)擊“添加”按鈕添加進(jìn)來。點(diǎn)擊“確定”按鈕，在用戶和組列表中可以看到，該賬戶擁有的是只讀角色。如果想為其賦予管理員角色，可在“分配的角色”列表中選擇“管理員”項(xiàng)，點(diǎn)擊“確定”按鈕，這樣，就授權(quán)了該本地用戶擁有管理員角色。當(dāng)然，在每臺(tái)ESXi主機(jī)分別創(chuàng)建本地賬戶，管理起來比較繁瑣。

為此，可以使用活動(dòng)目錄域賬戶進(jìn)行集中管理。可以選擇該ESXi主機(jī)，針對(duì)某用戶進(jìn)行權(quán)限設(shè)定，也可以選擇其下的某虛擬機(jī)，來設(shè)定訪問權(quán)限。注意，針對(duì)子對(duì)象的權(quán)限設(shè)定會(huì)覆蓋從父對(duì)象繼承的權(quán)限。例如，想讓域管理員擁有對(duì)該ESXi主機(jī)的訪問權(quán)限，可以在“權(quán)限”面板中的右鍵菜單上點(diǎn)擊“添加權(quán)限”項(xiàng)，在“打開”窗口點(diǎn)擊“添加”按鈕，在“選擇用戶和組”窗口中的“域”列表中選擇具體的域名，在列表中顯示該域中的所有賬戶信息，注意這里不是該ESXi主機(jī)的本地賬戶。選擇域管理員賬戶Administrator，將其添加進(jìn)來，按照上述方法，授予其本地管理員權(quán)限。之后就可以以域管理員身份登錄即可，注意其賬戶名表示格式為“xxxadministrator”，其中的“xxx”為域名。

使用自定義角色實(shí)現(xiàn)管理操作

除使用系統(tǒng)自帶角色外，還可使用自定義角色來大大提高管理靈活性。在域控上打 開Active Directory用戶和計(jì)算機(jī)窗口，在左側(cè)選擇“Users”項(xiàng)，在右鍵菜單上依次點(diǎn)擊“新建”→“用戶”項(xiàng)，分別創(chuàng)建名為“User1”和“User2”的賬戶，為其設(shè)置一個(gè)復(fù)雜的密碼，選擇“用戶不能更改密碼”和“密碼永不過期”項(xiàng)。運(yùn)行vSphere Client，以上述Administrator賬戶登錄，在地址欄中選擇“主頁”項(xiàng)，在清單欄中雙擊“主機(jī)和群集”項(xiàng)，在左側(cè)顯示所有的EXSi主機(jī)以及其下運(yùn)行的所有虛擬機(jī)。

在地址欄中點(diǎn)擊“主機(jī)和群集”→“虛擬機(jī)和模版”項(xiàng)（或 者 點(diǎn) 擊“Ctrl+Shift+V”鍵），在左側(cè)顯示正在運(yùn)行的虛擬機(jī)。點(diǎn)擊地址欄中的“清單”→“系統(tǒng)管理”→“角色”項(xiàng)（或 點(diǎn) 擊“Ctrl+Shift+R”鍵），在角色管理窗口左側(cè)顯示無權(quán)訪問、只讀、管理員、虛擬機(jī)超級(jí)用戶、虛擬機(jī)用戶、資源池管理員、Vmware Consolidated用戶等角色。點(diǎn)擊工具欄上的“添加角色”按鈕，輸入自定義角色名稱（例如“Newrole”），在特權(quán)列表中為其指派權(quán)限，例如選擇“數(shù)據(jù)存儲(chǔ)”項(xiàng)，使其擁有數(shù)據(jù)存儲(chǔ)的管理權(quán)限，選擇“網(wǎng)絡(luò)”項(xiàng)，授予訪問網(wǎng)絡(luò)的權(quán)限，選擇“資源”項(xiàng)，授予訪問資源權(quán)限。選擇“虛擬機(jī)”→“配置”項(xiàng)，授予管理虛擬機(jī)的權(quán)限，例如添加現(xiàn)有磁盤、添加新磁盤、移除磁盤、主機(jī)USB設(shè)備連接等。選擇“虛擬機(jī)”→“交互”項(xiàng)，授予其相關(guān)的交互權(quán)限。選擇“虛擬機(jī)”→“清單”→“新建”項(xiàng)，允許其新建清單，但不允許其刪除清單。設(shè)置相關(guān)特權(quán)后，點(diǎn)擊“確定”按鈕創(chuàng)建該自定義角色。

注意，為了讓該用戶順利創(chuàng)建虛擬機(jī)，需要在ESXi主機(jī)級(jí)別指派權(quán)限，在主機(jī)和群集頁面中選擇合適的ESXi主機(jī)，在右側(cè)的“權(quán)限”面板中點(diǎn)擊右鍵，在彈出菜單中點(diǎn)擊“添加權(quán)限”項(xiàng)，在“分配權(quán)限”窗口中添加域賬戶“User1”，在“分配的角色”列表中選擇上述“Newrole”角色，點(diǎn)擊“確定”按鈕保存配置。這樣，域賬戶就擁有了在該ESXi主機(jī)上創(chuàng)建虛擬機(jī)的權(quán)限。為便于在公用存儲(chǔ)上創(chuàng)建虛擬機(jī)，打開數(shù)據(jù)存儲(chǔ)和數(shù)據(jù)存儲(chǔ)群集界面，在左側(cè)選擇合適的公用存儲(chǔ)對(duì)象，在右側(cè)的“權(quán)限”面板中使用同樣非方法，授予域賬戶“User1”擁有“Newrole”角色的權(quán)限。

打開虛擬機(jī)和模版界面，為了管理方便可以創(chuàng)建新的文件夾，在其中存儲(chǔ)虛擬機(jī)。例如選擇某個(gè)文件夾，在其下存儲(chǔ)一些虛擬機(jī)，在“權(quán)限”面板中點(diǎn)擊右鍵，在彈出菜單中點(diǎn)擊“添加權(quán)限”項(xiàng)，在“分配權(quán)限”窗口中點(diǎn)擊“添加”按鈕，按照上述方法將域賬戶“User1”添加進(jìn)來，在“分配的角色”列表中選擇上述“Newrole”角色，在權(quán)限列表中可以顯示其擁有的權(quán)限。點(diǎn)擊“確定”按鈕，完成角色的分配操作。這樣，該賬戶就可以在指定的文件夾下執(zhí)行創(chuàng)建虛擬機(jī)以及其他預(yù)設(shè)的管理權(quán)限了。如果在其下創(chuàng)建新的子文件夾，則可以繼承上一級(jí)的權(quán)限設(shè)定。

如果不想讓域賬戶“User2”管理訪問該文件夾下的虛擬機(jī)，但可以自由使用虛擬機(jī)的話，可以先選擇該文件夾，在其右鍵菜單上點(diǎn)擊“添加權(quán)限”項(xiàng)，在分配權(quán)限窗口中添加域賬戶“User2”，在分配的角色列表中選擇“虛擬機(jī)用戶(示例)”角色，使其可以使用虛擬機(jī)（例如開關(guān)機(jī)等），但是不能管理虛擬機(jī)（例如修改虛擬機(jī)配置等）。點(diǎn)擊“確定”按鈕，這樣該文件夾下的所有虛擬機(jī)都會(huì)繼承該權(quán)限設(shè)定。

如果禁止域賬戶“user2”訪問該文件下的名為“WinSrv10”的虛擬機(jī)，可在該虛擬機(jī)右鍵菜單上點(diǎn)擊“添加權(quán)限”項(xiàng)，在分配權(quán)限窗口中添加域賬戶“user2”，授予其“無權(quán)訪問”角色。點(diǎn)擊“確定”按鈕，這樣該賬戶就無法訪問該虛擬機(jī)了。注意，如果對(duì)目標(biāo)虛擬機(jī)沒有訪問權(quán)限，當(dāng)以該賬戶登錄后，該虛擬機(jī)是不可見的。這樣，就實(shí)現(xiàn)了子對(duì)象權(quán)限對(duì)父對(duì)象權(quán)限的替換。當(dāng)運(yùn)行vSphere Client，使用上述域賬戶登錄到目標(biāo)vCenter主機(jī)上，就只能按照的權(quán)限來訪問或管理虛擬機(jī)。