管理用戶和用戶組

用戶具有登錄vCenter主機或VMWare ESX/ESXi服務(wù)器的權(quán)限，用戶組可以包括若干用戶，可授予其相同的權(quán)限。用戶或用戶組可在VMWare ESX/ESXi服務(wù)器創(chuàng)建，也可在vCenter主機上創(chuàng)建。當(dāng)然，也可借助于Active Directory域賬戶進行授權(quán)。對于vCenter主機來說，可以加入域環(huán)境，也可以運行在工作組環(huán)境下。如果加入到域中，那么對于域中的域管理員來說，默認擁有了對vCenter管理的所有ESX/ESXi服務(wù)器，虛擬機等對對象完全的控制權(quán)限。

即系統(tǒng)會自動為Active Directory中 名 為“ESX Admins”組中的用戶分配Administartor角 色。Active Directory服務(wù)可以為本地服務(wù)提供身份驗證，對于ESX/ESXi主機來說，可以使用活動目錄域賬戶，通過vSphere Client進行登錄。當(dāng)然，只有域管理員組中的成員才可以使用DCUI直接控制臺界面。在vCenter主機和ESX/ESXi主機分別管理自己的角色組，角色是分開管理的，即某個用戶直接登錄到ESX/ESXi主機上，在vCenter主機上創(chuàng)建的角色，在ESX/ESXi主機上是看不到的。

使用角色來分配權(quán)限

角色是一個或多個特權(quán)的組合，使用特權(quán)可以執(zhí)行特定的任務(wù)，可以將一項特權(quán)和其他特權(quán)劃分為一個組。例如對于虛擬機Power User組來說，可以授予其對數(shù)據(jù)存儲，Global等訪問權(quán)限。

角色可以按照類別進行分類，例如系統(tǒng)角色、示例角色、自定義角色等。對于系統(tǒng)角色來說，是永久的不可刪除的，不能編輯與這些角色相關(guān)的特權(quán)。例如管理員角色、Read only角色等。對于示例角色來說，VMWare為了方便起見角色定義，提供了樣本角色作為準則和建議，可以根據(jù)需要修改或刪除這些角色。

在ESX/ESXi主 機 和vCenter主機上提供了一些默認的角色，包括管理員角色、只讀角色和無權(quán)訪問角色等，這些角色是系統(tǒng)角色，無法進行編輯和刪除。對于管理員角色來說，就具有對所有對象的訪問特權(quán)，可以為vSphere環(huán)境中的所有vCenter主機用戶和所有虛擬對象執(zhí)行添加、移除和設(shè)置訪問權(quán)限和特權(quán)。對于只讀角色來說，可以查看對象的狀態(tài)和詳細信息，但不能對其編輯和修改，其無權(quán)查看這些對象的屬性，其可以查看vSphere Client中除了控制臺頁面之外的所有頁面內(nèi)容，也無法利用菜單或工具欄執(zhí)行任何操作。對于無權(quán)訪問角色來說，通常用于撤銷從父對象傳播下來的子對象的權(quán)限。在配置權(quán)限時，存在一個向下傳遞的過程，如果不希望某個對象繼承上面一層父對象的權(quán)限，即撤銷繼承的權(quán)限，就要授予無權(quán)訪問角色。

利用權(quán)限來管理對象

對象即要對其執(zhí)行操作的實體，包括數(shù)據(jù)中心、文件夾、資源池、群集、主機、數(shù)據(jù)存儲、網(wǎng)絡(luò)、虛擬機等。對于每一個對象來說，都可以在與之關(guān)聯(lián)的“Permissions”頁面中對其進行權(quán)限控制，即允許哪些賬戶對于執(zhí)行何種操作權(quán)限。例如對某賬戶來說，對其擁有管理權(quán)限，某些賬戶對其擁有只讀權(quán)限等。在分配權(quán)限時，可以在清單中選擇一個對象，在權(quán)限頁面中執(zhí)行添加權(quán)限操作，在分配權(quán)限窗口左側(cè)選擇具體的用戶，在角色分配列表中為其選定所需的角色，如果選擇“Propagate to Child Object”項，表示可以將權(quán)限傳遞給子對象。否則的話，這些角色值授予當(dāng)前對象，當(dāng)前對象下的子對象是不會繼承權(quán)限的。

例如對數(shù)據(jù)中心進行了授權(quán)，在該數(shù)據(jù)中心下有多臺ESX/ESXi主機，如果禁止繼承權(quán)限的話，那么這些ESX/ESXi主機將不會繼承這里的權(quán)限。當(dāng)給對象分配了相應(yīng)的角色，授予適當(dāng)?shù)臋?quán)限，之后可以對其進行查看，了解某角色分配了哪些對象，以及該角色授予了哪些用戶和用戶組具體的權(quán)限。在vSphere Client中切換到主頁面板，在系統(tǒng)管理下的角色欄中進行查看。在角色列表中例如選擇某個角色，來查看其對于數(shù)據(jù)中心有哪些管理選項，對哪些文件夾和ESXi主機，以及這些ESXi主機上有哪些虛擬機和用戶進行管理操作。在信息面板中會顯示得到該角色的用戶和用戶組信息，權(quán)限可以沿著對象層次結(jié)構(gòu)向下傳遞給所有的子對象，例如當(dāng)對數(shù)據(jù)中心設(shè)置了權(quán)限后，其下的所有虛擬機都將繼承該權(quán)限。

當(dāng)然，也可以對其中的子對象直接定義權(quán)限。例如，當(dāng)對某用戶設(shè)置了對于數(shù)據(jù)中心的管理員角色，那么該用戶對其中的所有虛擬機都具有管理權(quán)限。如果想禁止該用戶管理其中的某臺虛擬機，可以直接對其該虛擬機對象應(yīng)用權(quán)限，即授予其沒有訪問權(quán)限。這和大家熟悉Windows的權(quán)限疊加機制不同，當(dāng)對較低級別的對象單獨設(shè)置了權(quán)限，則會替換從較高級別對象繼承下來的權(quán)限，即其權(quán)限的優(yōu)先級更高。如果某個用戶隸屬于多個用戶組，而不同的用戶組對于同一個對象擁有不同的權(quán)限，那么該用戶就具有了分配給這些用戶組的所有權(quán)限，例如虛擬機開機權(quán)限，創(chuàng)建虛擬機快照權(quán)限等。如果某用戶隸屬于多個用戶組，而這些組具有訪問不同對象的權(quán)限，那么對于這些組有權(quán)訪問的每個對象。該用戶也可以擁有相同的訪問權(quán)限，猶如為該用戶賦予了這些權(quán)限一樣。

例如用戶A屬于組1和組2，組1擁有對數(shù)據(jù)中心的管理權(quán)限，組2擁有對某虛擬機的只讀權(quán)限，那么用戶A將擁有上述所有權(quán)限。對于某個對象來說，當(dāng)用戶A隸屬于多個用戶組的話，當(dāng)對用戶A單獨設(shè)置了訪問權(quán)限，那么其優(yōu)先級要高于其隸屬的不同用戶組的權(quán)限。例如對于用戶A，設(shè)置了其擁有對數(shù)據(jù)中心的只讀權(quán)限，該用戶隸屬于組1和組2，這兩個組擁有對數(shù)據(jù)中心不同的權(quán)限，那么用戶A的權(quán)限將覆蓋其在這些組中獲取的權(quán)限，即其只擁有只讀權(quán)限，不具有其他權(quán)限，這和Windows的權(quán)限管理機制截然不同。

可以根據(jù)需要，使用管理員特權(quán)身份登錄，在vCenter或者ESXi主機上創(chuàng)建自定義角色，便于委派合適的工作任務(wù)。注意，在執(zhí)行具體操作時，應(yīng)以盡可能小的特權(quán)來定義角色來提高系統(tǒng)的安全性以及控制力度。例如，可以使用文件夾來限定權(quán)限，在vCenter主機上使用VM和模版清單，在其中創(chuàng)建某個文件夾，在該文件夾下創(chuàng)建多個虛擬機，之后對用戶賦予創(chuàng)建虛擬機的權(quán)限，并將其應(yīng)用到該文件夾中。然后創(chuàng)建一個虛擬機角色，授權(quán)其分配磁盤空間、分配網(wǎng)絡(luò)權(quán)限、創(chuàng)建虛擬機清單、創(chuàng)建磁盤和網(wǎng)絡(luò)、配置虛擬機等權(quán)限。將該角色授予該用戶，即可讓其擁有相關(guān)的權(quán)限。

在ESXi主機上管理賬戶

使用域管理員身份登錄域控，在活動目錄用戶和計算機窗口左側(cè)選擇“Computers”項，在右側(cè)可以看到所有的ESXi和vCenter主機，如果不存在則需要加入到域中。運行vSphere Client，輸入目標vCenter主機IP，以Root賬戶和密碼登錄。注意，以域管理員賬戶登錄是不行的，因為其在目標ESXi主機上不具有本地管理員角色。而根賬戶是擁有對該機的管理權(quán)限。在vSphere Client界面中依次點擊菜單“系統(tǒng)管理”→“清單”→“清單”項，可以查看在當(dāng)前ESXi主機上存在的虛擬機信息。

在左側(cè)選擇該ESXi主機項，依次點擊菜單“清單”→“系統(tǒng)管理”→“角色”項，在角色列表中看到內(nèi)置的無權(quán)訪問、只讀、管理員角色。選擇對應(yīng)角色，在右側(cè)可以顯示其使用情況。例如選擇管理員角色，在右側(cè)顯示Root賬戶、DCUI、進程管理賬戶等用戶擁有該角色。要對用戶授予角色，可打開清單列表，在右側(cè)的“本地用戶和組”面板選擇用戶或組標簽，右鍵點擊“添加”項，來添加新的用戶或組。例如，在新增用戶窗口中輸入登錄名（例 如“administrator”）和密碼，選擇“授予該用戶shell程序訪問權(quán)限”項，可以讓其通過Shell執(zhí)行管理操作。在“組”列表中選擇“root”項，點擊“確定”按鈕，添加該賬戶。

在“權(quán)限”面板中可以看到，Root組擁有管理員角色，這樣該賬戶就擁有了針對該ESXi主機的完全管理權(quán)限。之后關(guān)閉vSphere Client，以該 Administrator賬戶身份進行登錄，在“權(quán)限”面板中的右鍵菜單中點擊“添加權(quán)限”項，在“分配權(quán)限”窗口中的“用戶和組”欄中點擊“添加”按鈕，在“打開”窗口中的“域”列表中選擇“服務(wù)器”項，選擇該“administrator”賬戶，點擊“添加”按鈕添加進來。點擊“確定”按鈕，在用戶和組列表中可以看到，該賬戶擁有的是只讀角色。如果想為其賦予管理員角色，可在“分配的角色”列表中選擇“管理員”項，點擊“確定”按鈕，這樣，就授權(quán)了該本地用戶擁有管理員角色。當(dāng)然，在每臺ESXi主機分別創(chuàng)建本地賬戶，管理起來比較繁瑣。

為此，可以使用活動目錄域賬戶進行集中管理?？梢赃x擇該ESXi主機，針對某用戶進行權(quán)限設(shè)定，也可以選擇其下的某虛擬機，來設(shè)定訪問權(quán)限。注意，針對子對象的權(quán)限設(shè)定會覆蓋從父對象繼承的權(quán)限。例如，想讓域管理員擁有對該ESXi主機的訪問權(quán)限，可以在“權(quán)限”面板中的右鍵菜單上點擊“添加權(quán)限”項，在“打開”窗口點擊“添加”按鈕，在“選擇用戶和組”窗口中的“域”列表中選擇具體的域名，在列表中顯示該域中的所有賬戶信息，注意這里不是該ESXi主機的本地賬戶。選擇域管理員賬戶Administrator，將其添加進來，按照上述方法，授予其本地管理員權(quán)限。之后就可以以域管理員身份登錄即可，注意其賬戶名表示格式為“xxxadministrator”，其中的“xxx”為域名。

使用自定義角色實現(xiàn)管理操作

除使用系統(tǒng)自帶角色外，還可使用自定義角色來大大提高管理靈活性。在域控上打 開Active Directory用戶和計算機窗口，在左側(cè)選擇“Users”項，在右鍵菜單上依次點擊“新建”→“用戶”項，分別創(chuàng)建名為“User1”和“User2”的賬戶，為其設(shè)置一個復(fù)雜的密碼，選擇“用戶不能更改密碼”和“密碼永不過期”項。運行vSphere Client，以上述Administrator賬戶登錄，在地址欄中選擇“主頁”項，在清單欄中雙擊“主機和群集”項，在左側(cè)顯示所有的EXSi主機以及其下運行的所有虛擬機。

在地址欄中點擊“主機和群集”→“虛擬機和模版”項（或 者 點 擊“Ctrl+Shift+V”鍵），在左側(cè)顯示正在運行的虛擬機。點擊地址欄中的“清單”→“系統(tǒng)管理”→“角色”項（或 點 擊“Ctrl+Shift+R”鍵），在角色管理窗口左側(cè)顯示無權(quán)訪問、只讀、管理員、虛擬機超級用戶、虛擬機用戶、資源池管理員、Vmware Consolidated用戶等角色。點擊工具欄上的“添加角色”按鈕，輸入自定義角色名稱（例如“Newrole”），在特權(quán)列表中為其指派權(quán)限，例如選擇“數(shù)據(jù)存儲”項，使其擁有數(shù)據(jù)存儲的管理權(quán)限，選擇“網(wǎng)絡(luò)”項，授予訪問網(wǎng)絡(luò)的權(quán)限，選擇“資源”項，授予訪問資源權(quán)限。選擇“虛擬機”→“配置”項，授予管理虛擬機的權(quán)限，例如添加現(xiàn)有磁盤、添加新磁盤、移除磁盤、主機USB設(shè)備連接等。選擇“虛擬機”→“交互”項，授予其相關(guān)的交互權(quán)限。選擇“虛擬機”→“清單”→“新建”項，允許其新建清單，但不允許其刪除清單。設(shè)置相關(guān)特權(quán)后，點擊“確定”按鈕創(chuàng)建該自定義角色。

注意，為了讓該用戶順利創(chuàng)建虛擬機，需要在ESXi主機級別指派權(quán)限，在主機和群集頁面中選擇合適的ESXi主機，在右側(cè)的“權(quán)限”面板中點擊右鍵，在彈出菜單中點擊“添加權(quán)限”項，在“分配權(quán)限”窗口中添加域賬戶“User1”，在“分配的角色”列表中選擇上述“Newrole”角色，點擊“確定”按鈕保存配置。這樣，域賬戶就擁有了在該ESXi主機上創(chuàng)建虛擬機的權(quán)限。為便于在公用存儲上創(chuàng)建虛擬機，打開數(shù)據(jù)存儲和數(shù)據(jù)存儲群集界面，在左側(cè)選擇合適的公用存儲對象，在右側(cè)的“權(quán)限”面板中使用同樣非方法，授予域賬戶“User1”擁有“Newrole”角色的權(quán)限。

打開虛擬機和模版界面，為了管理方便可以創(chuàng)建新的文件夾，在其中存儲虛擬機。例如選擇某個文件夾，在其下存儲一些虛擬機，在“權(quán)限”面板中點擊右鍵，在彈出菜單中點擊“添加權(quán)限”項，在“分配權(quán)限”窗口中點擊“添加”按鈕，按照上述方法將域賬戶“User1”添加進來，在“分配的角色”列表中選擇上述“Newrole”角色，在權(quán)限列表中可以顯示其擁有的權(quán)限。點擊“確定”按鈕，完成角色的分配操作。這樣，該賬戶就可以在指定的文件夾下執(zhí)行創(chuàng)建虛擬機以及其他預(yù)設(shè)的管理權(quán)限了。如果在其下創(chuàng)建新的子文件夾，則可以繼承上一級的權(quán)限設(shè)定。

如果不想讓域賬戶“User2”管理訪問該文件夾下的虛擬機，但可以自由使用虛擬機的話，可以先選擇該文件夾，在其右鍵菜單上點擊“添加權(quán)限”項，在分配權(quán)限窗口中添加域賬戶“User2”，在分配的角色列表中選擇“虛擬機用戶(示例)”角色，使其可以使用虛擬機（例如開關(guān)機等），但是不能管理虛擬機（例如修改虛擬機配置等）。點擊“確定”按鈕，這樣該文件夾下的所有虛擬機都會繼承該權(quán)限設(shè)定。

如果禁止域賬戶“user2”訪問該文件下的名為“WinSrv10”的虛擬機，可在該虛擬機右鍵菜單上點擊“添加權(quán)限”項，在分配權(quán)限窗口中添加域賬戶“user2”，授予其“無權(quán)訪問”角色。點擊“確定”按鈕，這樣該賬戶就無法訪問該虛擬機了。注意，如果對目標虛擬機沒有訪問權(quán)限，當(dāng)以該賬戶登錄后，該虛擬機是不可見的。這樣，就實現(xiàn)了子對象權(quán)限對父對象權(quán)限的替換。當(dāng)運行vSphere Client，使用上述域賬戶登錄到目標vCenter主機上，就只能按照的權(quán)限來訪問或管理虛擬機。