vSphere用户权限管理：角色设定与定制

"用户建立和角色设置在VMware ESXi环境中是安全管理的关键组成部分。角色定义了一组特定的权限，这些权限决定了拥有该角色的用户或用户组能够执行的操作。用户权限则是指根据需要分配给ESXi中不同对象（如主机、虚拟机、存储和网络）的访问控制。这种权限分配通过结合'用户+角色'的方式实现，确保每个用户或用户组只能对其被授权的对象执行特定操作。 在没有vSphere Center的情况下，用户和角色管理是在每个单独的ESXi主机上通过VMware Client进行的，每个主机的设置都是独立的。然而，一旦ESXi主机被加入到vSphere Center，所有的用户和权限管理都将集中统一。vSphere Center利用运行在其上的Windows Server 64位系统的用户数据库（如果配置了活动目录，或者使用本地用户）来管理用户，因此在Center中不再直接创建用户，而是管理已存在的用户。 vSphere Center预定义了一些角色，包括无权访问、只读、管理员、虚拟机超级用户（示例）、虚拟机用户（示例）、资源池管理员（示例）、VMware Consolidated Backup用户（示例）和数据存储使用者（示例）。其中，无权访问、只读和管理员角色不可删除，其他角色可以根据需要进行自定义。自定义角色可以通过克隆现有角色并编辑其权限，或者直接创建新角色并指定权限来实现。 为了限制用户或用户组仅能控制特定虚拟机的开机、关机和连接到存储，可以遵循以下步骤： 1. 创建自定义角色：在vSphere Center的[系统管理] -> [角色]中，克隆[虚拟机用户（示例）]角色，例如命名为[虚拟机用户+访问存储]，然后编辑新角色，启用[数据存储]下的[浏览数据存储]权限。 2. 在vSphere Center所在的Windows Server操作系统中，通过用户管理工具添加用户或用户组，将多个用户分配到同一用户组。 3. 使用VMware Client连接到vSphere Center，然后在[清单] -> [主机和群集]界面中，选定需要限制的虚拟机，点击右侧的[权限]选项卡，然后将之前创建的角色和用户/用户组分配给这个虚拟机。 通过这种方式，可以精细地控制和管理VMware ESXi环境中的用户权限，确保系统的安全性和合规性。"