提到IT安全性，第一大原則就是“不要相信任何人”。一旦公司達到一定規(guī)模后，安全總會成為問題。如果你在使用VMware，那么太多人訪問vCenter就會會成為問題。

但是通過一些想法和優(yōu)秀的設計來固化vCenter安全關注點是非常容易的。使用vCenter角色，可以實現(xiàn)管理員用戶權限的細粒度管理。

剛開始時，你應該進行一些整體的調(diào)整。一個非常重要的變更就是將本地管理員從全局管理員角色中移除。否則具有vCenter server的本地管理員權限的用戶就對整個虛擬基礎設施具有管理權限。

使用正確的vCenter視圖來應用安全性

你可以使用的一個簡單的場景就是區(qū)分兩大管理組Windows管理組和Linux管理組的權限，只有你是唯一的VMware管理員。你還需要有兩個活動目錄組，每個活動目錄組對應著相應的管理員集合。也可以在角色中存放特定的用戶，但是這讓事情變得復雜，尤其是當員工不斷調(diào)整變化時更是如此。

顯示在vSphere Client中列出的角色

在vCenter儀表盤中，黃色的目錄用于收集物理條目，比如機器內(nèi)的目錄。這些目錄用于組織邏輯基礎設施。針對藍色目錄(虛擬機以及目錄)對象，可以指派相應的特權。為創(chuàng)建Windows以及Linux管理角色，可以選擇主頁>管理>角色。可以看到已經(jīng)創(chuàng)建的一些角色。通過單擊可以查看擁有該角色的用戶。

創(chuàng)建新角色

請注意vCenter提供了角色示例，可以通過克隆高級用戶示例角色來創(chuàng)建一個新角色。右鍵選擇克隆，可以創(chuàng)建名為虛擬機克隆高級用戶(sample)的新角色。克隆角色而非使用現(xiàn)有的角色被認為是最佳實踐。這樣做意味著如果有必要你總可以重頭開始。右鍵選擇重命名可以將角色的名字修改為WintelAdmins。重復上述步驟可以再創(chuàng)建一個名為LinuxAdmins的角色。

創(chuàng)建Windows和Linux管理員角色

接下來回退到vCenter，進入虛擬機以及模板視圖。右鍵單擊數(shù)據(jù)中心，創(chuàng)建名為Wintel的目錄，然后在創(chuàng)建名為Linux的目錄。通過拖拽可以將虛擬機移動到指定的目錄下。

使用目錄簡化管理

為Windows管理員添加權限

現(xiàn)在可以將權限應用到這些目錄了。返回主菜單，虛擬機與模板。單擊Wintel目錄，虛擬機將位于左側面板，然后單擊右側的權限標簽，通過右鍵單擊添加權限來添加Wintel管理員。

分配正確的權限

單擊添加，然后為要添加的組選擇域。然后輸入Wintel管理員組的前幾個字母。為簡化操作可以在單擊查詢前先選擇顯示組。如果你知道域以及組，可以直接在左側的角色分配下拉列表中選擇之前創(chuàng)建的Wintel管理員組。