Handbuch zur Serverkonfiguration für ESX - VMware
Handbuch zur Serverkonfiguration für ESX - VMware
Handbuch zur Serverkonfiguration für ESX - VMware
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Kapitel 13 Authentifizierung und Benutzerverwaltung<br />
Zuweisen von Root-Benutzerberechtigungen<br />
Root-Benutzer können Aktivitäten nur auf dem <strong>ESX</strong>-Host durchführen, an dem sie angemeldet sind.<br />
Aus Sicherheitsgründen sollten Sie dem Root-Benutzer nicht die Rolle [Administrator] gewähren. In diesem<br />
Fall können Sie die Berechtigungen nach der Installation so ändern, dass der Root-Benutzer keine weiteren<br />
Administratorrechte hat, oder Sie löschen alle Zugriffsrechte des Root-Benutzers über den vSphere-Client, wie<br />
im Administratorhandbuch zum <strong>VMware</strong> vSphere-Datencenter beschrieben. Wenn Sie dies tun, müssen Sie auf der<br />
Root-Ebene zunächst eine andere Genehmigung erteilen, die ein anderer Benutzer mit der Rolle des Administrators<br />
erhält.<br />
Die Zuweisung der Administratorenrolle auf verschiedene Benutzer gewährleistet die Nachvollziehbarkeit<br />
und somit die Sicherheit. Der vSphere-Client protokolliert alle Aktionen des Administrators als Ereignisse und<br />
gibt ein Überwachungsprotokoll aus. Wenn alle Administratoren sich als Root-Benutzer anmelden, können<br />
Sie nicht wissen, welcher Administrator eine Aktion ausgeführt hat. Wenn Sie mehrere Berechtigungen auf<br />
Root-Ebene anlegen, die jeweils einem anderen Benutzer oder einer anderen Benutzergruppe zugewiesen sind,<br />
können Sie die Aktionen jedes Administrators oder jeder Administratorengruppe gut nachvollziehen.<br />
Nachdem Sie einen alternativen Administrator-Benutzer angelegt haben, können Sie dem Root-Benutzer eine<br />
andere Rolle zuweisen. Zum Verwalten des Hosts mithilfe von vCenter Server benötigt der neue Benutzer,<br />
den Sie erstellt haben, auf dem Host vollständige Administratorrechte.<br />
HINWEIS vicfg-Befehle führen keine Zugriffsprüfung durch. Selbst wenn Sie die Berechtigungen des Root-<br />
Benutzers einschränken, wirkt sich dies nicht auf die Befehle aus, die er über die Befehlszeilenschnittstelle<br />
ausführen kann.<br />
Grundlegendes zu vpxuser-Berechtigungen<br />
Die Berechtigung „vpxuser“ wird <strong>für</strong> vCenter Server beim Verwalten von Aktivitäten <strong>für</strong> den Host verwendet.<br />
Sie wird erstellt, wenn ein <strong>ESX</strong>-Host mit vCenter Server verbunden wird.<br />
vCenter Server hat Administratorberechtigungen auf dem Host, der die Anwendung verwaltet. So kann<br />
vCenter Server zum Beispiel virtuelle Maschinen auf Hosts verschieben und Konfigurationsänderungen vornehmen,<br />
die <strong>für</strong> die Unterstützung virtueller Maschinen notwendig sind.<br />
Der Administrator von vCenter Server kann viele der Aufgaben des Root-Benutzers auf dem Host durchführen<br />
und Aufgaben planen, Vorlagen erstellen und nutzen usw. Der vCenter Server-Administrator kann jedoch<br />
nicht Benutzer oder Gruppen <strong>für</strong> <strong>ESX</strong>-Hosts direkt erstellen, löschen oder bearbeiten. Diese Aufgaben können<br />
nur von einem Benutzer mit Administratorberechtigungen auf dem jeweiligen <strong>ESX</strong>-Host durchgeführt werden.<br />
HINWEIS Sie können den vpxuser nicht mithilfe von Active Directory verwalten.<br />
VORSICHT Ändern Sie [vpxuser] und die dazugehörigen Berechtigungen nicht. Ansonsten kann es zu Problemen<br />
bei der Verwaltung des <strong>ESX</strong>-Hosts über vCenter Server kommen.<br />
Grundlegendes zu Rollen<br />
vCenter Server und <strong>ESX</strong> gewähren nur Benutzern Zugriff auf Objekte, denen Berechtigungen <strong>für</strong> das jeweilige<br />
Objekt zugewiesen wurden. Wenn Sie einem Benutzer oder einer Gruppe Berechtigungen <strong>für</strong> das Objekt zuweisen,<br />
kombinieren Sie hierzu den Benutzer oder Gruppe mit einer Rolle. Bei einer Rolle handelt es sich um<br />
einen vordefinierten Satz an Rechten.<br />
Für <strong>ESX</strong>-Hosts gibt es drei Standardrollen. Es ist nicht möglich, die Berechtigungen <strong>für</strong> diese drei Rollen zu<br />
ändern. Jede nachfolgende Standardrolle enthält die Berechtigungen der vorhergehenden Rolle. So übernimmt<br />
beispielsweise die Rolle [Administrator] die Rechte der Rolle [Nur lesen] . Rollen, die Sie selbst anlegen,<br />
übernehmen keine Berechtigungen von den Standardrollen.<br />
<strong>VMware</strong>, Inc. 197