本文中，该领域的一名专家总结了如何正确地分配权限、角色和用户许可等的相关经验，以帮助我们确保vSphere环境的稳定性和安全性。上一篇我们介绍了权限，现在我们来看看角色问题。

　　配置和分配角色

　　在vCenter Server中可以用来定制角色使其包含或不包含某些权限。在vCenter Server中带有预先配置好的角色，当然我们也可以定制一些角色。这些角色大体上分为两类：（1）系统角色。它们是永久性角色，无法被删除或改变；（2）模板角色。它们预先配置了特定类型的访问方式，并且允许被调整和删除。用户可以通过在vCenter Server中选择Administration，然后点击Roles来访问角色相关内容。如下图3所示：

　　图3：在 vSphere中访问角色内容

　　在Roles页中列举出一系列配置好的角色。如果我们点击某个角色，就可以看到跟该角色相关的用户以及分配给他们的访问权限级别。当我们需要创建新角色时，可以添加、重命名、移除、编辑或克隆所需的角色。这些功能使得我们可以拷贝和调整一些现成的角色，而无需完全重新创建角色。

　　从活动目录域或本地域中选择用户和用户组

　　用户和用户组来自于活动目录域或者来自于本地vCenter Server创建的账户，假如一个vCenter Server是一个活动目录域的成员，用户和用户组就可以自动从中识别出来。当你创造了一种用户许可，那么用户和用户组的对象就被指定，你可以从一个域中或本地服务器中选择多种用户或用户组。

　　图4：选择用户和用户组

　　在vCenter Server中一些活动目录相关的设置应给予特别的关注，访问路径如下：Administration ->vCenter Server Settings-> Active Directory（参照图5）

　　图5：在vSphere中活动目录设置演示

　　这些设置可以为用户提供更多的灵活性。假设AD服务器是位于广域网内，我们可以增加延时的设置。如果我们处于一个拥有多个用户和组对象的大型AD域内，我们可以增加轮询的限制。这些可选部分确保用户及组设置在AD域环境内依然是可用的。默认情况下，vCenter Server每天会自动启用所有在许可中涉及的用户和用户组对象，因此我们只需确保AD域中相应的许可是存在的。如果它们不存在了，就会自动从域中删除。

　　vCenter Server没有使用Windows中通常采用的用户识别方式——SID（security identifiers），SID可以支持由字母和数字组成的长字符串作为指定用户的唯一识别方式。如果在AD域中的某个用户被删除，然后用相同的名字重新创建一次，在Windows中会为其分配不同的SID号，而且其获得的许可权限也是不同于之前的Windows用户的。但是在vCenter Server中，会把它们识别为同一用户，而且为其分配完全相同的许可，因为它采用了域名和用户名的方式来代替SID作为识别标志。

　　您可以完全禁用这项功能或者是修改默认的1440分钟（一天）的间隔时间。如果用户关注应用环境的安全性问题，可以把有效周期缩短（例如到 120分钟）。虽然这并不是我们建议的管理方式，但是它可以通过自动删除无效许可的机制来加强对vCenter Server服务器的安全保护。

　　在第三部分中，我们将继续将介绍为vSphere安全着想，如何为特定的用户和对象分配用户许可。