管理虚拟数据中心是一项非常艰巨的任务，但是可以为其他IT员工赋予临时管理权限，借助外界帮助减轻压力。

管理虚拟数据中心是一项非常复杂的工作，管理员借助额外帮助是一种常见现象。当然，只有为其他团队的IT员工赋予恰当的权限，他们才能够提供帮助，但是为某个人提供全部管理权限也并非一种可行方式。毕竟，在大型IT环境当中会隔离区分不同的管理责任。幸运的是，可以不必为某个员工赋予全部管理权限，而仅仅赋予一部分受限制的权限，以便他们能够完成所需的工作。

vCenter角色和权限分析

实际的权限模型会随着hypervisor种类的不同而发生变化，但是主要hypervisor厂商都支持对管理权限进行细粒度控制。比如VMware，可以使用vCenter Server分配用户角色和权限。vCenter当中包含了三种默认角色，并且还可以创建自定义角色。这些vCenter自定义角色不会继承任何和系统角色相关的权限，因此需要显式指定应该分配的权限。

默认的三种vCenter模型分别是Administrator Role、No Access Role 和Read-Only Role。尽管这三种角色听起来像是对权限的大体分类，但是可以在更加细粒度的等级当中应用这些vCenter角色和权限。可以在管理实体——比如data stroe、主机和资源池当中应用这些权限。在某些情况当中，有必要使用继承的概念来分配权限。比如，vSphere文档表明尽管分布式交换机没有出现在管理实体的列表当中，但是可以通过为其父对象分配权限、之后将权限传播到子对象的方式来为分布式交换机赋予权限。

在SCVMM当中创建自定义角色

尽管实现方式和VMware有所不同，但是微软同样采用了基于角色的访问控制模型。管理员可以使用微软推荐的Hyper-V管理工具SCVMM（System Center Virtual Machine Manager）来分配角色配置文件（Role Profile）。默认系统当中只有管理员角色，但是管理员可以创建自定义角色，只需要打开虚拟机管理器控制台窗口，在“配置”页面当中点击“创建用户角色”按钮，之后就会弹出相应工具栏。使用这种方式可以启动“创建用户角色向导。”

角色分配情况依赖于角色配置文件。虚拟机管理器提供了四种内置的角色配置文件，包括Fabric Administrator、Read-Only Administrator、Tenant Administrator 和 Application Administrator。Fabric Administrator基本上相当于VMware的Administrator Role。Fabric Administrator通常被赋予一系列特定对象集合的管理控制权限。这些对象可以在“创建用户向导”当中进行选择。

Read-Only Administrator角色类似于VMware的Read-Only Role。被赋予这种角色的管理员可以查看被赋予权限对象的属性和状态，

Tenant Administrator 和 Application Administrator角色被应用在私有云环境当中。Tenant Administrator可以管理自助服务用户，并且在预定义范围内创建和管理虚拟机。Application Administrator是自助服务用户，其能够在受限范围内创建和管理自己的虚拟机。

每个自定义用户角色都必须被分配一个之前提及到的角色配置文件。也许正如用户所希望的那样，活动目录用户可以直接被分配用户角色，通过这种方式将角色应用到用户身上。然而即便是为用户分配角色，也不能为用户分配虚拟化基础架构的无限制访问权限。可以基于角色成员被允许管理的资源来限制用户角色。这些限制可以基于范围、库服务器、Run-As账户或者这三种元素的任意组合。

角色的范围是通过定义角色成员被允许管理的主机组来实现的。“创建用户角色向导”允许管理员选择一个或者多个主机组。需要注意的是默认情况下并不会选择任何主机组。

“创建用户向导”还支持使用特定库服务器来限制角色成员权限。通过使用这种方式，可以控制角色成员能够访问的虚拟机模板和ISO文件。默认情况下向导并不会提供任何库服务器访问权限，需要由管理员指定角色成员能够访问的库服务器。

此外，管理员还能够限制RunAs账户的使用情况。虚拟机管理器当中的某些管理功能需要使用RunAs账户。通过限制使用RunAs账户，管理员能够限制角色成员能够执行的任务类型。向导并不会为角色成员提供RunAs账户访问权限除非管理员特别进行赋予。

VMware和微软都提供了丰富的权限控制模型，其他hypervisor在这方面也做的很好。利用这些权限模型，能够在虚拟化基础架构当中针对特定对象赋予可限制的管理控制权限。