layout: doc description: Learn about the different roles and permissions that can be assigned to your XenServer users.—
XenServer wird mit den folgenden sechs vordefinierten Rollen ausgeliefert:
Pool-Administrator (Pool Admin) — das gleiche wie das lokale Stammverzeichnis. Kann alle Vorgänge ausführen.
Hinweis:
Der lokale Superuser (root) hat die Rolle “Pool Admin”. Die Pool-Admin-Rolle hat dieselben Berechtigungen wie der lokale Stamm.
Wenn Sie einem Benutzer die Pool-Admin-Rolle entziehen, sollten Sie auch das Root-Kennwort ändern und das Pool-Geheimnis rotieren lassen. Weitere Informationen finden Sie unter Pool-Sicherheit.
Pool Operator (Pool Operator) — kann alles außer dem Hinzufügen/Entfernen von Benutzern und dem Ändern ihrer Rollen tun. Diese Rolle konzentriert sich hauptsächlich auf die Host- und Pool-Verwaltung (d. h. das Erstellen von Speicher, das Erstellen von Pools, das Verwalten der Hosts usw.).
Virtual Machine Power Administrator (VM Power Admin) — erstellt und verwaltet virtuelle Maschinen. Diese Rolle konzentriert sich auf die Bereitstellung von VMs zur Verwendung durch einen VM-Betreiber.
Virtual Machine Administrator (VM Admin) — ähnelt einem VM Power Admin, kann jedoch keine VMs migrieren oder Snapshots ausführen.
Virtual Machine Operator (VM Operator) — ähnlich wie VM Admin, kann aber keine VMs erstellen/löschen — kann aber Lebenszyklusvorgänge starten/stoppen.
Schreibgeschützt (schreibgeschützt ) — kann Ressourcenpool- und Leistungsdaten anzeigen.
Hinweis:
Um Updates auf XenServer 8-Pools anzuwenden, müssen Sie als Pooladministrator oder Pool-Operator oder mit einem lokalen Root-Konto bei XenCenter angemeldet sein.
Wenn Sie Active Directory-Gruppen verwenden, um Pooladministrator-Benutzern, die Host-SSH-Zugriff benötigen, Zugriff zu gewähren, darf die Anzahl der Benutzer in der Active Directory-Gruppe 500 nicht überschreiten.
Eine Zusammenfassung der für jede Rolle verfügbaren Berechtigungen und Informationen zu den für jede Berechtigung verfügbaren Vorgängen finden Sie unter Definitionen von RBAC-Rollen und Berechtigungen im folgenden Abschnitt.
Wenn Sie einen Benutzer in XenServer erstellen, müssen Sie dem neu erstellten Benutzer zunächst eine Rolle zuweisen, bevor er das Konto verwenden kann. XenServer weist dem neu erstellten Benutzer nicht automatisch eine Rolle zu. Daher haben diese Konten keinen Zugriff auf den XenServer-Pool, bis Sie ihnen eine Rolle zuweisen.
Ändern Sie das Thema der Rollenzuordnung. Dies erfordert die Berechtigung zum Zuweisen/Ändern der Rolle, die nur einem Pool-Administrator zur Verfügung steht.
Ändern Sie die Gruppenmitgliedschaft des Benutzers in Active Directory.
In der folgenden Tabelle wird zusammengefasst, welche Berechtigungen für jede Rolle verfügbar sind. Einzelheiten zu den für jede Berechtigung verfügbaren Vorgängen finden Sie unter Definitionen von Berechtigungen.
Rollen-Berechtigungen | Pooladministrator | Poolbetreiber | VM Power Admin | VM-Admin | VM-Betreiber | Lesezugriff |
---|---|---|---|---|---|---|
Rollen zuweisen/ändern | X | |||||
Melden Sie sich bei (physischen) Serverkonsolen an (über SSH und XenCenter) | X | |||||
Serverbackup/-wiederherstellung | X | |||||
Import/Export von OVF/OVA-Paketen und Disk-Images | X | |||||
Kerne pro Sockel festlegen | X | X | X | X | ||
Virtuelle Maschinen mit XenServer Conversion Manager konvertieren | X | |||||
Switch-Port-Verriegelung | X | X | ||||
Multipathing | X | X | ||||
Aktive Benutzerverbindungen abmelden | X | X | ||||
Überwachen Sie Host- und Dom0-Ressourcen mit NRPE | X | |||||
Überwachen Sie Host- und Dom0-Ressourcen mit SNMP | X | |||||
Benachrichtigungen erstellen und verwerfen | X | X | ||||
Aufgabe eines Benutzers abbrechen | X | X | ||||
Poolmanagement | X | X | ||||
Livemigration | X | X | X | |||
Live-Speichermigration | X | X | X | |||
Erweiterte VM-Vorgänge | X | X | X | |||
VM Erstellen/Löschen von Vorgängen | X | X | X | X | ||
VM ändern CD-Medien | X | X | X | X | X | |
VM-Energiezustand ändern | X | X | X | X | X | |
VM-Konsolen anzeigen | X | X | X | X | X | |
XenCenter Ansichtsverwaltungsvorgänge | X | X | X | X | X | |
Eigene Aufgaben abbrechen | X | X | X | X | X | X |
Auditprotokolle lesen | X | X | X | X | X | X |
Verbindung mit Pool herstellen und alle Poolmetadaten lesen | X | X | X | X | X | X |
Konfigurieren der virtuellen GPU | X | X | ||||
Virtuelle GPU-Konfiguration anzeigen | X | X | X | X | X | X |
Zugriff auf das Konfigurationslaufwerk (nur CoreOS-VMs) | X | |||||
Geplante Snapshots (Hinzufügen und Entfernen von VMs zu vorhandenen Snapshot-Zeitplänen) | X | X | X | |||
Geplante Snapshots (Snapshot-Zeitpläne hinzufügen/ändern/löschen) | X | X | ||||
Sammeln von Diagnoseinformationen | X | X | ||||
Geänderte Blockverfolgung konfigurieren | X | X | X | X | ||
Changed Blocks auflisten | X | X | X | X | X | |
Konfigurieren von PVS-Accelerator | X | X | ||||
PVS-Beschleunigerkonfiguration anzeigen | X | X | X | X | X | X |
Rollen zuweisen/ändern:
Mit dieser Berechtigung kann sich der Benutzer selbst eine Berechtigung erteilen oder eine Aufgabe ausführen.
Warnung: Mit dieser Rolle kann der Benutzer die Active Directory-Integration und alle aus Active Directory hinzugefügten Themen deaktivieren.
Bei Serverkonsolen anmelden:
Warnung: Mit Zugriff auf eine Root-Shell kann der Empfänger das gesamte System, einschließlich RBAC, beliebig neu konfigurieren.
Serverbackup/-wiederherstellung VM Erstellen/Löschen von virtuellen Rechnern:
Durch die Möglichkeit, ein Backup wiederherzustellen, kann der Beauftragte Änderungen an der RBAC-Konfiguration rückgängig machen.
Import/Export von OVF/OVA-Paketen und Disk-Images:
Kerne pro Sockel einstellen:
Mit dieser Berechtigung kann der Benutzer die Topologie für die virtuellen CPUs der VM angeben.
Konvertieren Sie VMs mit XenServer Conversion Manager:
Mit dieser Berechtigung kann der Benutzer Workloads von VMware nach XenServer konvertieren, indem er Stapel von VMware ESXi/vCenter-VMs in die XenServer-Umgebung kopiert.
Switch-Port-Verriegelung:
Mit dieser Berechtigung kann der Benutzer standardmäßig den gesamten Datenverkehr in einem Netzwerk blockieren oder bestimmte IP-Adressen definieren, von denen eine VM Datenverkehr senden darf.
Multipathing:
Aktive Benutzerverbindungen abmelden:
Warnungen erstellen/verwerfen:
Warnung: Ein Benutzer mit dieser Berechtigung kann Warnungen für den gesamten Pool verwerfen.
Hinweis: Die Möglichkeit, Warnungen anzuzeigen, ist Teil der Berechtigung “Mit Pool verbinden” und alle Poolmetadaten lesen.
Aufgabe eines beliebigen Benutzers abbrechen:
Mit dieser Berechtigung kann der Benutzer beantragen, dass XenServer eine laufende Aufgabe storniert, die von einem beliebigen Benutzer initiiert wurde.
Pool-Verwaltung:
Diese Berechtigung umfasst alle Aktionen, die zur Verwaltung eines Pools erforderlich sind.
Hinweis: Wenn die Verwaltungsschnittstelle nicht funktioniert, können sich keine Anmeldungen außer lokalen Root-Anmeldungen authentifizieren.
Livemigration:
Speicher-Livemigration:
Erweiterter VM-Betrieb:
Diese Berechtigung bietet dem Beauftragten genügend Rechte, um eine VM auf einem anderen Host zu starten, wenn er mit dem ausgewählten Host XenServer nicht zufrieden ist.
VM-Erstellen/Löschen von Vorgängen:
Hinweis:
Die VM-Admin-Rolle kann XVA-Dateien nur in einen Pool mit einem gemeinsam genutzten SR importieren. Die VM-Admin-Rolle verfügt nicht über unzureichende Berechtigungen, um eine XVA-Datei in einen Host oder in einen Pool ohne gemeinsam genutzten Speicher zu importieren.
VM CD-Medien wechseln:
Import/Export von OVF/OVA-Paketen; Import von Datenträgerimages
VM ändert den Energiezustand:
Diese Berechtigung umfasst nicht start_on, resume_on und migrate, die Teil der Berechtigung für erweiterte VM-Vorgänge sind.
VM-Konsolen anzeigen:
Mit dieser Berechtigung kann der Benutzer Hostkonsolen nicht anzeigen.
XenCenter View-Verwaltungsvorgänge:
Ordner, benutzerdefinierte Felder und Suchen werden von allen Benutzern geteilt, die auf den Pool zugreifen
Stornieren eigener Aufgaben:
Prüfprotokoll lesen:
Verbinden Sie sich mit Pool und lesen Sie alle Poolmetadaten:
Konfigurieren der virtuellen GPU:
Virtuelle GPU-Konfiguration anzeigen:
Geplante Snapshots:
Sammeln Sie Diagnoseinformationen von XenServer:
Geändertes Block-Tracking konfigurieren:
Die geänderte Blockverfolgung kann nur für lizenzierte Instanzen der XenServer Premium Edition aktiviert werden.
Geänderte Blöcke auflisten:
Konfigurieren des PVS-Beschleunigers:
PVS-Accelerator-Konfiguration anzeigen:
Hinweis:
Manchmal kann ein schreibgeschützter Benutzer eine Ressource nicht in einen Ordner in XenCenter verschieben, selbst nachdem er eine Eingabeaufforderung mit erhöhten Rechten erhalten und die Anmeldeinformationen eines privilegierteren Benutzers angegeben hat. In diesem Fall melden Sie sich als privilegierterer Benutzer bei XenCenter an und versuchen Sie die Aktion erneut.
Der Antragsteller wird über den Active Directory-Server authentifiziert, um zu überprüfen, zu welchen Gruppen der Betreff auch gehören kann.
XenServer überprüft dann, welche Rollen sowohl dem Betreff als auch den zugehörigen Gruppen zugewiesen wurden.
Da Subjekte Mitglieder mehrerer Active Directory-Gruppen sein können, erben sie alle Berechtigungen der zugehörigen Rollen.