layout: doc description: Learn about the different roles and permissions that can be assigned to your XenServer users.—
XenServer se suministra con las siguientes seis funciones preestablecidas:
Administrador de grupos (administrador de grupos): igual que la raíz local. Puede realizar todas las operaciones.
Nota:
El superusuario local (root) tiene la función de “Administrador del grupo”. La función de administrador del grupo tiene los mismos permisos que la raíz local.
Si le quitas la función de administrador del grupo a un usuario, considera la posibilidad de cambiar también la contraseña raíz y rotar el secreto del grupo. Para obtener más información, consulte Seguridad de la agrupación.
Operador de Agrupación (Operador de Agrupación): Puede hacer todo aparte de agregar/eliminar usuarios y cambiar sus roles. Esta función se centra principalmente en la administración de hosts y grupos (es decir, crear almacenamiento, crear grupos, administrar los hosts, etc.).
Virtual Machine Power Administrator (VM Power Admin): crea y administra máquinas virtuales. Esta función se centra en aprovisionar máquinas virtuales para que las use un operador de VM.
Administrador de máquinas virtuales (administrador de VM): similar a un administrador de energía de VM, pero no puede migrar máquinas virtuales ni realizar instantáneas.
Operador de máquina virtual (operador de VM), similar al administrador de VM, pero no puede crear/destruir máquinas virtuales, pero puede realizar operaciones de ciclo de vida de inicio/detención.
Solo lectura (solo lectura): puede ver el grupo de recursos y los datos de rendimiento.
Nota:
Para aplicar actualizaciones a los grupos de XenServer 8, debe iniciar sesión en XenCenter como administrador u operador de grupos, o con una cuenta raíz local.
Cuando se utilizan grupos de Active Directory para conceder acceso a los usuarios del administrador de grupos que requieren acceso SSH al host, el número de usuarios del grupo de Active Directory no debe superar los 500.
Para obtener un resumen de los permisos disponibles para cada rol y para obtener información sobre las operaciones disponibles para cada permiso, consulte Definiciones de roles y permisos de RBAC en la siguiente sección.
Al crear un usuario en XenServer, primero debe asignar un rol al usuario recién creado para que pueda usar la cuenta. XenServer no asigna automáticamente un rol al usuario recién creado. Como resultado, estas cuentas no tienen acceso al grupo de XenServer hasta que se les asigne una función.
Modificar el tema a la asignación de roles. Esto requiere el permiso de asignar/modificar rol, que solo está disponible para un administrador del grupo.
Modifique la pertenencia al grupo que contiene el usuario en Active Directory.
En la siguiente tabla se resumen los permisos disponibles para cada función. Para obtener detalles sobre las operaciones disponibles para cada permiso, consulte Definiciones de permisos.
Permisos de roles | Administrador del grupo | Operador de grupo | Administrador de energía de VM | Administrador de VM | Operador de VM | Solo lectura |
---|---|---|---|---|---|---|
Asignar/modificar funciones | X | |||||
Inicie sesión en consolas de servidor (físicas) (a través de SSH y XenCenter) | X | |||||
Backup/restore de servidores | X | |||||
Importación/exportación de paquetes OVF/OVA e imágenes de disco | X | |||||
Establecer núcleos por zócalo | X | X | X | X | ||
Convierta máquinas virtuales con XenServer Conversion Manager | X | |||||
Bloqueo del puerto del conmutador | X | X | ||||
Múltiples rutas | X | X | ||||
Cerrar sesión en las conexiones de usuario activas | X | X | ||||
Supervisar los recursos del host y del dom0 con NRPE | X | |||||
Supervisar los recursos de host y dom0 con SNMP | X | |||||
Crear y descartar alertas | X | X | ||||
Cancelar la tarea de cualquier usuario | X | X | ||||
Administración de grupo | X | X | ||||
Migración en vivo | X | X | X | |||
Migración en vivo de | X | X | X | |||
Operaciones avanzadas de VM | X | X | X | |||
Operaciones de creación/destrucción de VM | X | X | X | X | ||
Medios de CD de cambio de VM | X | X | X | X | X | |
Cambio de estado de energía de VM | X | X | X | X | X | |
Ver consolas de VM | X | X | X | X | X | |
Operaciones de administración de vistas de XenCenter | X | X | X | X | X | |
Cancelar tareas propias | X | X | X | X | X | X |
Leer registros de auditoría | X | X | X | X | X | X |
Conéctese al grupo y lea todos los metadatos del grupo | X | X | X | X | X | X |
Configurar la GPU virtual | X | X | ||||
Ver la configuración de GPU virtual | X | X | X | X | X | X |
Acceder a la unidad de configuración (solo máquinas virtuales CoreOS) | X | |||||
Instantáneas programadas (agregar/quitar máquinas virtuales a programaciones de instantáneas existentes) | X | X | X | |||
Instantáneas programadas (agregar/modificar/eliminar programaciones de instantáneas) | X | X | ||||
Recopilar información de diagnóstico | X | X | ||||
Configurar el seguimiento de bloques cambiados | X | X | X | X | ||
Listar bloques cambiados | X | X | X | X | X | |
Configurar PVS-Accelerator | X | X | ||||
Ver la configuración del acelerador PVS | X | X | X | X | X | X |
Asignar/modificar funciones:
Este permiso permite al usuario concederse a sí mismo cualquier permiso o realizar cualquier tarea.
Advertencia: Esta función permite al usuario inhabilitar la integración de Active Directory y todos los temas agregados desde Active Directory.
Inicie sesión en las consolas del servidor:
Advertencia: Con acceso a un shell raíz, la persona asignada puede reconfigurar arbitrariamente todo el sistema, incluido el RBAC.
Operaciones de creación/destrucción de VM de copia de seguridad/restauración de servidores:
La capacidad de restaurar una copia de seguridad permite a la persona asignada revertir los cambios de configuración de RBAC.
Importar/exportar paquetes OVF/OVA e imágenes de disco:
Establecer núcleos por zócalo:
Este permiso permite al usuario especificar la topología de las CPU virtuales de la VM.
Convierta máquinas virtuales con XenServer Conversion Manager:
Este permiso permite al usuario convertir cargas de trabajo de VMware a XenServer copiando lotes de máquinas virtuales VMware ESXi/vCenter al entorno de XenServer.
Bloqueo del puerto del conmutador:
Este permiso permite al usuario bloquear todo el tráfico en una red de forma predeterminada o definir direcciones IP específicas desde las que una máquina virtual puede enviar tráfico.
Rutas múltiples:
Cerrar sesión en las conexiones de usuario activas:
Crear/descartar alertas:
Advertencia: un usuario con este permiso puede descartar las alertas de todo el grupo.
Nota: La capacidad de ver alertas forma parte del permiso Conectarse al grupo y leer todos los metadatos del grupo.
Cancela la tarea de cualquier usuario:
Este permiso permite al usuario solicitar a XenServer que cancele una tarea en curso iniciada por cualquier usuario.
Gestión de agrupaciones:
Este permiso incluye todas las acciones necesarias para mantener un grupo.
Nota: Si la interfaz de administración no funciona, ningún inicio de sesión puede autenticarse, excepto los inicios de sesión raíz locales.
Migración en vivo:
Migración de almacenamiento en vivo:
Operaciones avanzadas de VM:
Este permiso proporciona al cesionario privilegios suficientes para iniciar una máquina virtual en un host diferente si no está satisfecho con el host XenServer seleccionado.
Operaciones de creación/destrucción de VM:
Nota:
La función de administrador de VM solo puede importar archivos XVA a un grupo con una SR compartida. La función de administrador de VM no tiene permisos suficientes para importar un archivo XVA en un host o en un grupo sin almacenamiento compartido.
CD de cambio de VM:
Importación/exportación de paquetes OVF/OVA; importación de imágenes de disco
Cambio de estado de energía de VM:
Este permiso no incluye start_on, resume_on y migrate, que forman parte del permiso de operaciones avanzadas de VM.
Ver consolas de VM:
Este permiso no permite al usuario ver las consolas host.
Operaciones de administración de vistas de XenCenter:
Las carpetas, los campos personalizados y las búsquedas se comparten entre todos los usuarios que acceden al grupo
Cancelar tareas propias:
Lea el registro de auditoría:
Conéctese al grupo y lea todos los metadatos del grupo:
Configurar la GPU virtual:
Ver la configuración de GPU virtual:
Instantáneas programadas:
Recopile información de diagnóstico de XenServer:
Configurar el seguimiento de bloques modificados:
El seguimiento de bloques modificados solo se puede habilitar en instancias con licencia de XenServer Premium Edition.
Lista de bloques cambiados:
Configurar PVS-Accelerator:
Ver la configuración del acelerador PVS:
Nota:
A veces, un usuario de solo lectura no puede mover un recurso a una carpeta en XenCenter, incluso después de recibir una solicitud de elevación y proporcionar las credenciales de un usuario con más privilegios. En este caso, inicie sesión en XenCenter como el usuario más privilegiado y vuelva a intentar la acción.
El sujeto se autentica a través del servidor de Active Directory para comprobar a qué grupos contendientes puede pertenecer también el sujeto.
A continuación, XenServer verifica qué funciones se han asignado tanto al sujeto como a los grupos que lo contienen.
Como los sujetos pueden ser miembros de varios grupos de Active Directory, heredan todos los permisos de las funciones asociadas.