vCenter Berechtigungen verkorkst ?

[Dectall]

Morgen,
ich hab folgendes Problem. Wir benutzen Domänengruppen, um den Zugriff auf die einzelnen Standorte zu unterteilen.

Struktur wie folgt (vereinfacht)

vCenter

- Datacenter Standort A
-- Cluster A
--- Host A1/A2

- Datacenter Standort B
-- Cluster B
-- Host B1 - B4
-- Cluster C
-- Host C1/C2

- Datacenter Standort D
-- Cluster D
--- Host D1/D2


Ganz oben auf dem vCenter hat eine Gruppe Berechtigungen, Standartrolle Administrator - Darin u.A. ich. Auf den einzelnen DataCentern haben wir dann einzelne Angepasst Berechtigungen gesetzt (genannt Clusteradmin, darf also innerhalb seines Clusters Maschinen starten, ändern, etc. aber nichts am Datacenter verändern oder darüber hinaus) - Das ist auf allen Datacentern der anderen Standorte so.

Nun das Problem: Ich hab bei manchen Standorten Vollzugriff, kann also Hosts adden, mit dem Update Manager scannen, etc.
Bei manchen anderen ist aber Add Host ausgegraut, genauso wie der Update Manager mir "Insuccifent Permissions" vorwirft.

Berechtigungen wurden kontrolliiert, mein Benutzer ist in der Gruppe ganz oben, die auf dem vCenter als Administrator liegt, in den einzelnen DataCenter-Gruppen sind nur die entsprechenden Kollegen der Standorte, nicht ich.

Und jetzt kommts - Das ist nur im 5.0er vCenter so, in das wir aktuell reinmigrieren. Im 4.1er vCenter (selbes Berechtigungsshema) kann ich an allen Standorten munter Hosts hinzufügen und Updates prüfen...

Ergo: Ich habe absolut keine Ahnung, was da faul sein könnte, deshalb kann mir vllt. von euch einer helfen. Gibts es Einstellungen, die ich übersehen haben könnte, überschreiben sich manche Berechtigungen , etc?

Noch ein paar Zusatzinfos:

Alle Berechtigungen werden nach untne hin vererbt, d.h. meine Admingruppe aus dem vCenter ist auch in dne einzelnen Datacentern
Kein Lockdown-Modus oder sonst etwas
Ich kann notfalls handeln, da es noch einen lokal (im vCenter) angelegten User gibt, der ebenfalls ganz oben definiert ist, aber keinerlei dieser Probleme hat

Danke schonmal im Vorraus

[PeterDA]

Hi,
wenn du noch einen "Volladmin" hast würde ich einfach mal unterdem deinen User rauswerfen und ihn dan neu hinzufügen. Vieleicht ist ja doch irgendwie die Vererbung unterbrochen worden.

Gruß Peter

[Dectall]

In der ADS oder im vCenter selbst?

[PeterDA]

Hi,
nur im vCenter! Dort deinen Account löschen und neu hinzufügen. Das sollte reichen. Du kannst aber natürlich auch erstmal einen neuen Testaccount hinzufügen und schauen ob mit dem das Problem nicht auftritt.

Gruß Peter

[vMario156]

Ich hatte letztens folgenden Fall (was vielleicht hier auch zutrifft):

Mein AD User ist ganz oben auf vCenter Ebene als Admin eingetragen. Auf Ordner Ebene haben wir dann noch Berechtigungen für manche AD Gruppen, teilweise nur Read-Only. Auf einmal waren dann in bestimmten Bereichen auch meine Admin Rechte weg, konnte keine VMs mehr in den Ordner verschieben etc.

Nachdem ich alles geprüft hatte, blieb mir nur die Idee dass die Read-Only Berechtigungen der AD Gruppe (in der ich auch Mitglied war), wohl meine globlen Admin Berechtigungen überschreiben. Von der Logik her finde ich sollte es eigentlich genau anders rum sein.
Habe mich dann testweise mal aus der AD Gruppe rausgenommen und schon hatte ich wieder Admin Zugriff auf die Ordner.

[mbreidenbach]

Direkt zugewiesene Rechte überschreiben vererbte Rechte. Wenn man Admin-Rolle vererbt bekommt und eine beschränkte Rolle direkt zugewiesen dann gewinnt die beschränkte Rolle und man hat keine Admin Rechte.

Das hat mich mal einen ganzen Tag bei einem VMware View System gekostet bei dem auf diese Weise der Composer keine Admin Rechte auf den linked clones mehr hatte weil dessen service account von hinten durch die Brust ins Auge in irgendeiner AD Gruppe gelandet war in der er nix zu suchen hat.