Seite 1 von 1
[Gelöst] Windows vCenter Server Berechtigungsaktualisierung
Verfasst: 26.02.2014, 13:48
von mister-man
Hallo beisammen,
nachdem ich so große Probleme mit der vCenter Appliance hatte, habe ich nun ein Windows Server 2008R2 als vCenter mit SQL2008R2 aufgesetzt.
Bisher läuft alles sehr gut, bis auf das vergeben von Berechtigungen. Derzeit habe ich eine Gruppe aus dem AD berechtigt, neue VM's zu erstellen. Entferne ich allerdings einen der berechtigten Nutzer, kann dieser bis zum Neustart von vSpahre noch VM's erstellen.
Gibt es eine Möglichkeit dies zu verhindern?
Verfasst: 26.02.2014, 14:38
von irix
2 Dinge sehe ich:
1. Du kannst seine Session beenden weil dann muss er sich neu anmelden
2. Mann muss gucken wieoft vCenter den AD Abgleich macht oder ob der jedes mal nachguckt
Gruss
Joerg
Verfasst: 26.02.2014, 14:55
von mister-man
Habe nun mal etwas getestet.
Leider schaut der vSphere Client nicht jedes mal, nach den Berechtigungen. Es scheint mir bisher so, das dies nur beim verbinden geschieht.
Allerding wird die berechtigung jedesmal wenn ich eine Berechtigung in VMWare selber bearbeite, an vSphere verteilt. Ich habe gehofft, dass ich dies auch per Script machen kann.
Verfasst: 26.02.2014, 15:07
von irix
mister-man hat geschrieben:Habe nun mal etwas getestet.
Leider schaut der vSphere Client nicht jedes mal, nach den Berechtigungen. Es scheint mir bisher so, das dies nur beim verbinden geschieht.
Na dann passt doch alles.
Allerding wird die berechtigung jedesmal wenn ich eine Berechtigung in VMWare selber bearbeite, an vSphere verteilt. Ich habe gehofft, dass ich dies auch per Script machen kann.
Ja geht ja auch... und dann beende die Sessions fuer die Accounts welche betroffen sind.
Gruss
Joerg
Verfasst: 26.02.2014, 17:24
von mister-man
irix hat geschrieben:
Ja geht ja auch... und dann beende die Sessions fuer die Accounts welche betroffen sind.
Und da fangen die Probleme an... Das AD wird von Admins betrieben, welche keinen Zugriff auf VMWare haben. Sprich ich müsste dies durch einen Job der sich aufruft oder dergleichen machen.
Verfasst: 26.02.2014, 18:38
von Dayworker
Wenn es nicht zuviele Accounts betrifft, spricht was gegen den manuellen Rauswurf?
Verfasst: 27.02.2014, 12:04
von mister-man
Habe mich nun damit angefreundet, immer die Nutzer zu trennen.
Den anderen Admins bringe ich das wohl bei, speziell wenn rechte entzogen werden
Ist allerdings blöd, wenn es vergessen wird, ist es eben eine Sicherheitslücke. Aber was solls!
Danke irix und Dayworker