提到IT安全性，第一大原则就是“不要相信任何人”。一旦公司达到一定规模后，安全总会成为问题。如果你在使用VMware，那么太多人访问vCenter就会会成为问题。

但是通过一些想法和优秀的设计来固化vCenter安全关注点是非常容易的。使用vCenter角色，可以实现管理员用户权限的细粒度管理。

刚开始时，你应该进行一些整体的调整。一个非常重要的变更就是将本地管理员从全局管理员角色中移除。否则具有vCenter server的本地管理员权限的用户就对整个虚拟基础设施具有管理权限。

使用正确的vCenter视图来应用安全性

你可以使用的一个简单的场景就是区分两大管理组Windows管理组和Linux管理组的权限，只有你是唯一的VMware管理员。你还需要有两个活动目录组，每个活动目录组对应着相应的管理员集合。也可以在角色中存放特定的用户，但是这让事情变得复杂，尤其是当员工不断调整变化时更是如此。

显示在vSphere Client中列出的角色

在vCenter仪表盘中，黄色的目录用于收集物理条目，比如机器内的目录。这些目录用于组织逻辑基础设施。针对蓝色目录（虚拟机以及目录）对象，可以指派相应的特权。为创建Windows以及Linux管理角色，可以选择主页>管理>角色。可以看到已经创建的一些角色。通过单击可以查看拥有该角色的用户。

创建新角色

请注意vCenter提供了角色示例，可以通过克隆高级用户示例角色来创建一个新角色。右键选择克隆，可以创建名为虚拟机克隆高级用户（sample）的新角色。克隆角色而非使用现有的角色被认为是最佳实践。这样做意味着如果有必要你总可以重头开始。右键选择重命名可以将角色的名字修改为WintelAdmins。重复上述步骤可以再创建一个名为LinuxAdmins的角色。

创建Windows和Linux管理员角色

接下来回退到vCenter，进入虚拟机以及模板视图。右键单击数据中心，创建名为Wintel的目录，然后在创建名为Linux的目录。通过拖拽可以将虚拟机移动到指定的目录下。

使用目录简化管理

为Windows管理员添加权限

现在可以将权限应用到这些目录了。返回主菜单，虚拟机与模板。单击Wintel目录，虚拟机将位于左侧面板，然后单击右侧的权限标签，通过右键单击添加权限来添加Wintel管理员。

分配正确的权限

单击添加，然后为要添加的组选择域。然后输入Wintel管理员组的前几个字母。为简化操作可以在单击查询前先选择显示组。如果你知道域以及组，可以直接在左侧的角色分配下拉列表中选择之前创建的Wintel管理员组。