控制特定裝置的存取權

裝置初次受到 Lenovo XClarity Administrator 管理時，預設為一組預先定義的角色群組具有存取裝置的權限。您變更可以存取特定受管理裝置的角色群組。當權限指派給特定的角色群組時，只有身為這些角色群組成員的使用者才可以查看及使用這些特定裝置。

開始之前

唯有具備 lxc-supervisor、lxc-security-admin 或 lxc-recovery 權限的使用者才能執行此動作。

關於此作業

存取控制是針對個別裝置設定，不是針對容器設定，例如機架和資源群組。

對於機箱或機體內的元件，使用者必須至少具有機箱或機體的唯讀存取權，才能檢視該機箱或機體內的元件。如果使用者未具有至少機箱或機體的唯讀存取權，使用者或許可在部分視圖中查看其元件，但不保證能在所有視圖中查看。

具備 lxc-supervisor 權限的使用者可以檢視所有資源並採取動作，無論其是否在已具體授與該資源存取權的角色群組中。您無法為 lxc-supervisor 角色群組移除任何資源的存取權。

如果使用者不是具有特定受管理裝置的存取權的角色群組成員，便無法查看或使用該特定裝置。這包括透過 Lenovo XClarity Administrator 啟動管理控制器 Web 介面。若是 Flex 和 System x 裝置，使用者也無法直接登入沒有存取權的 CMM 或管理控制器。

預設存取控制設定是當裝置初次受到 XClarity Administrator 管理以及將特定裝置的存取權限重設為預設值時，用於設定裝置的存取權限。變更預設存取控制設定不會自動變更已經受管理的裝置的存取權限。

重要

如果使用者是超過一個角色群組的成員，而這些角色群組是指派給不同的裝置，則允許使用者在各裝置上執行的動作可能會有所不同。例如，如果使用者是預設角色群組 LXC-FW-ADMIN 和 LXC-OS-ADMIN 的成員，且如果 LXC-FW-ADMIN 有權存取伺服器 A 但 LXC-OS-ADMIN 尚無權存取伺服器 A 時，則該使用者可更新伺服器 A 上的韌體，但無法將作業系統部署至伺服器 A。如果 LXC-OS-ADMIN 已有權存取伺服器 B 但 LXC-FW-ADMIN 尚無權存取伺服器 B，則同一位使用者可將作業系統部署至伺服器 B，但無法更新伺服器 B 上的韌體。
當限制存取具有上層資源的裝置（例如 Flex 機箱中的伺服器或交換器）時，使用者必須至少具有上層資源的唯讀權限才能與裝置完全互動。如果使用者至少具有裝置（而非上層）的唯讀存取權，使用者將無法看到裝置清查檢視，但是可能可以在部分檢視中看到裝置，例如工作和事件。
例如，您可以建立上層的角色群組，並為該角色群組指派 lxc-operator 角色。納入所有應當可以存取該角色群組中任何下層（例如 Flex 機箱中的伺服器或交換器）的使用者。然後，納入該角色群組作為具有上層存取權的其中一個群組。

程序

請完成下列程序，建立角色群組與這些裝置的關聯，以控制特定裝置的存取權。

在主要 Lenovo XClarity Administrator 功能表上按一下管理 > 安全性。
按一下左側導覽窗格中的資源檢視。「資源檢視」頁面就會顯示。
您可以排序表格欄，方便找出特定的裝置。此外，您可以在資源類型下拉功能表中選取裝置類型、在角色群組下拉功能表中選取角色群組、在資源群組下拉功能表中選取資源群組，然後在過濾器欄位中輸入文字（例如資源名稱或類型），僅列出符合所選準則的裝置。
選取要控制存取權的一個或多個裝置。
按一下編輯圖示 ()。「編輯資源」對話框就會顯示，其中資源名稱欄位會列出目標裝置。
從角色群組下拉清單中，選取要允許目標裝置存取權的角色群組。
註
如果裝置具有上層資源（例如 Flex 機箱中的伺服器或交換器），您可以同時指定裝置（右欄）和上層資源（左欄）的存取權。
將公用存取設定為 No。這表示只有選取的角色群組的使用者成員可以存取目標裝置。
按一下儲存。
在完成指派權限之後，請按一下已停用切換開關，將資源存取控制變更為已啟用。
配置特定裝置的存取權之前或之後，您可以隨時啟用資源存取控制。啟用此設定時，表格中顯示的配置會生效，包括拒絕非監督者使用者存取任何沒有配置存取權的群組的裝置。

在您完成之後

您也可以執行下列動作，以控制裝置的存取權：

提供意見回饋