如果您想要限制对 vSphere 对象和相关管理任务的访问，则只需定义和使用自定义 vCenter Server 角色。如果不需要限制访问，您可以改用管理员帐户。每个管理员帐户都定义为位于对象层次结构顶层的管理员角色。这提供了对 vSphere 对象的完全访问权限，包括由ONTAP tools for VMware vSphere 10 添加的对象。

vSphere 对象清单按层次结构组织。例如，您可以按如下方式向下移动层次结构：

vCenter Server-→ Datacenter -→ Cluster -→ ESXi host -→ Virtual Machine

除 VAAI 插件操作外，所有权限均在 vSphere 对象层次结构中验证，VAAI 插件操作则针对目标 ESXi 主机进行验证。

为了简化使用 vCenter Server RBAC 的工作，ONTAP tools for VMware vSphere提供了针对各种管理任务定制的预定义角色。

要查看ONTAP tools for VMware vSphere，请选择 vSphere Client 顶部的“菜单”，然后单击左侧的“管理”和“角色”。有三个预定义的角色，如下所述。

提供执行ONTAP tools for VMware vSphere管理员任务所需的所有本机 vCenter Server 权限和ONTAP工具特定权限。

提供对ONTAP工具的只读访问权限。这些用户无法执行任何受访问控制的ONTAP tools for VMware vSphere操作。

提供配置存储所需的一些本机 vCenter Server 权限和ONTAP工具特定的权限。您可以执行以下任务：

两个 RBAC 环境协同工作。在 vSphere 客户端界面中执行任务时，首先检查定义到 vCenter Server 的ONTAP工具角色。如果 vSphere 允许该操作，则检查ONTAP角色权限。第二步是根据创建和配置存储后端时分配给用户的ONTAP角色执行的。

使用 vCenter Server 特权和权限时需要考虑一些事项。