角色：各种角色定义了对此角色可操作细节的权限组合
用户权限：用户权限是对esxi中的对象实例（如esxi主机，虚拟机，存储，网络等）进行权限的分配。通过在这些对象上绑定“用户+角色”来限定每个用户或用户组可以对此对象的操作权限。

1，在没有vSphere center 的时候，用户和角色都是通过vmware client联机在每台esxi上分别进行设置的，每个主机上的用户和角色都是各自独立的。

2，在使用了vSphere center 的时候如果esxi主机已被加入到center中，此时所有用户和权限都是统一定义和安排的。与上面不同的时候，由于vSphere center是安装在一台windows server 64位操作系统中的，所以vmware直接使用windows server中定义的域用户（如果有活动目录）或本地用户的数据库来作为自身管理和登陆用户的数据库来使用的，所以你在center上你找不到添加用户的地方，因为用户是在windows server系统上创建的。

3，vSphere center 中VMware默认定义了几个角色，分别是：
无权访问
只读
管理员
虚拟机超级用户（示例）
虚拟机用户（示例）
资源池管理员（示例）
WMware Consolidated Backup用户（示例）
数据存储使用者（示例）

其中，[无权访问]，[只读]和[管理员] 这三个是无法被删除的，其它可以被删除。在需要创建自定义角色时，你可以直接对上面这些角色进行克隆，克隆出新的角色后再编辑角色，修改相应的权限。也可以直接添加角色进行权限的定义。

下面说一下在vSphere center中如何让用户或用户组只能控制其被允许的虚拟机的开关机和连接主机上存储的权限。

1，创建一个角色。在vSphere center中选择[系统管理]-->[角色]，然后克隆[虚拟机用户（示例）]这个角色为一个新的角色——[虚拟机用户+访问存储]，然后编辑此角色，在编辑角色的窗口中，勾选[数据存储]下面的[浏览数据存储]。

2，在vSphere center所安装的windows server操作系统中打开用户管理，在用户管理中添加一个用户，或添加一个用户组，将多个用户放到这个用户组中。

3，将vmware client 连接到vSphere center，在[清单]-->[主机和群集]界面左边点选相应要给其限制的虚拟机，再点击右边的[权限]功能卡，然后在右击弹出的快捷菜单中选择[添加权限]。在弹出的[分配权限]对话框中，点击[添加]，然后找到刚才在windows server中创建的用户或用户组。

4，回到[分配权限]对话框中，在右边的选择需要分配给此虚拟机的角色，我们选择刚才创建的角色[虚拟机用户+访问存储]，2,3,4步设置好下图片如下：

5，在[清单]-->[数据存储]中，先要点击[数据中心的名称]的节，然后像3，4步一样在右边的[权限]功能卡中给这个数据中心分配权限。（添加一个用户或用户组，角色选择[只读]就可以了）这里注意，如果你不想此用户看到此数据中心下的所有存储，请将（传播到子对象）的勾去掉。

6，然后在[数据中心的名称]下找到你要分配给用户访问权限的数据存储名，按照上面办法，给这个数据存储分配用户和角色，此时角色应该选择我们开始创建的[虚拟机用户+访问存储]。

结束！这样用户就可以通过我们给他创建的用户名登录到vcenter，或web access访问vcenter，在管理界面中，此用户只能看到我们分配给他的的虚拟机，权限只限于开关机，和改变CDROM的ISO镜像到主机上我们指定给他的某个存储。

__________________________________________________________________________

从上面操作我们可知，VMware vSphere的角色是很细的，权限分配也是很严谨的（对于某一个权限的正常设置必须让涉及此权限每个对象都要有相应的权限才行）。你要访问某个存储，必须要对这个存储所属的数据中心有[只读]权限才行，光有数据存储的访问权限，而没有对其父对象——数据中心的只读权限，用户还是不能访问到此存储的。这一点很重要！

其它权限的使用没有一一试用，但只要注意上面这点，并且对每个权限的意思都了解，应该都是差不多的。