配置所有权组
您可以配置所有权组,以便管理对系统上资源的访问。 您可以使用管理 GUI 或命令行界面在系统上配置所有权组。
所有权组定义系统中用户和对象的子集。您可创建所有权组以进一步限制对所有权组中定义的特定资源的访问权。只有具有“安全性管理员”角色的用户才能配置和管理所有权组。 在创建所有权组并分配资源和用户之前,请务必了解以下准则:
- 所有权组中的用户可以查看或更改其所属的所有权组中的资源。只有所有权组之外的用户(通常是具有“安全性管理员”角色的用户)可以查看和管理系统上的所有资源,包括所有权组中的用户。
- 所有权组中的用户无法更改其所有权组之外的任何对象。此限制包括与所有权组中的资源相关的全局资源。无法将全局资源分配给所有权组。例如,用户可以更改所有权组中的卷,但不能更改向该卷提供存储容量的 MDisk 或驱动器。MDisk 或驱动器被视为全局资源,并且无法分配给所有权组。
- 所有权组中的用户无法查看或更改已分配给另一个所有权组或者未分配给任何所有权组的资源。但是,所有权组中的用户可以查看和显示全局资源。例如,如果将卷分配给某个所有权组,那么该所有权组之外的用户无法显示该卷的相关信息。但是,同一用户可以显示系统上驱动器的相关信息,因为驱动器是无法分配给任何所有权组的全局资源。
使用管理 GUI
这些步骤适用于尚未配置拥有对象(例如,子池、主机和卷)的新系统。
要在系统上配置受支持的对象以使用所有权组,请完成以下步骤:
- 在管理 GUI 中,选择。
- 在所有权组页面上,单击创建所有权组。这样会在所有权组页面上创建并显示新的所有权组。
- 在创建所有权组后,创建一个用户组以包含作为所有权组所有者的用户。选择,然后单击创建用户组。
- 在创建用户组页面上,输入以下信息:
- 名称
- 输入用户组的名称。
- 角色
- 为用户组中的所有用户选择角色。在所有权组中分配的用户组无法使用“安全性管理员”角色。
- 所有权组
- 选择先前创建的所有权组,并将其分配给该用户组。
- 在页面上,选择现有用户或创建新用户以将其分配给该用户组。这些用户会自动继承分配给该用户组的所有权组。
- 在 页面上,如果父池不存在,那么单击创建池并将存储器分配给该池。右键单击新的父池,然后选择创建子池。
- 在创建子池页面上,输入以下信息:
- 名称
- 输入子池的名称。
- 容量
- 选择要从该子池分配的容量。
- 所有权组
- 选择先前创建的所有权组,并将其分配给该子池。
- 在配置子池并将其分配给所有权组后,在步骤5中创建的用户可以创建诸如主机、卷和 FlashCopy 映射之类的对象。
使用命令行界面
要配置系统以使用所有权组,请完成以下步骤:
- 要创建所有权组,请输入以下命令:
其中,name 是要创建的所有权组的名称。mkownershipgroup -name name - 在创建所有权组后,创建一个用户组以包含作为所有权组所有者的用户。要创建用户组,请输入以下命令:
其中,group_name 是用户组的名称,owner_name 是新所有权组的名称。分配给所有权组的用户组无法使用安全性管理员角色。mkusergrp -name group_name -role administrator -ownershipgroup owner_name - 您可以使用 mkuser 命令在用户组中创建新用户,或者使用 chuser 命令将现有用户分配给用户组。用户将继承分配给用户组的所有权组。
- 如果系统上不存在子池,那么必须先创建子池,然后再将它们分配给所有权组。要创建子池,请输入以下命令:
其中,name 是为子池提供容量的父池的名称。mkmdiskgrp -size 100 -unit tb -parentmdiskgrp name - 要将现有子池分配给新的所有权组,请输入以下命令:
其中,owner_name 是新所有权组的名称,name 是子池的名称。与子池相关联的任何卷都将继承新的所有权组。chmdiskgrp -ownershipgroup owner_name name - 在步骤 3 中创建的用户现在可以开始使用分配给此所有权组的子池中的容量,在此所有权组中创建诸如主机和卷之类的对象。