配置所有權群組
您可以配置所有權群組來管理對系統上資源的存取。 您可以使用管理 GUI 或指令行介面來配置系統上的所有權群組。
所有權群組可定義系統內使用者及物件的子集。您可以建立所有權群組,來進一步限制存取所有權群組中定義的特定資源。只有具有「安全管理者」角色的使用者,才能配置及管理所有權群組。在建立所有權群組及指派資源和使用者之前,請務必瞭解下列準則:
- 所有權群組內的使用者可以檢視或變更其所屬所有權群組內的資源。僅所有權群組以外的使用者(通常是具有「安全管理者」角色的使用者),才能檢視及管理系統上的所有資源,包括所有權群組內的使用者。
- 所有權群組內的使用者無法變更其所有權群組以外的任何物件。此限制包括與所有權群組內資源相關的廣域資源。廣域資源無法指派給所有權群組。例如,使用者可以變更所有權群組中的磁區,但無法變更為該磁區提供儲存體的 MDisk 或磁碟機。MDisk 或磁碟機會視為廣域資源,無法指派給所有權群組。
- 如果資源是指派給另一個所有權群組或未指派給任何所有權群組,則所有權群組內的使用者無法檢視或變更這些資源。但是,所有權群組中的使用者可以檢視及顯示廣域資源。例如,如果將某磁區指派給一個所有權群組,該所有權群組以外的使用者無法顯示該磁區的資訊。但是,同一使用者可以顯示系統上磁碟機的相關資訊,因為磁碟機是廣域資源,無法指派給任何所有權群組。
使用管理 GUI
這些步驟適用於尚未配置擁有的物件(如子儲存區、主機及磁區)的新系統。
如果要在系統上配置支援的物件以使用所有權群組,請完成下列步驟:
- 在管理 GUI 中,選取。
- 在所有權群組頁面上,按一下建立所有權群組。即會建立新所有權群組,並顯示在所有權群組頁面上。
- 建立所有權群組後,請建立使用者群組以併入作為所有權群組擁有者的使用者。選取,然後按一下建立使用者群組。
- 在建立使用者群組頁面上,輸入下列資訊:
- 名稱
- 輸入使用者群組的名稱。
- 角色
- 為使用者群組中的所有使用者選取角色。在所有權群組中指派的使用者群組不能使用「安全管理者」角色。
- 所有權群組
- 選取您早先時候建立的所有權群組並將其指派給此使用者群組。
- 在頁面上,選取現有使用者或建立要指派給使用者群組的新使用者。這些使用者會自動繼承指派給使用者群組的所有權群組。
- 在 頁面上,如果母儲存區不存在,請按一下建立儲存區並為該儲存區指派儲存體。用滑鼠右鍵按一下新母儲存區,然後選取建立子儲存區。
- 在建立子儲存區頁面上,輸入下列資訊:
- 名稱
- 輸入子儲存區的名稱。
- 容量
- 選取您要從此子儲存區配置的容量。
- 所有權群組
- 選取您早先時候建立的所有權群組並將其指派給此子儲存區。
- 配置子儲存區並指派給所有權群組後,您在步驟 5 中建立的使用者即可建立主機、磁區及 FlashCopy 對映等物件。
使用指令行介面
如果要配置系統以使用所有權群組,請完成下列步驟:
- 如果要建立所有權群組,請輸入下列指令:
其中,name 是要建立的所有權群組的名稱。mkownershipgroup -name name - 建立所有權群組後,請建立使用者群組以併入作為所有權群組擁有者的使用者。若要建立使用者群組,請輸入下列指令:
其中,group_name 是使用者群組的名稱,owner_name 是新所有權群組的名稱。指派給所有權群組的使用者群組無法使用 SecurityAdmin 角色。mkusergrp -name group_name -role administrator -ownershipgroup owner_name - 您可以使用 mkuser 指令在使用者群組中建立新使用者,或者使用 chuser 將現有使用者指派給使用者群組。使用者會繼承指派給使用者群組的所有權群組。
- 如果系統上不存在子儲存區,您必須先建立子儲存區然後再將其指派給所有權群組。如果要建立子儲存區,請輸入下列指令:
其中,name 是為子儲存區提供容量的母儲存區的名稱。mkmdiskgrp -size 100 -unit tb -parentmdiskgrp name - 如果要將現有子儲存區指派給新所有權群組,請輸入下列指令:
其中,owner_name 是新所有權群組的名稱,name 是子儲存區的名稱。與該子儲存區相關聯的任何磁區皆會繼承新所有權群組。chmdiskgrp -ownershipgroup owner_name name - 現在,您在步驟 3 中建立的使用者可以開始使用指派給所有權群組的子儲存區中的容量,在此所有權群組中建立主機及磁區等物件。