vSphere: Wenn geänderte Adminrechte nicht wirksam werden

VMware vSphere hat ein ausgefeiltes Berechtigungssystem, das mit seiner Rollen-Orientierung recht modern ist. Die Bedienung ist für Windows-Admins vielleicht etwas ungewohnt, aber nach etwas Einarbeitung kann man gut mit Active-Directory-Gruppen arbeiten, um detaillierte administrative Rechte innerhalb von vSphere zu vergeben.

Es kann allerdings vorkommen, dass Änderungen an Gruppenmitgliedschaften nicht wirksam werden. Ein Admin, dessen vSphere-bezogene Gruppen sich geändert haben, erhält so nicht die Berechtigungen, die er haben sollte. Stattdessen hat er die Berechtigungen, die er vorher hatte (die nun aber geändert sein sollte).

Dem erfahrenen Windows-Admin kommt das bekannt vor: Klar, wenn man neue Gruppen hat, muss man sich neu anmelden.

Manchmal hilft das aber nicht weiter: Auch nach der Neuanmeldung zeigt der vSphere-Client noch die alten Rechte. Prüft man die Gruppenmitgliedschaften, so sollten aber tatsächlich die “neuen” Rechte gelten. Was nun?

Hierzu muss man wissen, dass vSphere für die Administratoren eigene Sessions verwaltet, wenn sie sich mit dem Client verbinden. Offenbar gibt es Situationen, in denen vSphere diese Sessions aber nicht beendet, wenn der Administrator den Client beendet. Beim Neuverbinden konnektiert sich dann der Client auf eine bestehende Session – und die arbeitet mit den Gruppenmitgliedschaften, die beim Aufbau der Session bestanden. Der User hat so keine Chance, seine veränderten Berechtigungen zu nutzen.

Ein Weg, um das Problem zu lösen: Man meldet sich mit administrativen Rechten über den vSphere-Client an das vCenter an. Über die Startseite öffnet man den Bereich “Sessions”. Nun sollten sich in der Liste der Sitzungen eine oder mehrere Sessions für den betreffenden User finden. Per Rechtsklick kann man diese “gewaltsam” beenden (Terminate).

Wenn alle “alten” Sessions beendet sind, kann der User eine neue Sitzung aufbauen. Dort hat er dann endlich die geänderten Berechtigungen.