O domínio vCenter Single Sign-On (vsphere.local por padrão) inclui vários grupos predefinidos. Adicione usuários a um desses grupos para permitir que eles realizem as ações correspondentes.
Consulte Gerenciando vCenter Single Sign-On usuários e grupos.
Para todos os objetos na hierarquia vCenter Server, você pode atribuir permissões emparelhando um usuário e uma função com o objeto. Por exemplo, você pode selecionar um pool de recursos e conceder a um grupo de usuários privilégios de leitura para esse objeto de pool de recursos, atribuindo a eles a função correspondente.
Para alguns serviços que não são gerenciados diretamente por vCenter Server, a associação a um dos grupos vCenter Single Sign-On determina os privilégios. Por exemplo, um usuário que é membro do grupo Administradores pode gerenciar vCenter Single Sign-On. Um usuário que é membro do grupo CAAdmins pode gerenciar o VMware Certificate Authority, e um usuário que está no grupo LicenseService.Administrators pode gerenciar licenças.
Os grupos a seguir são predefinidos em vsphere.local. Muitos desses grupos são internos ao vsphere.local ou concedem aos usuários privilégios administrativos de alto nível. Adicione usuários a qualquer um desses grupos somente após uma análise cuidadosa dos riscos.
| Privilégio | Descrição |
|---|---|
| Usuários | Usuários no domínio vCenter Single Sign-On (vsphere.local por padrão). |
| SolutionUsers | Grupo de usuários da solução para serviços vCenter. Cada usuário da solução autentica individualmente em vCenter Single Sign-On com um certificado. Por padrão, a VMCA provisiona certificados aos usuários da solução. Não adicione membros a este grupo explicitamente. |
| CAAdmins | Os membros do grupo CAAdmins têm privilégios de administrador para a VMCA. Não adicione membros a este grupo, a menos que você tenha motivos convincentes. |
| DCAdmins | Os membros do grupo DCAdmins podem executar ações do Administrador do Controlador de Domínio no Serviço de Diretório VMware.
Observação: Não gerencie o controlador de domínio diretamente. Em vez disso, use a CLI
vmdir ou a
vSphere Client para executar as tarefas correspondentes.
|
| SystemConfiguration.BashShellAdministrators | Um usuário desse grupo tem acesso total a todas as APIs de gerenciamento do dispositivo. Por padrão, um usuário que se conecta ao vCenter Server com SSH pode acessar apenas comandos no shell restrito, mas os usuários deste grupo têm acesso ao Bash Shell sobre SSH e obtêm privilégios totais semelhantes aos do usuário raiz. |
| ActAsUsers | Os membros de Usuários Act-As têm permissão para obter tokens Act-As de vCenter Single Sign-On. |
| ExternalIDPUusers | Este grupo interno não é usado por vSphere. VMware vCloud Air requer este grupo. |
| SystemConfiguration.Administrators | Os membros do grupo SystemConfiguration.Administrators podem visualizar e gerenciar a configuração do sistema na vCenter Server Interface de Gerenciamento em execução na porta 5480. Esses usuários podem exibir serviços, iniciar e reiniciar serviços e solucionar problemas de serviços. Esses usuários também podem acessar as APIs de gerenciamento do dispositivo, exceto as APIs que modificam configurações críticas do sistema. |
| DCClients | Esse grupo é usado internamente para permitir que o nó de gerenciamento acesse os dados no Serviço de Diretório VMware.
Observação: Não modifique este grupo. Quaisquer alterações podem comprometer sua infraestrutura de certificados.
|
| ComponentManager.Administrators | Os membros do grupo ComponentManager.Administrators podem invocar APIs do gerenciador de componentes que registram ou cancelam o registro de serviços, ou seja, modificam serviços. A associação a esse grupo não é necessária para acesso de leitura nos serviços. |
| LicenseService.Administrators | Os membros do LicenseService.Administrators têm acesso de gravação total a todos os dados relacionados ao licenciamento e podem adicionar, remover, atribuir e cancelar a atribuição de chaves de série para todos os ativos de produto registrados no serviço de licenciamento. |
| Administradores | Administradores do Serviço de Diretório VMware (vmdir). Os membros deste grupo podem executar vCenter Single Sign-On tarefas de administração. Não adicione membros a este grupo, a menos que você tenha motivos convincentes e entenda as consequências. |
| Administradores Confiáveis | Os membros deste grupo podem executar VMware® vSphere Trust Authority™ tarefas de configuração e administração. Por padrão, esse grupo não contém membros. Você deve adicionar um membro a este grupo para que possa executar vSphere Trust Authority tarefas. |
| Atualização automática | Esse grupo é usado internamente para o vCenter Cloud Gateway. |
| SyncUsers | Esse grupo é usado internamente para o vCenter Cloud Gateway. |
| vSphereClientSolutionUsers | Esse grupo é usado internamente para o vSphere Client. |
| ServiceProviderUsers | Os membros desse grupo podem gerenciar a infraestrutura vSphere with Tanzu e VMware Cloud on AWS. |
| NsxAdministrators | Este grupo é usado para VMware NSX. |
| Armazenamento de Carga de Trabalho | Grupo de armazenamento de carga de trabalho. |
| Administradores do Registro | Os membros desse grupo podem gerenciar o registro. |
| NsxAuditors | Este grupo é usado para VMware NSX. |
| NsxViAdministrators | Este grupo é usado para VMware NSX. |
| SystemConfiguration.SupportUsers | Os membros do grupo SystemConfiguration.SupportUsers podem acessar a API do pacote de suporte. |
| SystemConfiguration.ReadOnly | Os membros desse grupo podem acessar vCenter Server Appliance operações somente leitura no Gerenciamento do dispositivo. |
| VCLAdmin | Os membros deste grupo têm privilégios administrativos para o vSphere Cluster Services (vCLS). |
| AnalyticsService.Administrators | Esse grupo é usado para as VMware APIs de serviço do Analytics. |
| vStatsGroup | Esse grupo é usado para a coleta do vStats. |
