全局特权

全局特权控制整个系统的操作，例如查看和更改全局设置。只包含全局特权的角色不能应用于访问组。在 Cloud Pod 架构环境中，只包含全局特权的角色同样不能应用于联合访问组。

下表介绍了全局特权，并列出了包含各个特权的预定义角色。

表 1. 全局特权
特权	特权集	用户能力	预定义角色
绕过 API 智能卡	API_SMART_CARD_BYPASS	当智能卡身份验证模式为“必需”时，允许基于 API 凭据进行登录。
收集操作日志	LOG_COLLECTION GLOBAL_ADMIN_SDK_INTERACTIVE GLOBAL_ADMIN_UI_INTERACTIVE	收集池、场或连接服务器的操作日志。
控制台交互	GLOBAL_ADMIN_UI_INTERACTIVE	登录并使用 Horizon Console。注： VMware Horizon 会自动为新角色添加控制台交互特权。此特权不会显示在 Horizon Console 的全局特权列表中。	管理员管理员 (只读) 清单管理员清单管理员 (只读) 全局配置和策略管理员全局配置和策略管理员 (只读) 技术支持管理员技术支持管理员 (只读) 本地管理员本地管理员 (只读)
直接交互	GLOBAL_ADMIN_SDK_INTERACTIVE	运行所有 PowerShell 命令和命令行实用程序（vdmadmin 和 vdmimport 除外）。管理员必须在根访问组上具有管理员角色才能使用 vdmadmin、vdmimport 和 lmvutil 命令。注： VMware Horizon 会自动为新角色添加直接交互特权。此特权不会显示在 Horizon Console 的全局特权列表中。	管理员管理员 (只读)
取证	FORENSICS	将用户标记为已挂起以执行取证任务注：当前只能使用 VMware Horizon Server API 执行此任务。
Horizon Cloud Service	SUBSCRIPTION_LICENSE_ADD（写入权限） GLOBAL_CVP_REGISTER（写入权限） GLOBAL_CONFIG_VIEW（读取权限） POOL_VIEW（读取权限） CLOUD_ADMIN（读取权限）	激活订阅许可证并从 Horizon Cloud Service 监控 Horizon 8 组件。	Horizon Cloud Service
管理访问组	GLOBAL_PERMISSION_VIEW GLOBAL_ROLE_VIEW FOLDER_VIEW FOLDER_MANAGEMENT GLOBAL_ADMIN_SDK_INTERACTIVE GLOBAL_ADMIN_UI_INTERACTIVE	添加和移除访问组，以及在 Cloud Pod 架构环境中添加和移除联合访问组。	管理员本地管理员
管理证书	MANAGE_CERTIFICATES	请求并导入证书
管理全局配置和策略	GLOBAL_CONFIG_MANAGEMENT GLOBAL_CONFIG_VIEW GLOBAL_ADMIN_SDK_INTERACTIVE GLOBAL_ADMIN_UI_INTERACTIVE	查看和修改全局策略与配置设置（针对管理员角色和权限的设置除外）。	管理员全局配置和策略管理员
管理角色和权限	GLOBAL_PERMISSION_MANAGEMENT GLOBAL_PERMISSION_VIEW GLOBAL_ROLE_MANAGEMENT GLOBAL_ROLE_PERMISSION_MANAGEMENT GLOBAL_ROLE_VIEW GLOBAL_ADMIN_SDK_INTERACTIVE GLOBAL_ADMIN_UI_INTERACTIVE	创建、修改和删除管理员角色和权限。	管理员
注册代理	GLOBAL_MACHINE_REGISTER GLOBAL_ADMIN_SDK_INTERACTIVE GLOBAL_ADMIN_UI_INTERACTIVE	在未受管的计算机（如物理系统、独立的虚拟机和 RDS 主机）上安装 Horizon Agent。在 Horizon Agent 安装过程中，您必须提供管理员登录凭据，才能在连接服务器实例上注册未受管理的计算机。	管理员代理注册管理员
管理 vCenter 配置 (只读)	VC_CONFIG_VIEW GLOBAL_ADMIN_SDK_INTERACTIVE GLOBAL_ADMIN_UI_INTERACTIVE	对 vCenter Server 配置进行只读访问。	管理员管理员 (只读) 清单管理员清单管理员 (只读) 本地管理员本地管理员 (只读)