全局特权控制整个系统的操作,例如查看和更改全局设置。只包含全局特权的角色不能应用于访问组。在 Cloud Pod 架构环境中,只包含全局特权的角色同样不能应用于联合访问组。
下表介绍了全局特权,并列出了包含各个特权的预定义角色。
特权 | 特权集 | 用户能力 | 预定义角色 |
---|---|---|---|
绕过 API 智能卡 | API_SMART_CARD_BYPASS |
当智能卡身份验证模式为“必需”时,允许基于 API 凭据进行登录。 | |
收集操作日志 | LOG_COLLECTION GLOBAL_ADMIN_SDK_INTERACTIVE GLOBAL_ADMIN_UI_INTERACTIVE |
收集池、场或连接服务器的操作日志。 | |
控制台交互 | GLOBAL_ADMIN_UI_INTERACTIVE |
登录并使用 Horizon Console。
注: VMware Horizon 会自动为新角色添加
控制台交互特权。此特权不会显示在
Horizon Console 的全局特权列表中。
|
管理员 管理员 (只读) 清单管理员 清单管理员 (只读) 全局配置和策略管理员 全局配置和策略管理员 (只读) 技术支持管理员 技术支持管理员 (只读) 本地管理员 本地管理员 (只读) |
直接交互 | GLOBAL_ADMIN_SDK_INTERACTIVE |
运行所有 PowerShell 命令和命令行实用程序(vdmadmin 和 vdmimport 除外)。 管理员必须在根访问组上具有管理员角色才能使用 vdmadmin、vdmimport 和 lmvutil 命令。
注: VMware Horizon 会自动为新角色添加
直接交互特权。此特权不会显示在
Horizon Console 的全局特权列表中。
|
管理员 管理员 (只读) |
取证 | FORENSICS |
将用户标记为已挂起以执行取证任务
注: 当前只能使用 VMware Horizon Server API 执行此任务。
|
|
Horizon Cloud Service | SUBSCRIPTION_LICENSE_ADD(写入权限) GLOBAL_CVP_REGISTER(写入权限) GLOBAL_CONFIG_VIEW(读取权限) POOL_VIEW(读取权限) CLOUD_ADMIN(读取权限) |
激活订阅许可证并从 Horizon Cloud Service 监控 Horizon 8 组件。 | Horizon Cloud Service |
管理访问组 | GLOBAL_PERMISSION_VIEW GLOBAL_ROLE_VIEW FOLDER_VIEW FOLDER_MANAGEMENT GLOBAL_ADMIN_SDK_INTERACTIVE GLOBAL_ADMIN_UI_INTERACTIVE |
添加和移除访问组,以及在 Cloud Pod 架构环境中添加和移除联合访问组。 | 管理员 本地管理员 |
管理证书 | MANAGE_CERTIFICATES | 请求并导入证书 | |
管理全局配置和策略 | GLOBAL_CONFIG_MANAGEMENT GLOBAL_CONFIG_VIEW GLOBAL_ADMIN_SDK_INTERACTIVE GLOBAL_ADMIN_UI_INTERACTIVE |
查看和修改全局策略与配置设置(针对管理员角色和权限的设置除外)。 | 管理员 全局配置和策略管理员 |
管理角色和权限 | GLOBAL_PERMISSION_MANAGEMENT GLOBAL_PERMISSION_VIEW GLOBAL_ROLE_MANAGEMENT GLOBAL_ROLE_PERMISSION_MANAGEMENT GLOBAL_ROLE_VIEW GLOBAL_ADMIN_SDK_INTERACTIVE GLOBAL_ADMIN_UI_INTERACTIVE |
创建、修改和删除管理员角色和权限。 | 管理员 |
注册代理 | GLOBAL_MACHINE_REGISTER GLOBAL_ADMIN_SDK_INTERACTIVE GLOBAL_ADMIN_UI_INTERACTIVE |
在未受管的计算机(如物理系统、独立的虚拟机和 RDS 主机)上安装 Horizon Agent。 在 Horizon Agent 安装过程中,您必须提供管理员登录凭据,才能在连接服务器实例上注册未受管理的计算机。 |
管理员 代理注册管理员 |
管理 vCenter 配置 (只读) | VC_CONFIG_VIEW GLOBAL_ADMIN_SDK_INTERACTIVE GLOBAL_ADMIN_UI_INTERACTIVE |
对 vCenter Server 配置进行只读访问。 | 管理员 管理员 (只读) 清单管理员 清单管理员 (只读) 本地管理员 本地管理员 (只读) |