vCenter Single Sign-On 域(默认为 vsphere.local)包含多个预定义组。如果将用户添加到其中一个组,则可以执行相应的操作。

请参见管理 vCenter Single Sign-On 用户和组

对于 vCenter Server 层次结构中的所有对象,您可以通过将用户和角色与对象进行配对来分配权限。例如,您可以选择一个资源池,并通过向一组用户授予相应的角色,为这组用户分配对该资源池对象的读取特权。

对于某些并非由 vCenter Server 直接管理的服务,一个 vCenter Single Sign-On 组中的成员资格决定特权。例如,属于管理员组成员的用户可以管理 vCenter Single Sign-On。属于 CAAdmins 组成员的用户可以管理 VMware Certificate Authority,而属于 LicenseService.Administrators 组的用户可以管理许可证。

vsphere.local 中预定义了以下组。

注:

其中许多组是 vsphere.local 的内部组或可向用户提供高级别管理特权。只有在仔细考虑相关风险后,才能将用户添加到以下任意组。

警告:

请勿删除 vsphere.local 域中的任何预定义组。否则,可能会导致身份验证错误或证书置备错误。

表 1. vsphere.local 域中的组

特权

描述

用户

vCenter Single Sign-On 域(默认为 vsphere.local)中的用户。

SolutionUsers

解决方案用户组 vCenter 服务。每个解决方案用户将使用证书单独向 vCenter Single Sign-On 进行身份验证。默认情况下,VMCA 将为解决方案用户置备证书。不要向该组明确添加成员。

CAAdmins

CAAdmins 组的成员拥有 VMCA 的管理员特权。不要向该组添加成员,除非您有充分的理由。

DCAdmins

DCAdmins 组的成员可以对 VMware Directory Service 执行域控制器管理员操作。

注:

不要直接管理域控制器。请改用 vmdir CLI 或 vSphere Web Client 执行相应的任务。

SystemConfiguration.BashShellAdministrators

此组仅适用于 vCenter Server Appliance 部署。

此组中的用户可以启用和禁用对 BASH shell 的访问。默认情况下,使用 SSH 连接到 vCenter Server Appliance 的用户只能访问受限 shell 中的命令。此组中的用户可以访问 BASH shell。

ActAsUsers

Act-As Users 的成员可以从 vCenter Single Sign-On 获取 Act-As 令牌。

ExternalIPDUsers

vSphere 未使用此内部组。VMware vCloud Air 需要此组。

SystemConfiguration.Administrators

SystemConfiguration.Administrators 组的成员可以在 vSphere Web Client 中查看和管理系统配置。这些用户可以查看、启动和重新启动服务、对服务进行故障排除、查看可用节点以及管理这些节点。

DCClients

此组在内部使用,以便允许管理节点访问 VMware Directory Service 中的数据。

注:

不要修改此组。任何更改都可能会影响证书基础架构。

ComponentManager.Administrators

ComponentManager.Administrators 组的成员可以调用组件管理器 API 以注册或取消注册服务,即修改服务。对服务进行读取访问不需要此组中的成员资格。

LicenseService.Administrators

LicenseService.Administrators 的成员对所有与许可相关的数据具有完全的写入访问权限,且可以为已在许可服务中注册的所有产品资产添加、移除、分配和取消分配序列密钥。

管理员

VMware Directory Service (vmdir) 的管理员。此组的成员可以执行 vCenter Single Sign-On 管理任务。不要向该组添加成员,除非您有充分的理由并了解后果。