vCenter Single Sign-On 域(默认为 vsphere.local)包含多个预定义组。如果将用户添加到其中一个组,则可以执行相应的操作。
请参见管理 vCenter Single Sign-On 用户和组。
对于 vCenter Server 层次结构中的所有对象,您可以通过将用户和角色与对象进行配对来分配权限。例如,您可以选择一个资源池,并通过向一组用户授予相应的角色,为这组用户分配对该资源池对象的读取特权。
对于某些并非由 vCenter Server 直接管理的服务,一个 vCenter Single Sign-On 组中的成员资格决定特权。例如,属于管理员组成员的用户可以管理 vCenter Single Sign-On。属于 CAAdmins 组成员的用户可以管理 VMware Certificate Authority,而属于 LicenseService.Administrators 组的用户可以管理许可证。
vsphere.local 中预定义了以下组。
注: 其中许多组是 vsphere.local 的内部组或可向用户提供高级别管理特权。只有在仔细考虑相关风险后,才能将用户添加到以下任意组。
注: 请勿删除 vsphere.local 域中的任何预定义组。否则,可能会导致身份验证错误或证书置备错误。
特权 | 描述 |
---|---|
用户 | vCenter Single Sign-On 域(默认为 vsphere.local)中的用户。 |
SolutionUsers | 解决方案用户组 vCenter 服务。每个解决方案用户将使用证书单独向 vCenter Single Sign-On 进行身份验证。默认情况下,VMCA 将为解决方案用户置备证书。不要向该组明确添加成员。 |
CAAdmins | CAAdmins 组的成员拥有 VMCA 的管理员特权。不要向该组添加成员,除非您有充分的理由。 |
DCAdmins | DCAdmins 组的成员可以对 VMware Directory Service 执行域控制器管理员操作。
注: 不要直接管理域控制器。请改用
vmdir CLI 或
vSphere Client 执行相应的任务。
|
SystemConfiguration.BashShellAdministrators | 此组仅适用于 vCenter Server Appliance 部署。 此组中的用户可以启用和禁用对 BASH shell 的访问。默认情况下,使用 SSH 连接到 vCenter Server Appliance 的用户只能访问受限 shell 中的命令。此组中的用户可以访问 BASH shell。 |
ActAsUsers | Act-As Users 的成员可以从 vCenter Single Sign-On 获取 Act-As 令牌。 |
ExternalIPDUsers | vSphere 未使用此内部组。VMware vCloud Air 需要此组。 |
SystemConfiguration.Administrators | SystemConfiguration.Administrators 组的成员可以在 vSphere Client 中查看和管理系统配置。这些用户可以查看、启动和重新启动服务、对服务进行故障排除、查看可用节点以及管理这些节点。 |
DCClients | 此组在内部使用,以便允许管理节点访问 VMware Directory Service 中的数据。
注: 不要修改此组。任何更改都可能会影响证书基础架构。
|
ComponentManager.Administrators | ComponentManager.Administrators 组的成员可以调用组件管理器 API 以注册或取消注册服务,即修改服务。对服务进行读取访问不需要此组中的成员资格。 |
LicenseService.Administrators | LicenseService.Administrators 的成员对所有与许可相关的数据具有完全的写入访问权限,且可以为已在许可服务中注册的所有产品资产添加、移除、分配和取消分配序列密钥。 |
管理员 | VMware Directory Service (vmdir) 的管理员。此组的成员可以执行 vCenter Single Sign-On 管理任务。不要向该组添加成员,除非您有充分的理由并了解后果。 |