角色是一组预定义的特权。向对象添加权限时，可以将用户或组与角色进行配对。vCenter Server 包括一些无法更改的默认系统角色。

vCenter Server 提供一些默认角色。不能更改与默认角色关联的特权。默认角色以层次结构方式进行组织。每个角色将继承前一个角色的特权。例如，管理员角色继承只读角色的特权。

要查看与某个默认角色关联的特权，请在 vSphere Client 中导航到该角色（菜单 > 系统管理 > 角色），然后单击特权选项卡。

要查看所有 vSphere 特权和描述，请参见定义的特权。

vCenter Server 角色层次结构还包括几个样本角色。您可以通过克隆样本角色创建类似的角色。

您创建的角色不继承任何系统角色的特权。

管理员角色

具有管理员角色的对象用户可在对象上查看和执行所有操作。此角色也包括只读角色的所有特权。如果您在某个对象上具有管理员角色，可以将特权分配给各个用户和组。

如果您使用管理员角色在 vCenter Server 中进行操作，可以将特权分配给默认 vCenter Single Sign-On 标识源中的用户和组。有关支持的身份服务，请参见 《vSphere 身份验证》文档。

默认情况下，安装后，[email protected] 用户将对 vCenter Single Sign-On 和 vCenter Server 具有管理员角色。该用户之后可以将其他用户与 vCenter Server 上的管理员角色相关联。

只读角色

具有“只读”角色的对象用户可查看对象的状态和详细信息。例如，具有此角色的用户可查看虚拟机、主机和资源池属性，但不能查看主机的远程控制台。通过菜单和工具栏执行的所有操作均被禁止。

无权访问角色

具有“无权访问”角色的对象用户不能以任何方式查看或更改对象。默认情况下向新用户和组分配此角色。可以逐对象更改角色。

vCenter Single Sign-On 域的管理员（默认为 [email protected]）、root 用户和 vpxuser 默认分配有管理员角色。其他用户默认分配有“无权访问”角色。

最佳做法是在 root 级别创建一个用户并向其分配管理员角色。创建一个具有管理员特权的指定用户后，可以移除 root 用户的所有权限或将其角色更改为“无权访问”。