vCenter Single Sign-On 域(默认为 vsphere.local)包含多个预定义组。将用户添加到其中一个组,以允许他们执行相应的操作。
请参见管理 vCenter Single Sign-On 用户和组。
对于 vCenter Server 层次结构中的所有对象,您可以通过将用户和角色与对象进行配对来分配权限。例如,您可以选择一个资源池,并通过向一组用户授予相应的角色,为这组用户分配对该资源池对象的读取特权。
对于某些并非由 vCenter Server 直接管理的服务,一个 vCenter Single Sign-On 组中的成员资格决定特权。例如,属于管理员组成员的用户可以管理 vCenter Single Sign-On。属于 CAAdmins 组成员的用户可以管理 VMware Certificate Authority,而属于 LicenseService.Administrators 组的用户可以管理许可证。
vsphere.local 中预定义了以下组。其中许多组是 vsphere.local 的内部组或可向用户提供高级别管理特权。只有在仔细考虑相关风险后,才能将用户添加到以下任意组。
小心: 请勿删除 vsphere.local 域中的任何预定义组。否则,可能会导致身份验证错误或证书置备错误。
| 特权 | 描述 |
|---|---|
| 用户 | vCenter Single Sign-On 域(默认为 vsphere.local)中的用户。 |
| SolutionUsers | vCenter 服务的解决方案用户组。每个解决方案用户将使用证书单独向 vCenter Single Sign-On 进行身份验证。默认情况下,VMCA 将为解决方案用户置备证书。不要向该组明确添加成员。 |
| CAAdmins | CAAdmins 组的成员拥有 VMCA 的管理员特权。不要向该组添加成员,除非您有充分的理由。 |
| DCAdmins | DCAdmins 组的成员可以对 VMware Directory Service 执行域控制器管理员操作。
注: 不要直接管理域控制器。请改用
vmdir CLI 或
vSphere Client 执行相应的任务。
|
| SystemConfiguration.BashShellAdministrators | 此组中的用户对所有设备管理 API 均具有完全访问权限。默认情况下,使用 SSH 连接到 vCenter Server 的用户只能访问受限 Shell 中的命令,但此组中的用户具有通过 SSH 访问 Bash Shell 的权限,并具有与 root 用户类似的完整特权。 |
| ActAsUsers | Act-As Users 的成员可以从 vCenter Single Sign-On 获取 Act-As 令牌。 |
| ExternalIDPUsers | vSphere 未使用此内部组。VMware vCloud Air 需要此组。 |
| SystemConfiguration.Administrators | SystemConfiguration.Administrators 组的成员可以从端口 5480 上运行的 vCenter Server 管理界面查看和管理系统配置。这些用户可以查看服务、启动和重新启动服务以及对服务进行故障排除。这些用户还可以访问设备管理 API,但那些用于修改关键系统配置的 API 除外。 |
| DCClients | 此组在内部使用,以便允许管理节点访问 VMware Directory Service 中的数据。
注: 不要修改此组。任何更改都可能会影响证书基础架构。
|
| ComponentManager.Administrators | ComponentManager.Administrators 组的成员可以调用组件管理器 API 以注册或取消注册服务,即修改服务。对服务进行读取访问不需要此组中的成员资格。 |
| LicenseService.Administrators | LicenseService.Administrators 的成员对所有与许可相关的数据具有完全的写入访问权限,且可以为已在许可服务中注册的所有产品资产添加、移除、分配和取消分配序列密钥。 |
| 管理员 | VMware Directory Service (vmdir) 的管理员。此组的成员可以执行 vCenter Single Sign-On 管理任务。不要向该组添加成员,除非您有充分的理由并了解后果。 |
| TrustedAdmins | 此组的成员可以执行 VMware® vSphere Trust Authority™ 配置和管理任务。默认情况下,此组不包含任何成员。必须将成员添加到此组,才能执行 vSphere Trust Authority 任务。 |
| AutoUpdate | 此组在内部用于 vCenter Cloud Gateway。 |
| SyncUsers | 此组在内部用于 vCenter Cloud Gateway。 |
| vSphereClientSolutionUsers | 此组在内部用于 vSphere Client。 |
| ServiceProviderUsers | 此组的成员可以管理 vSphere with Tanzu 和 VMware Cloud on AWS 基础架构。 |
| NsxAdministrators | 此组用于 VMware NSX。 |
| WorkloadStorage | 工作负载存储组。 |
| RegistryAdministrators | 此组的成员可以管理注册表。 |
| NsxAuditors | 此组用于 VMware NSX。 |
| NsxViAdministrators | 此组用于 VMware NSX。 |
| SystemConfiguration.SupportUsers | SystemConfiguration.SupportUsers 组的成员可以访问支持包 API。 |
| SystemConfiguration.ReadOnly | 此组的成员可在设备管理下访问 vCenter Server Appliance 只读操作。 |
| VCLSAdmin | 此组的成员对 vSphere 集群服务 (vCLS) 具有管理特权。 |
| AnalyticsService.Administrators | 此组用于 VMware Analytics Service API。 |
| vStatsGroup | 此组用于 vStats 收集。 |
