Die gruppe „vsphere.local domain“ enthält mehrere vordefinierte Gruppen. Weisen Sie einer dieser Gruppen Benutzer zu, damit sie die entsprechenden Aktionen ausführen können.

Berechtigungen für alle Objekte in der vCenter Server-Hierarchie werden erteilt, indem ein Benutzer und eine Rolle einem Objekt zugewiesen werden. Sie können beispielsweise einen Ressourcenpool auswählen und einer Gruppe von Benutzern Leserechte für diese Ressource erteilen, indem Sie ihnen die entsprechende Rolle zuweisen.

Bei Diensten, die nicht direkt von vCenter Server verwaltet werden, werden die Rechte durch die Mitgliedschaft in einer der vCenter Single Sign On-Gruppen bestimmt. So kann ein Benutzer, der Mitglied der Administratorgruppe ist, vCenter Single Sign On verwalten. Ein Benutzer in der Gruppe CAAdmins kann die VMware Certificate Authority verwalten, ein Benutzer in der Gruppe LicenseService.Administrators kann Lizenzen verwalten.

Folgende Gruppen sind in vsphere.local vordefiniert.

Anmerkung:

Viele davon bestehen nur innerhalb von vsphere.local oder geben Benutzern High-Level-Administratorrechte. Wägen Sie stets die Risiken ab, bevor Sie diesen Gruppen Benutzer hinzufügen.

Anmerkung:

Löschen Sie keine vordefinierten Gruppen in der Domäne „vsphere.local“. Sollten Sie dies dennoch tun, treten möglicherweise Fehler bei der Authentifizierung oder Zertifikatbereitstellung auf.

Tabelle 1. Gruppen in der Domäne „vsphere.local“

Recht

Beschreibung

Benutzer

Benutzer in der Domäne vsphere.local

SolutionUsers

Gruppe der Lösungsbenutzer in vCenter-Diensten. Jeder Lösungsbenutzer authentifiziert sich mit einem Zertifikat einzeln bei vCenter Single Sign On. Standardmäßig liefert VMCA die Zertifikate für Lösungsbenutzer. Fügen Sie dieser Gruppe Mitglieder nicht explizit zu.

CAAdmins

Mitglieder der Gruppe CAAdmins besitzen Administratorrechte für VMCA. Das Hinzufügen von Mitgliedern zu dieser Gruppe wird generell nicht empfohlen.

DCAdmins

Mitglieder der Gruppe DCAdmins dürfen Domänencontroller-Administratoraktionen im VMware-Verzeichnisdienst ausführen.

Anmerkung:

Verwalten Sie den Domänencontroller nicht direkt. Verwenden Sie für die entsprechenden Aufgaben stattdessen die vmdir-CLI oder den vSphere Web Client.

SystemConfiguration.BashShellAdministrators

Diese Gruppe ist auf Bereitstellungen der vCenter Server Appliance beschränkt.

Ein Benutzer in dieser Gruppe kann den Zugriff auf die BASH-Shell aktivieren und deaktivieren. Standardmäßig können Benutzer, die sich über SSH mit der vCenter Server Appliance verbinden, nur Befehle in der eingeschränkten Shell verwenden. Benutzer in dieser Gruppe haben hingegen Zugriff auf die BASH-Shell.

ActAsUsers

Mitglieder der Gruppe ActAsUsers dürfen ActAs-Token aus vCenter Single Sign On abrufen.

ExternalIPDUsers

Diese Gruppe wird in vSphere nicht verwendet. Sie wird nur in Verbindung mit VMware vCloud Air benötigt.

SystemConfiguration.Administrators

Mitglieder der Gruppe SystemConfiguration.Administrators können die Systemkonfiguration im vSphere Web Client anzeigen und verwalten. Diese Benutzer dürfen Dienste anzeigen, starten und neu starten, Fehlerbehebung in den Diensten ausführen und die verfügbaren Knoten anzeigen und verwalten.

DCClients

Diese Gruppe wird intern verwendet, um dem Verwaltungsknoten den Datenzugriff im VMware-Verzeichnisdienst zu ermöglichen.

Anmerkung:

Nehmen Sie an dieser Gruppe keine Änderungen vor. Jedwede Änderung kann Ihre Zertifikatinfrastruktur beeinträchtigen.

ComponentManager.Administrators

Mitglieder der Gruppe ComponentManager.Administrators dürfen Component Manager-APIs abrufen, mit denen ein Dienst registriert oder dessen Registrierung aufgehoben werden kann. Das bedeutet, dass sie Dienste ändern können. Für einen reinen Lesezugriff auf die Dienste ist die Mitgliedschaft in dieser Gruppe nicht notwendig.

LicenseService.Administrators

Mitglieder der Gruppe LicenseService.Administrators haben vollständigen Schreibzugriff auf alle lizenzierungsbezogenen Daten und dürfen Seriennummernschlüssel für alle im Lizenzierungsdienst registrierten Produktassets hinzufügen, entfernen, zuweisen und widerrufen.

Administratoren

Administratoren des VMware-Verzeichnisdiensts (vmdir). Mitglieder dieser Gruppe können Verwaltungsaufgaben in vCenter Single Sign On ausführen. Das Hinzufügen von Mitgliedern zu dieser Gruppe wird generell nicht empfohlen.