Die vCenter Single Sign On-Domäne (standardmäßig „vsphere.local“) enthält verschiedene vordefinierte Gruppen. Fügen Sie einer dieser Gruppen Benutzer hinzu, damit sie die entsprechenden Aktionen ausführen können.
Weitere Informationen hierzu finden Sie unter Verwalten von vCenter Single Sign On-Benutzern und -Gruppen.
Berechtigungen für alle Objekte in der vCenter Server-Hierarchie können erteilt werden, indem ein Benutzer und eine Rolle einem Objekt zugewiesen werden. Sie können beispielsweise einen Ressourcenpool auswählen und einer Gruppe von Benutzern Leserechte für dieses Ressourcenpoolobjekt erteilen, indem Sie ihnen die entsprechende Rolle zuweisen.
Bei bestimmten Diensten, die nicht direkt von vCenter Serververwaltet werden, bestimmt die Mitgliedschaft in einer der vCenter Single Sign On -Gruppen die Berechtigungen. So kann ein Benutzer, der Mitglied der Administratorgruppe ist, vCenter Single Sign On verwalten. Ein Benutzer in der Gruppe CAAdmins kann die VMware Certificate Authority verwalten, ein Benutzer in der Gruppe LicenseService.Administrators kann Lizenzen verwalten.
Folgende Gruppen sind in vsphere.local vordefiniert. Viele davon bestehen nur innerhalb von vsphere.local oder geben Benutzern High-Level-Administratorrechte. Wägen Sie stets die Risiken ab, bevor Sie diesen Gruppen Benutzer hinzufügen.
| Recht | Beschreibung |
|---|---|
| Benutzer | Benutzer in der vCenter Single Sign On-Domäne (standardmäßig „vsphere.local“). |
| SolutionUsers | Gruppe der Lösungsbenutzer für vCenter-Dienste. Jeder Lösungsbenutzer authentifiziert sich mit einem Zertifikat einzeln bei vCenter Single Sign-On. Standardmäßig liefert VMCA die Zertifikate für Lösungsbenutzer. Fügen Sie dieser Gruppe Mitglieder nicht explizit zu. |
| CAAdmins | Mitglieder der Gruppe CAAdmins besitzen Administratorrechte für VMCA. Fügen Sie dieser Gruppe ohne zwingende Gründe keine Mitglieder hinzu. |
| DCAdmins | Mitglieder der Gruppe DCAdmins dürfen Domänencontroller-Administratoraktionen im VMware Directory Service ausführen.
Hinweis: Verwalten Sie den Domänencontroller nicht direkt. Verwenden Sie für die entsprechenden Aufgaben stattdessen die
vmdir-CLI oder den
vSphere Client.
|
| SystemConfiguration.BashShellAdministrators | Ein Benutzer in dieser Gruppe kann den Zugriff auf die BASH-Shell aktivieren und deaktivieren. Standardmäßig können Benutzer, die sich über SSH mit dem vCenter Server verbinden, nur Befehle in der eingeschränkten Shell verwenden. Benutzer in dieser Gruppe haben hingegen Zugriff auf die BASH-Shell. |
| ActAsUsers | Mitglieder der Gruppe „Act-As Users“ dürfen Act-As-Token aus vCenter Single Sign On abrufen. |
| ExternalIDPUsers | Diese interne Gruppe wird in vSphere nicht verwendet. VMware vCloud Air benötigt diese Gruppe. |
| SystemConfiguration.Administrators | Mitglieder der Gruppe „SystemConfiguration.Administrators“ können die Systemkonfiguration im vSphere Client anzeigen und verwalten. Diese Benutzer dürfen Dienste anzeigen, starten und neu starten, Fehlerbehebung in den Diensten ausführen und die verfügbaren Knoten anzeigen und verwalten. |
| DCClients | Diese Gruppe wird intern verwendet, um dem Verwaltungsknoten den Datenzugriff im VMware Directory Service zu ermöglichen.
Hinweis: Nehmen Sie an dieser Gruppe keine Änderungen vor. Jedwede Änderung kann Ihre Zertifikatinfrastruktur beeinträchtigen.
|
| ComponentManager.Administrators | Mitglieder der Gruppe ComponentManager.Administrators dürfen Component Manager-APIs abrufen, mit denen ein Dienst registriert oder dessen Registrierung aufgehoben werden kann. Das bedeutet, dass sie Dienste ändern können. Für einen reinen Lesezugriff auf die Dienste ist die Mitgliedschaft in dieser Gruppe nicht notwendig. |
| LicenseService.Administrators | Mitglieder der Gruppe „LicenseService.Administrators“ haben vollständigen Schreibzugriff auf alle lizenzierungsbezogenen Daten und dürfen Seriennummernschlüssel für alle im Lizenzierungsdienst registrierten Produktassets hinzufügen, entfernen, zuweisen und widerrufen. |
| Administratoren | Administratoren des VMware Directory Service (vmdir). Mitglieder dieser Gruppe können Verwaltungsaufgaben in vCenter Single Sign On ausführen. Fügen Sie dieser Gruppe keine Mitglieder hinzu, es sei denn, Sie haben zwingende Gründe und kennen sich mit den Folgen aus. |
| TrustedAdmins | Mitglieder dieser Gruppe können Konfigurations- und Verwaltungsaufgaben in VMware® vSphere Trust Authority™ durchführen. Standardmäßig enthält diese Gruppe keine Mitglieder. Sie müssen dieser Gruppe ein Mitglied hinzufügen, damit Sie vSphere-Trust Authority-Aufgaben durchführen können. |
| AutoUpdate | Diese Gruppe wird intern für das vCenter Cloud-Gateway verwendet. |
| SyncUsers | Diese Gruppe wird intern für das vCenter Cloud-Gateway verwendet. |
| vSphereClientSolutionUsers | Diese Gruppe wird intern für den vSphere Client verwendet. |
| ServiceProviderUsers | Mitglieder dieser Gruppe können die Infrastruktur von vSphere with Tanzu und VMware Cloud on AWS verwalten. |
| NsxAdministrators | Diese Gruppe wird für NSX verwendet. |
| WorkloadStorage | Arbeitslastspeichergruppe. |
| RegistryAdministrators | Mitglieder dieser Gruppe können die Registrierung verwalten. |
| NsxAuditors | Diese Gruppe wird für NSX verwendet. |
| NsxViAdministrators | Diese Gruppe wird für NSX verwendet. |
| SystemConfiguration.SupportUsers | Mitglieder der Gruppe „SystemConfiguration.SupportUsers“ können auf die API des Support-Pakets zugreifen. |
| SystemConfiguration.ReadOnly | Mitglieder dieser Gruppe können auf schreibgeschützte Vorgänge der vCenter Server Appliance zugreifen. |
