Die vCenter Single Sign On-Domäne (standardmäßig „vsphere.local“) enthält verschiedene vordefinierte Gruppen. Fügen Sie einer dieser Gruppen Benutzer hinzu, damit sie die entsprechenden Aktionen ausführen können.

Weitere Informationen hierzu finden Sie unter Verwalten von vCenter Single Sign On-Benutzern und -Gruppen.

Sie können für alle Objekte in der vCenter Server-Hierarchie Berechtigungen zuweisen, indem Sie dem Objekt jeweils einen Benutzer und eine Rolle zuweisen. Sie können beispielsweise einen Ressourcenpool auswählen und einer Gruppe von Benutzern Leserechte für dieses Ressourcenpoolobjekt erteilen, indem Sie ihnen die entsprechende Rolle zuweisen.

Bei bestimmten Diensten, die nicht direkt von vCenter Serververwaltet werden, bestimmt die Mitgliedschaft in einer der vCenter Single Sign On -Gruppen die Berechtigungen. So kann ein Benutzer, der Mitglied der Administratorgruppe ist, vCenter Single Sign On verwalten. Ein Benutzer in der Gruppe CAAdmins kann die VMware Certificate Authority verwalten, ein Benutzer in der Gruppe LicenseService.Administrators kann Lizenzen verwalten.

Folgende Gruppen sind in vsphere.local vordefiniert. Viele davon bestehen nur innerhalb von vsphere.local oder geben Benutzern High-Level-Administratorrechte. Wägen Sie stets die Risiken ab, bevor Sie diesen Gruppen Benutzer hinzufügen.

Vorsicht: Löschen Sie keine vordefinierten Gruppen in der Domäne „vsphere.local“. Sollten Sie dies dennoch tun, treten möglicherweise Fehler bei der Authentifizierung oder Zertifikatbereitstellung auf.
Tabelle 1. Gruppen in der Domäne „vsphere.local“
Recht Beschreibung
Benutzer Benutzer in der vCenter Single Sign On-Domäne (standardmäßig „vsphere.local“).
SolutionUsers Gruppe der Lösungsbenutzer für vCenter-Dienste. Jeder Lösungsbenutzer authentifiziert sich mit einem Zertifikat einzeln bei vCenter Single Sign On. Standardmäßig liefert VMCA die Zertifikate für Lösungsbenutzer. Fügen Sie dieser Gruppe Mitglieder nicht explizit zu.
CAAdmins Mitglieder der Gruppe CAAdmins besitzen Administratorrechte für VMCA. Fügen Sie dieser Gruppe ohne zwingende Gründe keine Mitglieder hinzu.
DCAdmins Mitglieder der Gruppe DCAdmins dürfen Domänencontroller-Administratoraktionen im VMware Directory Service ausführen.
Hinweis: Verwalten Sie den Domänencontroller nicht direkt. Verwenden Sie für die entsprechenden Aufgaben stattdessen die vmdir-CLI oder den vSphere Client.
SystemConfiguration.BashShellAdministrators Ein Benutzer in dieser Gruppe hat vollständigen Zugriff auf alle Appliance-Verwaltungs-APIs. Standardmäßig kann ein Benutzer, der eine Verbindung zu vCenter Server über SSH herstellt, nur auf Befehle in der eingeschränkten Shell zugreifen, aber Benutzer in dieser Gruppe haben Bash-Shell-Zugriff über SSH und erhalten vollständige Berechtigungen ähnlich denen des Root-Benutzers.
ActAsUsers Mitglieder der Gruppe „Act-As Users“ dürfen Act-As-Token aus vCenter Single Sign On abrufen.
ExternalIDPUsers Diese interne Gruppe wird von vSphere nicht verwendet. VMware vCloud Air benötigt diese Gruppe.
SystemConfiguration.Administrators Mitglieder der Gruppe „SystemConfiguration.Administrators“ können die Systemkonfiguration in der Verwaltungsschnittstelle von vCenter Server anzeigen und verwalten, die an Port 5480 ausgeführt wird. Diese Benutzer können Dienste anzeigen, starten und neu starten und Fehler beheben. Sie können auch auf Appliance-Verwaltungs-APIs zugreifen, mit Ausnahme der APIs, die kritische Systemkonfigurationen ändern.
DCClients Diese Gruppe wird intern verwendet, um dem Verwaltungsknoten den Datenzugriff im VMware Directory Service zu ermöglichen.
Hinweis: Nehmen Sie an dieser Gruppe keine Änderungen vor. Jedwede Änderung kann Ihre Zertifikatinfrastruktur beeinträchtigen.
ComponentManager.Administrators Mitglieder der Gruppe ComponentManager.Administrators dürfen Component Manager-APIs abrufen, mit denen ein Dienst registriert oder dessen Registrierung aufgehoben werden kann. Das bedeutet, dass sie Dienste ändern können. Für einen reinen Lesezugriff auf die Dienste ist die Mitgliedschaft in dieser Gruppe nicht notwendig.
LicenseService.Administrators Mitglieder der Gruppe „LicenseService.Administrators“ haben vollständigen Schreibzugriff auf alle lizenzierungsbezogenen Daten und dürfen Seriennummernschlüssel für alle im Lizenzierungsdienst registrierten Produktassets hinzufügen, entfernen, zuweisen und widerrufen.
Administratoren Administratoren des VMware Directory Service (vmdir). Mitglieder dieser Gruppe können Verwaltungsaufgaben in vCenter Single Sign On ausführen. Fügen Sie dieser Gruppe keine Mitglieder hinzu, es sei denn, Sie haben zwingende Gründe und kennen sich mit den Folgen aus.
TrustedAdmins Mitglieder dieser Gruppe können Konfigurations- und Verwaltungsaufgaben in VMware® vSphere Trust Authority™ durchführen. Standardmäßig enthält diese Gruppe keine Mitglieder. Sie müssen dieser Gruppe ein Mitglied hinzufügen, damit Sie vSphere-Trust Authority-Aufgaben durchführen können.
AutoUpdate Diese Gruppe wird intern für das vCenter Cloud-Gateway verwendet.
SyncUsers Diese Gruppe wird intern für das vCenter Cloud-Gateway verwendet.
vSphereClientSolutionUsers Diese Gruppe wird intern für den vSphere Client verwendet.
ServiceProviderUsers Mitglieder dieser Gruppe können die vSphere with Tanzu- und die VMware Cloud on AWS-Infrastruktur verwalten.
NsxAdministrators Diese Gruppe wird für VMware NSX verwendet.
WorkloadStorage Arbeitslastspeichergruppe.
RegistryAdministrators Mitglieder dieser Gruppe können die Registrierung verwalten.
NsxAuditors Diese Gruppe wird für VMware NSX verwendet.
NsxViAdministrators Diese Gruppe wird für VMware NSX verwendet.
SystemConfiguration.SupportUsers Mitglieder der Gruppe „SystemConfiguration.SupportUsers“ können auf die API des Support-Pakets zugreifen.
SystemConfiguration.ReadOnly Mitglieder dieser Gruppe können auf schreibgeschützte Vorgänge der vCenter Server Appliance in der Appliance-Verwaltung zugreifen.
VCLSAdmin Mitglieder dieser Gruppe verfügen über Administratorrechte für vSphere Cluster Services (vCLS).
AnalyticsService.Administrators Diese Gruppe wird für die VMware Analysedienst-APIs verwendet.
vStatsGroup Diese Gruppe wird für die vStats-Erfassung verwendet.