Die vCenter Single Sign On-Domäne (standardmäßig „vsphere.local“) enthält verschiedene vordefinierte Gruppen. Fügen Sie einer dieser Gruppen Benutzer hinzu, damit sie die entsprechenden Aktionen ausführen können.
Weitere Informationen hierzu finden Sie unter Verwalten von vCenter Single Sign On-Benutzern und -Gruppen.
Sie können für alle Objekte in der vCenter Server-Hierarchie Berechtigungen zuweisen, indem Sie dem Objekt jeweils einen Benutzer und eine Rolle zuweisen. Sie können beispielsweise einen Ressourcenpool auswählen und einer Gruppe von Benutzern Leserechte für dieses Ressourcenpoolobjekt erteilen, indem Sie ihnen die entsprechende Rolle zuweisen.
Bei bestimmten Diensten, die nicht direkt von vCenter Serververwaltet werden, bestimmt die Mitgliedschaft in einer der vCenter Single Sign On -Gruppen die Berechtigungen. So kann ein Benutzer, der Mitglied der Administratorgruppe ist, vCenter Single Sign On verwalten. Ein Benutzer in der Gruppe CAAdmins kann die VMware Certificate Authority verwalten, ein Benutzer in der Gruppe LicenseService.Administrators kann Lizenzen verwalten.
Folgende Gruppen sind in vsphere.local vordefiniert. Viele davon bestehen nur innerhalb von vsphere.local oder geben Benutzern High-Level-Administratorrechte. Wägen Sie stets die Risiken ab, bevor Sie diesen Gruppen Benutzer hinzufügen.
Recht | Beschreibung |
---|---|
Benutzer | Benutzer in der vCenter Single Sign On-Domäne (standardmäßig „vsphere.local“). |
SolutionUsers | Gruppe der Lösungsbenutzer für vCenter-Dienste. Jeder Lösungsbenutzer authentifiziert sich mit einem Zertifikat einzeln bei vCenter Single Sign On. Standardmäßig liefert VMCA die Zertifikate für Lösungsbenutzer. Fügen Sie dieser Gruppe Mitglieder nicht explizit zu. |
CAAdmins | Mitglieder der Gruppe CAAdmins besitzen Administratorrechte für VMCA. Fügen Sie dieser Gruppe ohne zwingende Gründe keine Mitglieder hinzu. |
DCAdmins | Mitglieder der Gruppe DCAdmins dürfen Domänencontroller-Administratoraktionen im VMware Directory Service ausführen.
Hinweis: Verwalten Sie den Domänencontroller nicht direkt. Verwenden Sie für die entsprechenden Aufgaben stattdessen die
vmdir-CLI oder den
vSphere Client.
|
SystemConfiguration.BashShellAdministrators | Ein Benutzer in dieser Gruppe hat vollständigen Zugriff auf alle Appliance-Verwaltungs-APIs. Standardmäßig kann ein Benutzer, der eine Verbindung zu vCenter Server über SSH herstellt, nur auf Befehle in der eingeschränkten Shell zugreifen, aber Benutzer in dieser Gruppe haben Bash-Shell-Zugriff über SSH und erhalten vollständige Berechtigungen ähnlich denen des Root-Benutzers. |
ActAsUsers | Mitglieder der Gruppe „Act-As Users“ dürfen Act-As-Token aus vCenter Single Sign On abrufen. |
ExternalIDPUsers | Diese interne Gruppe wird von vSphere nicht verwendet. VMware vCloud Air benötigt diese Gruppe. |
SystemConfiguration.Administrators | Mitglieder der Gruppe „SystemConfiguration.Administrators“ können die Systemkonfiguration in der Verwaltungsschnittstelle von vCenter Server anzeigen und verwalten, die an Port 5480 ausgeführt wird. Diese Benutzer können Dienste anzeigen, starten und neu starten und Fehler beheben. Sie können auch auf Appliance-Verwaltungs-APIs zugreifen, mit Ausnahme der APIs, die kritische Systemkonfigurationen ändern. |
DCClients | Diese Gruppe wird intern verwendet, um dem Verwaltungsknoten den Datenzugriff im VMware Directory Service zu ermöglichen.
Hinweis: Nehmen Sie an dieser Gruppe keine Änderungen vor. Jedwede Änderung kann Ihre Zertifikatinfrastruktur beeinträchtigen.
|
ComponentManager.Administrators | Mitglieder der Gruppe ComponentManager.Administrators dürfen Component Manager-APIs abrufen, mit denen ein Dienst registriert oder dessen Registrierung aufgehoben werden kann. Das bedeutet, dass sie Dienste ändern können. Für einen reinen Lesezugriff auf die Dienste ist die Mitgliedschaft in dieser Gruppe nicht notwendig. |
LicenseService.Administrators | Mitglieder der Gruppe „LicenseService.Administrators“ haben vollständigen Schreibzugriff auf alle lizenzierungsbezogenen Daten und dürfen Seriennummernschlüssel für alle im Lizenzierungsdienst registrierten Produktassets hinzufügen, entfernen, zuweisen und widerrufen. |
Administratoren | Administratoren des VMware Directory Service (vmdir). Mitglieder dieser Gruppe können Verwaltungsaufgaben in vCenter Single Sign On ausführen. Fügen Sie dieser Gruppe keine Mitglieder hinzu, es sei denn, Sie haben zwingende Gründe und kennen sich mit den Folgen aus. |
TrustedAdmins | Mitglieder dieser Gruppe können Konfigurations- und Verwaltungsaufgaben in VMware® vSphere Trust Authority™ durchführen. Standardmäßig enthält diese Gruppe keine Mitglieder. Sie müssen dieser Gruppe ein Mitglied hinzufügen, damit Sie vSphere-Trust Authority-Aufgaben durchführen können. |
AutoUpdate | Diese Gruppe wird intern für das vCenter Cloud-Gateway verwendet. |
SyncUsers | Diese Gruppe wird intern für das vCenter Cloud-Gateway verwendet. |
vSphereClientSolutionUsers | Diese Gruppe wird intern für den vSphere Client verwendet. |
ServiceProviderUsers | Mitglieder dieser Gruppe können die vSphere with Tanzu- und die VMware Cloud on AWS-Infrastruktur verwalten. |
NsxAdministrators | Diese Gruppe wird für VMware NSX verwendet. |
WorkloadStorage | Arbeitslastspeichergruppe. |
RegistryAdministrators | Mitglieder dieser Gruppe können die Registrierung verwalten. |
NsxAuditors | Diese Gruppe wird für VMware NSX verwendet. |
NsxViAdministrators | Diese Gruppe wird für VMware NSX verwendet. |
SystemConfiguration.SupportUsers | Mitglieder der Gruppe „SystemConfiguration.SupportUsers“ können auf die API des Support-Pakets zugreifen. |
SystemConfiguration.ReadOnly | Mitglieder dieser Gruppe können auf schreibgeschützte Vorgänge der vCenter Server Appliance in der Appliance-Verwaltung zugreifen. |
VCLSAdmin | Mitglieder dieser Gruppe verfügen über Administratorrechte für vSphere Cluster Services (vCLS). |
AnalyticsService.Administrators | Diese Gruppe wird für die VMware Analysedienst-APIs verwendet. |
vStatsGroup | Diese Gruppe wird für die vStats-Erfassung verwendet. |