El dominio de vCenter Single Sign-On (vsphere.local de forma predeterminada) incluye varios grupos predefinidos. Agregue usuarios a uno de esos grupos para permitirles llevar a cabo las acciones correspondientes.

Consulte Administrar usuarios y grupos de vCenter Single Sign-On.

Para todos los objetos de la jerarquía de vCenter Server, puede asignar los permisos mediante el emparejamiento de un usuario y una función con el objeto. Por ejemplo, puede seleccionar un grupo de recursos y otorgar a un grupo de usuarios la función correspondiente para proporcionarle privilegios de lectura en ese objeto del grupo de recursos.

Para algunos servicios que vCenter Server no administra directamente, los privilegios se determinan por la pertenencia a uno de los grupos de vCenter Single Sign-On. Por ejemplo, un usuario que es miembro del grupo Administrador puede administrar vCenter Single Sign-On. Un usuario miembro del grupo Administradores de CA puede administrar VMware Certificate Authority, y un usuario que está en el grupo Servicio de licencias.Administradores puede administrar licencias.

Los siguientes grupos están predefinidos en vsphere.local.

Nota:

Muchos de estos grupos son internos de vsphere.local u otorgan a los usuarios privilegios administrativos de alto nivel. Evalúe detenidamente los riesgos antes de agregar usuarios a cualquiera de estos grupos.

ADVERTENCIA:

No elimine ninguno de los grupos predefinidos en el dominio vsphere.local. De lo contrario, se pueden producir errores en la autenticación o el aprovisionamiento de certificados.

Tabla 1. Grupos del dominio vsphere.local

Privilegio

Descripción

Usuarios

Usuarios del dominio de vCenter Single Sign-On (vsphere.local de forma predeterminada).

Usuarios de solución

Servicios de vCenter del grupo de usuarios de solución. Cada usuario de solución se autentica de forma individual en vCenter Single Sign-On con un certificado. De forma predeterminada, VMCA aprovisiona a los usuarios de solución con certificados. No agregue miembros a este grupo explícitamente.

Administradores de CA

Miembros del grupo Administradores de CA que tienen privilegios de administrador para VMCA. No agregue miembros a este grupo a menos que tenga razones de peso para hacerlo.

Administradores de DC

Los miembros del grupo Administradores de DC pueden llevar a cabo acciones de administrador de la controladora de dominio en VMware Directory Service.

Nota:

No administre la controladora de dominio directamente. En su lugar, utilice la CLI vmdir o vSphere Web Client para llevar a cabo las tareas correspondientes.

Configuración del sistema.Administradores de shell de Bash

Este grupo solo está disponible para implementaciones de vCenter Server Appliance.

Un usuario de este grupo puede habilitar y deshabilitar el acceso al shell de BASH. De forma predeterminada, un usuario que se conecta a vCenter Server Appliance con SSH tiene acceso solo a los comandos del shell restringido. Los usuarios que están en este grupo pueden acceder al shell de BASH.

Actuar como usuarios

Los miembros del grupo Actuar como usuarios tienen permisos de obtención de tokens Actuar como de vCenter Single Sign-On.

Usuarios de IPDU externos

Este grupo interno no se utiliza en vSphere. VMware vCloud Air necesita este grupo.

Configuración del sistema.Administradores

Los miembros del grupo Configuración del sistema.Administradores pueden ver y administrar la configuración del sistema en vSphere Web Client. Estos usuarios pueden ver, iniciar y reiniciar servicios, solucionar problemas de los servicios, y ver y administrar los nodos disponibles.

Clientes de DC

Este grupo se utiliza internamente para permitir al nodo de administración acceder a los datos de VMware Directory Service.

Nota:

No modifique este grupo. Cualquier cambio puede comprometer la infraestructura de certificados.

Administrador de componentes.Administradores

Los miembros del grupo Administrador de componentes.Administradores pueden ejecutar las API del administrador de componentes que registran servicios o cancelan registros de servicios, es decir, pueden modificar servicios. No es necesario ser miembro de este grupo para tener acceso de lectura en los servicios.

Servicio de licencias.Administradores

Los miembros de Servicio de licencias.Administradores tienen acceso total de escritura a todos los datos relacionados con la concesión de licencias, y pueden agregar, quitar y asignar claves de serie, así como anular estas asignaciones, para todos los activos de productos registrados en el servicio de concesión de licencias.

Administradores

Administradores de VMware Directory Service (vmdir). Los miembros de este grupo pueden realizar tareas de administración de vCenter Single Sign-On. No agregue miembros a este grupo a menos que tenga razones de peso para hacerlo y sepa cuáles son las consecuencias.