Una función es un conjunto predefinido de privilegios. Al agregar permisos a un objeto, se empareja un usuario o un grupo con una función. vCenter Server incluye varios funciones de sistema que no se pueden cambiar.

Funciones del sistema vCenter Server

vCenter Server ofrece algunas funciones predeterminadas. Los privilegios asociados con las funciones predeterminadas no se pueden cambiar. Las funciones predeterminadas se organizan en una jerarquía. Cada función hereda los privilegios de la función anterior. Por ejemplo, la función de administrador hereda los privilegios de la función de solo lectura. Las funciones que se crean no heredan los privilegios de otras funciones del sistema.

Función de administrador

Los usuarios con la función de administrador para un objeto tienen permiso de ver el objeto y realizar todas las acciones posibles en él. Esta función también incluye todos los privilegios inherentes a la función de solo lectura. Si actúa con función de administrador en un objeto, puede asignar privilegios a usuarios y grupos individuales. Si actúa con función de administrador en vCenter Server, puede asignar privilegios a los usuarios y grupos del origen de identidad predeterminado de vCenter Single Sign-On. Los servicios de identidad admitidos incluyen Windows Active Directory y OpenLDAP 2.4.

De forma predeterminada, el usuario administrator@vsphere.local tiene la función de administrador tanto en vCenter Single Sign-On como en vCenter Server después de la instalación. Ese usuario puede asociar otros usuarios con la función de administrador en vCenter Server.

Función de administrador sin criptografía

Los usuarios con la función Administrador sin criptografía para un objeto tienen los mismos privilegios que los usuarios con la función Administrador, menos los privilegios de Operaciones criptográficas. Esta función permite a los administradores designar otros administradores que no puedan cifrar o descifrar máquinas virtuales ni acceder a datos cifrados, pero que puedan realizar todas las demás tareas administrativas.

Función Sin acceso

Los usuarios con la función Sin acceso a un objeto no pueden ver ni cambiar ese objeto de ninguna manera. Los usuarios y grupos nuevos tienen asignada esta función de forma predeterminada. Es posible cambiar la función de un solo objeto a la vez.

El administrador del dominio de vCenter Single Sign-On, administrator@vsphere.local de manera predeterminada, el usuario raíz y vpxuser tienen asignada la función Administrador de manera predeterminada. De manera predeterminada, se asigna la función Sin acceso a los otros usuarios.

Función de solo lectura

Los usuarios con la función Solo lectura para un objeto tienen permiso de ver el estado y los detalles del objeto. Por ejemplo, los usuarios con esta función pueden ver atributos de máquinas virtuales, hosts y grupos de recursos, pero no pueden ver la consola remota para un host. Las acciones desde los menús y las barras de herramientas no están permitidas.

La práctica recomendada es crear un usuario en el nivel raíz y asignar la función Administrador a ese usuario. Después de crear un usuario designado con privilegios de Administrador, puede quitar el usuario raíz de cualquiera de los permisos o cambiar la función a Sin acceso.