El dominio de vCenter Single Sign-On (vsphere.local de forma predeterminada) incluye varios grupos predefinidos. Agregue usuarios a uno de esos grupos para permitirles llevar a cabo las acciones correspondientes.
Consulte Administrar usuarios y grupos de vCenter Single Sign-On.
Para todos los objetos de la jerarquía de vCenter Server, puede asignar los permisos mediante el emparejamiento de un usuario y una función con el objeto. Por ejemplo, puede seleccionar un grupo de recursos y otorgar a un grupo de usuarios la función correspondiente para proporcionarle privilegios de lectura en ese objeto del grupo de recursos.
Para algunos servicios que vCenter Server no administra directamente, los privilegios se determinan por la pertenencia a uno de los grupos de vCenter Single Sign-On. Por ejemplo, un usuario que es miembro del grupo Administradores puede administrar vCenter Single Sign-On. Un usuario miembro del grupo Administradores de CA puede administrar VMware Certificate Authority y un usuario que está en el grupo Servicio de licencias.Administradores puede administrar licencias.
Los siguientes grupos están predefinidos en vsphere.local. Muchos de estos grupos son internos de vsphere.local u otorgan a los usuarios privilegios administrativos de alto nivel. Evalúe detenidamente los riesgos antes de agregar usuarios a cualquiera de estos grupos.
Privilegio | Descripción |
---|---|
Usuarios | Usuarios del dominio de vCenter Single Sign-On (vsphere.local de forma predeterminada). |
Usuarios de solución | Grupo de usuarios de solución para los servicios de vCenter. Cada usuario de solución se autentica de forma individual en vCenter Single Sign-On con un certificado. De forma predeterminada, VMCA aprovisiona a los usuarios de solución con certificados. No agregue miembros a este grupo explícitamente. |
Administradores de CA | Miembros del grupo Administradores de CA que tienen privilegios de administrador para VMCA. No agregue miembros a este grupo a menos que tenga razones de peso para hacerlo. |
Administradores de DC | Los miembros del grupo Administradores de DC pueden llevar a cabo acciones de administrador de la controladora de dominio en VMware Directory Service.
Nota: No administre la controladora de dominio directamente. En su lugar, utilice la CLI
vmdir o
vSphere Client para llevar a cabo las tareas correspondientes.
|
Configuración del sistema.Administradores de shell de Bash | Un usuario de este grupo puede habilitar y deshabilitar el acceso al shell de BASH. De forma predeterminada, un usuario que se conecta a vCenter Server con SSH tiene acceso solo a los comandos del shell restringido. Los usuarios que están en este grupo pueden acceder al shell de BASH. |
Actuar como usuarios | Los miembros del grupo Actuar como usuarios tienen permisos de obtención de tokens Actuar como de vCenter Single Sign-On. |
ExternalIDPUsers | Este grupo interno no se utiliza en vSphere. VMware vCloud Air necesita este grupo. |
Configuración del sistema.Administradores | Los miembros del grupo Configuración del sistema.Administradores pueden ver y administrar la configuración del sistema en vSphere Client. Estos usuarios pueden ver, iniciar y reiniciar servicios, solucionar problemas de los servicios, y ver y administrar los nodos disponibles. |
Clientes de DC | Este grupo se utiliza internamente para permitir al nodo de administración acceder a los datos de VMware Directory Service.
Nota: No modifique este grupo. Cualquier cambio puede comprometer la infraestructura de certificados.
|
Administrador de componentes.Administradores | Los miembros del grupo Administrador de componentes.Administradores pueden ejecutar las API del administrador de componentes que registran servicios o cancelan registros de servicios, es decir, pueden modificar servicios. No es necesario ser miembro de este grupo para tener acceso de lectura en los servicios. |
Servicio de licencias.Administradores | Los miembros de Servicio de licencias.Administradores tienen acceso total de escritura a todos los datos relacionados con la concesión de licencias, y pueden agregar, quitar y asignar claves de serie, así como anular estas asignaciones, para todos los activos de productos registrados en el servicio de concesión de licencias. |
Administradores | Administradores de VMware Directory Service (vmdir). Los miembros de este grupo pueden realizar tareas de administración de vCenter Single Sign-On. No agregue miembros a este grupo a menos que tenga razones de peso para hacerlo y sepa cuáles son las consecuencias. |
TrustedAdmins | Los miembros de este grupo pueden realizar tareas de configuración y administración de VMware® vSphere Trust Authority™. De forma predeterminada, este grupo no contiene ningún miembro. Debe agregar un miembro a este grupo para poder realizar tareas de vSphere Trust Authority. |
AutoUpdate | Este grupo se utiliza de forma interna con la puerta de enlace de vCenter Cloud. |
SyncUsers | Este grupo se utiliza de forma interna con la puerta de enlace de vCenter Cloud. |
vSphereClientSolutionUsers | Este grupo se utiliza internamente con vSphere Client. |
ServiceProviderUsers | Los miembros de este grupo pueden administrar vSphere with Tanzu y la infraestructura de VMware Cloud on AWS. |
NsxAdministrators | Este grupo se utiliza con NSX. |
WorkloadStorage | Grupo de almacenamiento de carga de trabajo. |
RegistryAdministrators | Los miembros de este grupo pueden administrar el registro. |
NsxAuditors | Este grupo se utiliza con NSX. |
NsxViAdministrators | Este grupo se utiliza con NSX. |
SystemConfiguration.SupportUsers | Los miembros del grupo SystemConfiguration.SupportUsers pueden acceder a la API del paquete de soporte. |
SystemConfiguration.ReadOnly | Los miembros de este grupo pueden acceder a operaciones de solo lectura de vCenter Server Appliance. |