Una función es un conjunto predefinido de privilegios. Al añadir permisos a un objeto, se empareja un usuario o un grupo con una función. vCenter Server incluye algunas funciones del sistema predeterminadas que no se pueden cambiar.

vCenter Server ofrece algunas funciones predeterminadas. Los privilegios asociados con las funciones predeterminadas no se pueden cambiar. Las funciones predeterminadas se organizan en una jerarquía. Cada función hereda los privilegios de la función anterior. Por ejemplo, el rol de administrador hereda los privilegios del rol de solo lectura.

Para ver los privilegios asociados con una función predeterminada, desplácese hasta esa función en vSphere Client (Menú > Administración > Funciones) y haga clic en la pestaña Privilegios.

La jerarquía de la función vCenter Server también incluye varias funciones de muestra. Puede clonar una función de muestra para crear una función similar.

Si crea una función, esta no hereda los privilegios de ninguna de las funciones del sistema.

Función de administrador
Los usuarios con la función de administrador para un objeto tienen permiso de ver el objeto y realizar todas las acciones posibles en él. Esta función también incluye todos los privilegios inherentes a la función de solo lectura. Si tiene la función de administrador en un objeto, puede asignar privilegios a grupos y usuarios individuales.
Si actúa con función de administrador en vCenter Server, puede asignar privilegios a los usuarios y grupos del origen de identidad predeterminado de vCenter Single Sign-On. Consulte la documentación de vSphere Authentication para obtener información sobre los servicios de identidad admitidos.
De forma predeterminada, el usuario administrator@vsphere.local tiene la función de administrador tanto en vCenter Single Sign-On como en vCenter Server después de la instalación. Ese usuario puede asociar otros usuarios con la función de administrador en vCenter Server.
Función de solo lectura
Los usuarios con la función Solo lectura para un objeto tienen permiso de ver el estado y los detalles del objeto. Por ejemplo, los usuarios con esta función pueden ver atributos de máquinas virtuales, hosts y grupos de recursos, pero no pueden ver la consola remota para un host. Las acciones desde los menús y las barras de herramientas no están permitidas.
Función Sin acceso
Los usuarios con la función Sin acceso a un objeto no pueden ver ni cambiar ese objeto de ninguna manera. Los usuarios y grupos nuevos tienen asignada esta función de forma predeterminada. Es posible cambiar la función de un solo objeto a la vez.
El administrador del dominio de vCenter Single Sign-On, administrator@vsphere.local de manera predeterminada, el usuario raíz y vpxuser tienen asignada la función Administrador de manera predeterminada. De manera predeterminada, se asigna la función Sin acceso a los otros usuarios.

La práctica recomendada es crear un usuario en el nivel raíz y asignar la función Administrador a ese usuario. Después de crear un usuario designado con privilegios de Administrador, puede quitar el usuario raíz de cualquiera de los permisos o cambiar la función a Sin acceso.