El dominio de vCenter Single Sign-On (vsphere.local de forma predeterminada) incluye varios grupos predefinidos. Agregue usuarios a uno de esos grupos para permitirles realizar las acciones correspondientes.
Consulte Administrar usuarios y grupos de vCenter Single Sign-On.
Para todos los objetos de la jerarquía de vCenter Server, puede asignar los permisos mediante el emparejamiento de un usuario y una función con el objeto. Por ejemplo, puede seleccionar un grupo de recursos y otorgar a un grupo de usuarios la función correspondiente para proporcionarle privilegios de lectura en ese objeto del grupo de recursos.
Para algunos servicios que vCenter Server no administra directamente, los privilegios se determinan por la pertenencia a uno de los grupos de vCenter Single Sign-On. Por ejemplo, un usuario que es miembro del grupo Administradores puede administrar vCenter Single Sign-On. Un usuario miembro del grupo Administradores de CA puede administrar VMware Certificate Authority y un usuario que está en el grupo Servicio de licencias.Administradores puede administrar licencias.
Los siguientes grupos están predefinidos en vsphere.local. Muchos de estos grupos son internos de vsphere.local u otorgan a los usuarios privilegios administrativos de alto nivel. Evalúe detenidamente los riesgos antes de agregar usuarios a cualquiera de estos grupos.
| Privilegio | Descripción |
|---|---|
| Usuarios | Usuarios del dominio de vCenter Single Sign-On (vsphere.local de forma predeterminada). |
| Usuarios de solución | Grupo de usuarios de solución para los servicios de vCenter. Cada usuario de solución se autentica de forma individual en vCenter Single Sign-On con un certificado. De forma predeterminada, VMCA aprovisiona a los usuarios de solución con certificados. No agregue miembros a este grupo explícitamente. |
| Administradores de CA | Miembros del grupo Administradores de CA que tienen privilegios de administrador para VMCA. No agregue miembros a este grupo a menos que tenga razones de peso para hacerlo. |
| Administradores de DC | Los miembros del grupo Administradores de DC pueden llevar a cabo acciones de administrador de la controladora de dominio en VMware Directory Service.
Nota: No administre la controladora de dominio directamente. En su lugar, utilice la CLI
vmdir o
vSphere Client para llevar a cabo las tareas correspondientes.
|
| Configuración del sistema.Administradores de shell de Bash | Un usuario de este grupo tiene acceso completo a todas las API de administración de dispositivos. De forma predeterminada, un usuario que se conecta a vCenter Server con SSH solo puede acceder a los comandos del shell restringido, pero los usuarios de este grupo tienen acceso al shell de Bash a través de SSH y obtienen privilegios completos similares al usuario raíz. |
| Actuar como usuarios | Los miembros del grupo Actuar como usuarios tienen permisos de obtención de tokens Actuar como de vCenter Single Sign-On. |
| ExternalIDPUsers | Este grupo interno no se utiliza en vSphere. VMware vCloud Air necesita este grupo. |
| Configuración del sistema.Administradores | Los miembros del grupo SystemConfiguration.Administrators pueden ver y administrar la configuración del sistema en la interfaz de administración de vCenter Server que se ejecuta en el puerto 5480. Estos usuarios pueden ver, iniciar y reiniciar servicios, y solucionar problemas con los servicios. Estos usuarios también pueden acceder a las API de administración de dispositivos, excepto las API que modifican configuraciones críticas del sistema. |
| Clientes de DC | Este grupo se utiliza internamente para permitir al nodo de administración acceder a los datos de VMware Directory Service.
Nota: No modifique este grupo. Cualquier cambio puede comprometer la infraestructura de certificados.
|
| Administrador de componentes.Administradores | Los miembros del grupo Administrador de componentes.Administradores pueden ejecutar las API del administrador de componentes que registran servicios o cancelan registros de servicios, es decir, pueden modificar servicios. No es necesario ser miembro de este grupo para tener acceso de lectura en los servicios. |
| Servicio de licencias.Administradores | Los miembros de Servicio de licencias.Administradores tienen acceso total de escritura a todos los datos relacionados con la concesión de licencias, y pueden agregar, quitar y asignar claves de serie, así como anular estas asignaciones, para todos los activos de productos registrados en el servicio de concesión de licencias. |
| Administradores | Administradores de VMware Directory Service (vmdir). Los miembros de este grupo pueden realizar tareas de administración de vCenter Single Sign-On. No agregue miembros a este grupo a menos que tenga razones de peso para hacerlo y sepa cuáles son las consecuencias. |
| TrustedAdmins | Los miembros de este grupo pueden realizar tareas de configuración y administración de VMware® vSphere Trust Authority™. De forma predeterminada, este grupo no contiene ningún miembro. Debe agregar un miembro a este grupo para poder realizar tareas de vSphere Trust Authority. |
| AutoUpdate | Este grupo se utiliza de forma interna con la puerta de enlace de vCenter Cloud. |
| SyncUsers | Este grupo se utiliza de forma interna con la puerta de enlace de vCenter Cloud. |
| vSphereClientSolutionUsers | Este grupo se utiliza internamente con vSphere Client. |
| ServiceProviderUsers | Los miembros de este grupo pueden administrar la infraestructura de vSphere with Tanzu y VMware Cloud on AWS. |
| NsxAdministrators | Este grupo se utiliza para VMware NSX. |
| WorkloadStorage | Grupo de almacenamiento de carga de trabajo. |
| RegistryAdministrators | Los miembros de este grupo pueden administrar el registro. |
| NsxAuditors | Este grupo se utiliza para VMware NSX. |
| NsxViAdministrators | Este grupo se utiliza para VMware NSX. |
| SystemConfiguration.SupportUsers | Los miembros del grupo SystemConfiguration.SupportUsers pueden acceder a la API del paquete de soporte. |
| SystemConfiguration.ReadOnly | Los miembros de este grupo pueden acceder a operaciones de solo lectura de vCenter Server Appliance en Administración de dispositivos. |
| VCLSAdmin | Los miembros de este grupo tienen privilegios administrativos para vSphere Cluster Services (vCLS). |
| AnalyticsService.Administrators | Este grupo se utiliza para las API de VMware Analytics Service. |
| vStatsGroup | Este grupo se utiliza para la recopilación de vStats. |
