Le domaine vsphere.local comprend plusieurs groupes prédéfinis. Attribuez les utilisateurs à l'un de ces groupes pour leur permettre d'effectuer les actions correspondantes.

Pour tous les objets de la hiérarchie de vCenter Server, les autorisations sont attribuées en couplant un utilisateur et un rôle avec l'objet. Par exemple, vous pouvez sélectionner un pool de ressources et attribuer les privilèges de lecture de ce pool de ressources à un groupe d'utilisateurs en leur attribuant le rôle correspondant.

Pour certains services qui ne sont pas gérés directement par vCenter Server, les privilèges sont déterminés par l'appartenance à l'un des groupes vCenter Single Sign-On. Par exemple, tout utilisateur qui est membre du groupe Administrateur peut gérer vCenter Single Sign-On. Tout utilisateur membre du groupe CAAdmins peut gérer VMware Certificate Authority et tout utilisateur appartenant au groupe LicenseService.Administrators peut gérer les licences.

Les groupes suivants sont prédéfinis dans vsphere.local.

Remarque :

Un grand nombre de ces groupes sont internes à vsphere.local ou donnent aux utilisateurs des privilèges d'administration de haut niveau. Avant d'ajouter des utilisateurs à l'un de ces groupes, réfléchissez bien aux risques encourus.

Remarque :

Ne supprimez pas les groupes prédéfinis du domaine vsphere.local. Si vous le faites, des erreurs d'authentification ou de provisionnement de certificats peuvent se produire.

Tableau 1. Groupes du domaine vsphere.local

Privilège

Description

Utilisateurs

Utilisateurs du domaine vsphere.local.

SolutionUsers

Utilisateurs de solution. Ce groupe contient les services vCenter. Chaque utilisateur de solution s'authentifie individuellement auprès de vCenter Single Sign-On avec un certificat. Par défaut, VMCA provisionne les utilisateurs de solution à l'aide de certificats. N'ajoutez aucun membre à ce groupe explicitement.

CAAdmins

Les membres du groupe CAAdmins possèdent des privilèges d'administration pour VMCA. En général, il est déconseillé d'ajouter des membres à ces groupes.

DCAdmins

Les membres du groupe DCAdmins peuvent exercer des actions d'administrateur de contrôleur de domaine sur le service d'annuaire VMware.

Remarque :

Ne gérez pas le contrôleur de domaine directement. Utilisez plutôt la CLI vmdir ou vSphere Web Client pour effectuer les tâches correspondantes.

SystemConfiguration.BashShellAdministrators

Ce groupe est disponible uniquement pour les déploiements de vCenter Server Appliance.

Tout utilisateur appartenant à ce groupe peut activer et désactiver l'accès à l'interpréteur de commandes de dépistage. Par défaut, tout utilisateur qui se connecte à vCenter Server Appliance à l'aide de SSH peut uniquement accéder aux commandes disponibles dans le shell restreint. Les utilisateurs de ce groupe peuvent accéder à l'interpréteur de commandes de dépistage.

ActAsUsers

Les membres de ce groupe sont autorisés à recevoir des jetons actas de vCenter Single Sign-On.

ExternalIPDUsers

Ce groupe n'est pas utilisé par vSphere. Il est nécessaire en conjonction avec VMware vCloud Air.

SystemConfiguration.Administrators

Les membres du groupe SystemConfiguration.Administrators peuvent afficher et gérer la configuration du système dans vSphere Web Client. Ces utilisateurs peuvent afficher, démarrer, redémarrer et dépanner les services et consulter et gérer les nœuds disponibles.

DCClients

Ce groupe est utilisé en interne pour permettre aux nœuds de gestion d'accéder aux données qui se trouvent dans le service d'annuaire VMware.

Remarque :

Ne modifiez pas ce groupe. Toute modification pourrait compromettre votre infrastructure de certificats.

ComponentManager.Administrators

Les membres du groupe ComponentManager.Administrators peuvent appeler des API du gestionnaire de composants qui enregistrent des services ou annulent leur enregistrement, c'est-à-dire qui modifient les services. L'appartenance à ce groupe n'est pas requise pour pouvoir accéder en lecture à ces services.

LicenseService.Administrators

Les membres du groupe LicenseService.Administrators peuvent accéder en écriture à toutes les données liées à la gestion des licences et peuvent ajouter, supprimer, attribuer des touches série et en annuler l'attribution pour toutes les ressources de produits enregistrées dans le service de licence.

Administrateurs

Administrateurs du service d'annuaire VMware (vmdir). Les membres de ce groupe peuvent effectuer des tâches d'administration vCenter Single Sign-On. En général, il est déconseillé d'ajouter des membres à ce groupe.