Un rôle est un ensemble prédéfini de privilèges. Lorsque vous ajoutez des autorisations à un objet, vous associez un utilisateur ou un groupe à un rôle. vCenter Server comprend plusieurs rôles système que vous ne pouvez pas modifier.

Rôles système de vCenter Server

vCenter Server ne fournit que très peu de rôles par défaut. Vous ne pouvez pas changer les privilèges associés aux rôles par défaut. Les rôles par défaut sont organisés de façon hiérarchique ; chaque rôle hérite des privilèges du rôle précédent. Par exemple, le rôle Administrateur hérite des privilèges du rôle Lecture seule. Les rôles que vous créez vous-même n'héritent des privilèges d'aucun rôle système.

Rôle d'administrateur

Les utilisateurs assignés au rôle Administrateur pour un objet sont autorisés à afficher et à exécuter toutes les actions sur cet objet. Ce rôle comprend également tous les privilèges inhérents au rôle en lecture seule. Si vous disposez du rôle d'administrateur sur un objet, vous pouvez attribuer des privilèges à des utilisateurs individuels ou des groupes. Si vous disposez du rôle d'administrateur dans vCenter Server, vous pouvez attribuer des privilèges à des utilisateurs et des groupes dans la source d'identité vCenter Single Sign-On par défaut. Les services d'identité pris en charge incluent Windows Active Directory et OpenLDAP 2.4.

Par défaut, l'utilisateur administrator@vsphere.local a le rôle d'administrateur sur vCenter Single Sign-On et vCenter Server après l'installation. Cet utilisateur peut ensuite associer d'autres utilisateurs disposant du rôle d'administrateur dans vCenter Server.

rôle Aucun accès

Les utilisateurs assignés au rôle aucun accès pour un objet ne peuvent en aucun cas afficher ou modifier l'objet. Les nouveaux utilisateurs et groupes sont assignés à ce rôle par défaut. Vous pouvez modifier le rôle par objet.

Les utilisateurs administrator@vsphere.local, racine et vpxuser sont les seuls utilisateurs auxquels n'est pas attribué le rôle Aucun accès par défaut. Ils sont en revanche assignés au rôle Administrateur. Vous pouvez entièrement supprimer toute autorisation de l'utilisateur racine ou lui accorder le rôle Aucun accès du moment que vous commencez par créer une autorisation de remplacement au niveau de la racine avec le rôle d'administrateur et que vous associez ce rôle à un autre utilisateur.

rôle Lecture seule

Les utilisateurs assignés aux rôle Lecture seule pour un objet sont autorisés à afficher l'état et les détails de l'objet. Grâce à ce rôle, un utilisateur peut afficher les caractéristiques d'une machine virtuelle, d'un hôte et d'un pool de ressources. L'utilisateur ne peut pas voir la console à distance pour un hôte. Toutes les actions via les menus et barres d'outils ne sont pas autorisées.