Le domaine vCenter Single Sign-On (par défaut, vsphere.local) inclut plusieurs groupes prédéfinis. Ajoutez des utilisateurs à l'un de ces groupes pour leur permettre d'effectuer les actions correspondantes.

Reportez-vous à Gestion des utilisateurs et des groupes vCenter Single Sign-On.

Pour tous les objets de la hiérarchie de vCenter Server, vous pouvez attribuer des autorisations en couplant un utilisateur et un rôle avec l'objet. Par exemple, vous pouvez sélectionner un pool de ressources et attribuer les privilèges de lecture de cet objet de pool de ressources à un groupe d'utilisateurs en leur attribuant le rôle correspondant.

Pour certains services qui ne sont pas gérés directement par vCenter Server, l'appartenance à un des groupes vCenter Single Sign-On détermine les privilèges. Par exemple, tout utilisateur qui est membre du groupe Administrateur peut gérer vCenter Single Sign-On. Tout utilisateur membre du groupe CAAdmins peut gérer VMware Certificate Authority et tout utilisateur appartenant au groupe LicenseService.Administrators peut gérer les licences.

Les groupes suivants sont prédéfinis dans vsphere.local.

Remarque :

Un grand nombre de ces groupes sont internes à vsphere.local ou donnent aux utilisateurs des privilèges d'administration de haut niveau. Avant d'ajouter des utilisateurs à l'un de ces groupes, réfléchissez bien aux risques encourus.

Avertissement :

Ne supprimez pas les groupes prédéfinis du domaine vsphere.local. Si vous le faites, des erreurs d'authentification ou de provisionnement de certificats peuvent se produire.

Tableau 1. Groupes du domaine vsphere.local

Privilège

Description

Utilisateurs

Les utilisateurs du domaine vCenter Single Sign-On (par défaut, vsphere.local).

SolutionUsers

Utilisateurs de solution. Ce groupe contient les services vCenter. Chaque utilisateur de solution s'authentifie individuellement auprès de vCenter Single Sign-On avec un certificat. Par défaut, VMCA provisionne les utilisateurs de solution à l'aide de certificats. N'ajoutez aucun membre à ce groupe explicitement.

CAAdmins

Les membres du groupe CAAdmins possèdent des privilèges d'administration pour VMCA. N'ajoutez pas de membres à ce groupe, sauf en cas de force majeure.

DCAdmins

Les membres du groupe DCAdmins peuvent exercer des actions d'administrateur de contrôleur de domaine sur VMware Directory Service.

Remarque :

Ne gérez pas le contrôleur de domaine directement. Utilisez plutôt la CLI vmdir ou vSphere Web Client pour effectuer les tâches correspondantes.

SystemConfiguration.BashShellAdministrators

Ce groupe est disponible uniquement pour les déploiements de vCenter Server Appliance.

Tout utilisateur appartenant à ce groupe peut activer et désactiver l'accès à l'interpréteur de commandes de dépistage. Par défaut, tout utilisateur qui se connecte à vCenter Server Appliance à l'aide de SSH peut uniquement accéder aux commandes disponibles dans le shell restreint. Les utilisateurs de ce groupe peuvent accéder à l'interpréteur de commandes de dépistage.

ActAsUsers

Les membres de ce groupe sont autorisés à recevoir des jetons Act-As de vCenter Single Sign-On.

ExternalIPDUsers

vSphere n'utilise pas ce groupe interne. VMware vCloud Air requiert ce groupe.

SystemConfiguration.Administrators

Les membres du groupe SystemConfiguration.Administrators peuvent afficher et gérer la configuration du système dans vSphere Web Client. Ces utilisateurs peuvent afficher, démarrer, redémarrer et dépanner les services et consulter et gérer les nœuds disponibles.

DCClients

Ce groupe est utilisé en interne pour permettre aux nœuds de gestion d'accéder aux données qui se trouvent dans VMware Directory Service.

Remarque :

Ne modifiez pas ce groupe. Toute modification pourrait compromettre votre infrastructure de certificats.

ComponentManager.Administrators

Les membres du groupe ComponentManager.Administrators peuvent appeler des API du gestionnaire de composants qui enregistrent des services ou annulent leur enregistrement, c'est-à-dire qui modifient les services. L'appartenance à ce groupe n'est pas requise pour pouvoir accéder en lecture à ces services.

LicenseService.Administrators

Les membres du groupe LicenseService.Administrators peuvent accéder en écriture à toutes les données liées à la gestion des licences et peuvent ajouter, supprimer, attribuer des touches série et en annuler l'attribution pour toutes les ressources de produits enregistrées dans le service de licence.

Administrateurs

Administrateurs de VMware Directory Service (vmdir). Les membres de ce groupe peuvent effectuer des tâches d'administration vCenter Single Sign-On. N'ajoutez pas de membres à ce groupe, sauf en cas de force majeure et si vous en comprenez les conséquences.