Un rôle est un ensemble prédéfini de privilèges. Lorsque vous ajoutez des autorisations à un objet, vous associez un utilisateur ou un groupe à un rôle. vCenter Server comprend plusieurs rôles système que vous ne pouvez pas modifier.
Rôles système de vCenter Server
vCenter Server fournit des rôles par défaut. Vous ne pouvez pas changer les privilèges associés aux rôles par défaut. Les rôles par défaut sont organisés de façon hiérarchique. Chaque rôle hérite des privilèges du rôle précédent. Par exemple, le rôle Administrateur hérite des privilèges du rôle Lecture seule. Les rôles que vous créez vous-même n'héritent des privilèges d'aucun rôle système.
- Rôle d'administrateur
- Les utilisateurs qui ont le rôle Administrateur pour un objet sont autorisés à afficher et à exécuter toutes les actions sur cet objet. Ce rôle comprend également tous les privilèges inhérents au rôle en lecture seule. Si vous disposez du rôle d'administrateur sur un objet, vous pouvez attribuer des privilèges à des utilisateurs individuels ou des groupes. Si vous disposez du rôle d'administrateur dans vCenter Server, vous pouvez attribuer des privilèges à des utilisateurs et des groupes dans la source d'identité vCenter Single Sign-On par défaut. Les services d'identité pris en charge incluent Windows Active Directory et OpenLDAP 2.4.
- Rôle Aucun administrateur de chiffrement
- Les utilisateurs qui ont le rôle Aucun administrateur de chiffrement pour un objet ont les mêmes privilèges que les utilisateurs ayant le rôle Administrateur, à l'exception des privilèges pour les opérations de chiffrement. Ce rôle permet aux administrateurs de désigner d'autres administrateurs qui ne peuvent pas chiffrer ou déchiffrer des machines virtuelles ni accéder aux données chiffrées, mais qui peuvent effectuer les autres tâches d'administration.
- rôle Aucun accès
- Les utilisateurs qui ont le rôle Aucun accès pour un objet ne peuvent en aucun cas afficher ou modifier l'objet. Les nouveaux utilisateurs et groupes sont assignés à ce rôle par défaut. Vous pouvez modifier le rôle par objet.
- rôle Lecture seule
- Les utilisateurs qui ont le rôle Lecture seule pour un objet sont autorisés à afficher l'état et les détails de l'objet. Par exemple, les utilisateurs ayant ce rôle peuvent afficher la machine virtuelle, l'hôte et les attributs du pool de ressources, mais ne peuvent pas afficher la console distante d'un hôte. Toutes les actions via les menus et barres d'outils ne sont pas autorisées.
La meilleure pratique consiste à créer un utilisateur au niveau racine et à lui attribuer le rôle Administrateur. Après avoir créé un utilisateur nommé ayant les privilèges Administrateur, vous ne pouvez pas supprimer l'utilisateur racine des autorisations ni remplacer son rôle par le rôle Aucun accès.