Le domaine vCenter Single Sign-On (par défaut, vsphere.local) inclut plusieurs groupes prédéfinis. Ajoutez des utilisateurs à l'un de ces groupes pour leur permettre d'effectuer les actions correspondantes.
Reportez-vous à la section Gestion des utilisateurs et des groupes vCenter Single Sign-On.
Pour tous les objets de la hiérarchie de vCenter Server, vous pouvez attribuer des autorisations en couplant un utilisateur et un rôle avec l'objet. Par exemple, vous pouvez sélectionner un pool de ressources et attribuer les privilèges de lecture de cet objet de pool de ressources à un groupe d'utilisateurs en leur attribuant le rôle correspondant.
Pour certains services qui ne sont pas gérés directement par vCenter Server, l'appartenance à un des groupes vCenter Single Sign-On détermine les privilèges. Par exemple, tout utilisateur qui est membre du groupe Administrateur peut gérer vCenter Single Sign-On. Tout utilisateur membre du groupe CAAdmins peut gérer VMware Certificate Authority et tout utilisateur appartenant au groupe LicenseService.Administrators peut gérer les licences.
Les groupes suivants sont prédéfinis dans vsphere.local.
Privilège | Description |
---|---|
Utilisateurs | Les utilisateurs du domaine vCenter Single Sign-On (par défaut, vsphere.local). |
SolutionUsers | Utilisateurs de solution. Ce groupe contient les services vCenter. Chaque utilisateur de solution s'authentifie individuellement auprès de vCenter Single Sign-On avec un certificat. Par défaut, VMCA provisionne les utilisateurs de solution à l'aide de certificats. N'ajoutez aucun membre à ce groupe explicitement. |
CAAdmins | Les membres du groupe CAAdmins possèdent des privilèges d'administration pour VMCA. N'ajoutez pas de membres à ce groupe, sauf en cas de force majeure. |
DCAdmins | Les membres du groupe DCAdmins peuvent exercer des actions d'administrateur de contrôleur de domaine sur VMware Directory Service.
Note : Ne gérez pas le contrôleur de domaine directement. Utilisez plutôt la CLI
vmdir ou
vSphere Client pour effectuer les tâches correspondantes.
|
SystemConfiguration.BashShellAdministrators | Ce groupe est disponible uniquement pour les déploiements de vCenter Server Appliance. Tout utilisateur appartenant à ce groupe peut activer et désactiver l'accès à l'interpréteur de commandes de dépistage. Par défaut, tout utilisateur qui se connecte à vCenter Server Appliance à l'aide de SSH peut uniquement accéder aux commandes disponibles dans le shell restreint. Les utilisateurs de ce groupe peuvent accéder à l'interpréteur de commandes de dépistage. |
ActAsUsers | Les membres de ce groupe sont autorisés à recevoir des jetons Act-As de vCenter Single Sign-On. |
ExternalIPDUsers | vSphere n'utilise pas ce groupe interne. VMware vCloud Air requiert ce groupe. |
SystemConfiguration.Administrators | Les membres du groupe SystemConfiguration.Administrators peuvent afficher et gérer la configuration du système dans vSphere Client. Ces utilisateurs peuvent afficher, démarrer, redémarrer et dépanner les services et consulter et gérer les nœuds disponibles. |
DCClients | Ce groupe est utilisé en interne pour permettre aux nœuds de gestion d'accéder aux données qui se trouvent dans VMware Directory Service.
Note : Ne modifiez pas ce groupe. Toute modification pourrait compromettre votre infrastructure de certificats.
|
ComponentManager.Administrators | Les membres du groupe ComponentManager.Administrators peuvent appeler des API du gestionnaire de composants qui enregistrent des services ou annulent leur enregistrement, c'est-à-dire qui modifient les services. L'appartenance à ce groupe n'est pas requise pour pouvoir accéder en lecture à ces services. |
LicenseService.Administrators | Les membres du groupe LicenseService.Administrators peuvent accéder en écriture à toutes les données liées à la gestion des licences et peuvent ajouter, supprimer, attribuer des touches série et en annuler l'attribution pour toutes les ressources de produits enregistrées dans le service de licence. |
Administrateurs | Administrateurs de VMware Directory Service (vmdir). Les membres de ce groupe peuvent effectuer des tâches d'administration vCenter Single Sign-On. N'ajoutez pas de membres à ce groupe, sauf en cas de force majeure et si vous en comprenez les conséquences. |