Le domaine vCenter Single Sign-On (par défaut, vsphere.local) inclut plusieurs groupes prédéfinis. Ajoutez des utilisateurs à l'un de ces groupes pour leur permettre d'effectuer les actions correspondantes.
Reportez-vous à la section Gestion des utilisateurs et des groupes vCenter Single Sign-On.
Pour tous les objets de la hiérarchie de vCenter Server, vous pouvez attribuer des autorisations en couplant un utilisateur et un rôle avec l'objet. Par exemple, vous pouvez sélectionner un pool de ressources et attribuer les privilèges de lecture de cet objet de pool de ressources à un groupe d'utilisateurs en leur attribuant le rôle correspondant.
Pour certains services qui ne sont pas gérés directement par vCenter Server, l'appartenance à un des groupes vCenter Single Sign-On détermine les privilèges. Par exemple, tout utilisateur qui est membre du groupe Administrateurs peut gérer vCenter Single Sign-On. Tout utilisateur membre du groupe CAAdmins peut gérer VMware Certificate Authority et tout utilisateur appartenant au groupe LicenseService.Administrators peut gérer les licences.
Les groupes suivants sont prédéfinis dans vsphere.local. Un grand nombre de ces groupes sont internes à vsphere.local ou donnent aux utilisateurs des privilèges d'administration de haut niveau. Avant d'ajouter des utilisateurs à l'un de ces groupes, réfléchissez bien aux risques encourus.
| Privilège | Description |
|---|---|
| Utilisateurs | Les utilisateurs du domaine vCenter Single Sign-On (par défaut, vsphere.local). |
| SolutionUsers | Groupe d'utilisateurs de solution pour les services vCenter. Chaque utilisateur de solution s'authentifie individuellement auprès de vCenter Single Sign-On avec un certificat. Par défaut, VMCA provisionne les utilisateurs de solution à l'aide de certificats. N'ajoutez aucun membre à ce groupe explicitement. |
| CAAdmins | Les membres du groupe CAAdmins possèdent des privilèges d'administration pour VMCA. N'ajoutez pas de membres à ce groupe, sauf en cas de force majeure. |
| DCAdmins | Les membres du groupe DCAdmins peuvent exercer des actions d'administrateur de contrôleur de domaine sur VMware Directory Service.
Note : Ne gérez pas le contrôleur de domaine directement. Utilisez plutôt la CLI
vmdir ou
vSphere Client pour effectuer les tâches correspondantes.
|
| SystemConfiguration.BashShellAdministrators | Tout utilisateur appartenant à ce groupe peut activer et désactiver l'accès à l'interpréteur de commandes de dépistage. Par défaut, tout utilisateur qui se connecte à vCenter Server à l'aide de SSH peut uniquement accéder aux commandes disponibles dans l'interpréteur de commandes restreint. Les utilisateurs de ce groupe peuvent accéder à l'interpréteur de commandes de dépistage. |
| ActAsUsers | Les membres de ce groupe sont autorisés à recevoir des jetons Act-As de vCenter Single Sign-On. |
| ExternalIDPUsers | vSphere n'utilise pas ce groupe interne. VMware vCloud Air requiert ce groupe. |
| SystemConfiguration.Administrators | Les membres du groupe SystemConfiguration.Administrators peuvent afficher et gérer la configuration du système dans vSphere Client. Ces utilisateurs peuvent afficher, démarrer, redémarrer et dépanner les services et consulter et gérer les nœuds disponibles. |
| DCClients | Ce groupe est utilisé en interne pour permettre aux nœuds de gestion d'accéder aux données qui se trouvent dans VMware Directory Service.
Note : Ne modifiez pas ce groupe. Toute modification pourrait compromettre votre infrastructure de certificats.
|
| ComponentManager.Administrators | Les membres du groupe ComponentManager.Administrators peuvent appeler des API du gestionnaire de composants qui enregistrent des services ou annulent leur enregistrement, c'est-à-dire qui modifient les services. L'appartenance à ce groupe n'est pas requise pour pouvoir accéder en lecture à ces services. |
| LicenseService.Administrators | Les membres du groupe LicenseService.Administrators peuvent accéder en écriture à toutes les données liées à la gestion des licences et peuvent ajouter, supprimer, attribuer des touches série et en annuler l'attribution pour toutes les ressources de produits enregistrées dans le service de licence. |
| Administrateurs | Administrateurs de VMware Directory Service (vmdir). Les membres de ce groupe peuvent effectuer des tâches d'administration vCenter Single Sign-On. N'ajoutez pas de membres à ce groupe, sauf en cas de force majeure et si vous en comprenez les conséquences. |
| TrustedAdmins | Les membres de ce groupe peuvent effectuer des tâches de configuration et d'administration de l'autorité d'approbation vSphere™ VMware®. Par défaut, ce groupe ne contient aucun membre. Vous devez ajouter un membre à ce groupe afin de pouvoir effectuer des tâches de l'autorité d'approbation vSphere. |
| AutoUpdate | Ce groupe est utilisé en interne pour vCenter Cloud Gateway. |
| SyncUsers | Ce groupe est utilisé en interne pour vCenter Cloud Gateway. |
| vSphereClientSolutionUsers | Ce groupe est utilisé en interne pour vSphere Client. |
| ServiceProviderUsers | Les membres de ce groupe peuvent gérer l'infrastructure vSphere with Kubernetes et VMware Cloud on AWS. |
| NsxAdministrators | Ce groupe est utilisé pour NSX. |
| WorkloadStorage | Groupe de stockage de charge de travail. |
| RegistryAdministrators | Les membres de ce groupe peuvent gérer le registre. |
| NsxAuditors | Ce groupe est utilisé pour NSX. |
| NsxViAdministrators | Ce groupe est utilisé pour NSX. |
| SystemConfiguration.SupportUsers | Les membres du groupe SystemConfiguration.SupportUsers peuvent accéder à l'API du bundle de support. |
| SystemConfiguration.ReadOnly | Les membres de ce groupe peuvent accéder aux opérations en lecture seule de vCenter Server Appliance. |
