Un rôle est un ensemble prédéfini de privilèges. Lorsque vous ajoutez des autorisations à un objet, vous couplez un utilisateur ou un groupe avec un rôle. vCenter Server inclut certains rôles système par défaut, que vous ne pouvez pas modifier.

vCenter Server fournit des rôles par défaut. Vous ne pouvez pas changer les privilèges associés aux rôles par défaut. Les rôles par défaut sont organisés de façon hiérarchique. Chaque rôle hérite des privilèges du rôle précédent. Par exemple, le rôle Administrateur hérite des privilèges du rôle Lecture seule.

Pour afficher les privilèges associés à un rôle par défaut, accédez au rôle dans l'instance de vSphere Client (Menu > Administration > Rôles) et cliquez sur l'onglet Privilèges.

La hiérarchie de rôle vCenter Server inclut également plusieurs exemples de rôles. Vous pouvez cloner un exemple de rôle pour créer un rôle similaire.

Si vous créez un rôle, il n'hérite des privilèges d'aucun rôle système.

Rôle d'administrateur
Les utilisateurs qui ont le rôle Administrateur pour un objet sont autorisés à afficher et à exécuter toutes les actions sur cet objet. Ce rôle comprend également tous les privilèges du rôle Lecture seule. Si vous disposez du rôle Administrateur sur un objet, vous pouvez attribuer des privilèges à des utilisateurs individuels ou à des groupes.
Si vous disposez du rôle d'administrateur dans vCenter Server, vous pouvez attribuer des privilèges à des utilisateurs et des groupes dans la source d'identité vCenter Single Sign-On par défaut. Reportez-vous à la documentation Authentification vSphere pour les services d'identité pris en charge.
Par défaut, l'utilisateur administrator@vsphere.local a le rôle d'administrateur sur vCenter Single Sign-On et vCenter Server après l'installation. Cet utilisateur peut ensuite associer d'autres utilisateurs disposant du rôle d'administrateur dans vCenter Server.
Rôle Lecture seule
Les utilisateurs qui ont le rôle Lecture seule pour un objet sont autorisés à afficher l'état et les détails de l'objet. Par exemple, les utilisateurs ayant ce rôle peuvent afficher la machine virtuelle, l'hôte et les attributs du pool de ressources, mais ne peuvent pas afficher la console distante d'un hôte. Toutes les actions via les menus et barres d'outils ne sont pas autorisées.
Rôle Aucun accès
Les utilisateurs qui ont le rôle Aucun accès pour un objet ne peuvent en aucun cas afficher ou modifier l'objet. Les nouveaux utilisateurs et groupes sont assignés à ce rôle par défaut. Vous pouvez modifier le rôle par objet.
Le rôle Administrateur est attribué par défaut à l'administrateur du domaine vCenter Single Sign-On (par défaut administrator@vsphere.local) ainsi qu'aux utilisateurs racine et vpxuser. Le rôle Aucun accès est attribué par défaut aux autres utilisateurs.

La meilleure pratique consiste à créer un utilisateur au niveau racine et à lui attribuer le rôle Administrateur. Après avoir créé un utilisateur nommé ayant les privilèges Administrateur, vous ne pouvez pas supprimer l'utilisateur racine des autorisations ni remplacer son rôle par le rôle Aucun accès.