Le domaine vCenter Single Sign-On (par défaut, vsphere.local) inclut plusieurs groupes prédéfinis. Ajoutez des utilisateurs à l'un de ces groupes pour leur permettre d'effectuer les actions correspondantes.
Reportez-vous à la section Gestion des utilisateurs et des groupes vCenter Single Sign-On.
Pour tous les objets de la hiérarchie de vCenter Server, vous pouvez attribuer des autorisations en couplant un utilisateur et un rôle avec l'objet. Par exemple, vous pouvez sélectionner un pool de ressources et attribuer les privilèges de lecture de cet objet de pool de ressources à un groupe d'utilisateurs en leur attribuant le rôle correspondant.
Pour certains services qui ne sont pas gérés directement par vCenter Server, l'appartenance à un des groupes vCenter Single Sign-On détermine les privilèges. Par exemple, tout utilisateur qui est membre du groupe Administrateurs peut gérer vCenter Single Sign-On. Tout utilisateur membre du groupe CAAdmins peut gérer VMware Certificate Authority et tout utilisateur appartenant au groupe LicenseService.Administrators peut gérer les licences.
Les groupes suivants sont prédéfinis dans vsphere.local. Un grand nombre de ces groupes sont internes à vsphere.local ou donnent aux utilisateurs des privilèges d'administration de haut niveau. Avant d'ajouter des utilisateurs à l'un de ces groupes, réfléchissez bien aux risques encourus.
Privilège | Description |
---|---|
Utilisateurs | Les utilisateurs du domaine vCenter Single Sign-On (par défaut, vsphere.local). |
SolutionUsers | Groupe d'utilisateurs de solution pour les services vCenter. Chaque utilisateur de solution s'authentifie individuellement auprès de vCenter Single Sign-On avec un certificat. Par défaut, VMCA provisionne les utilisateurs de solution à l'aide de certificats. N'ajoutez aucun membre à ce groupe explicitement. |
CAAdmins | Les membres du groupe CAAdmins possèdent des privilèges d'administration pour VMCA. N'ajoutez pas de membres à ce groupe, sauf en cas de force majeure. |
DCAdmins | Les membres du groupe DCAdmins peuvent exercer des actions d'administrateur de contrôleur de domaine sur VMware Directory Service.
Note : Ne gérez pas le contrôleur de domaine directement. Utilisez plutôt la CLI
vmdir ou
vSphere Client pour effectuer les tâches correspondantes.
|
SystemConfiguration.BashShellAdministrators | Un utilisateur de ce groupe dispose d'un accès complet à toutes les API de gestion du dispositif. Par défaut, un utilisateur qui se connecte à vCenter Server avec SSH peut accéder uniquement aux commandes de l'interpréteur de commandes restreint, mais les utilisateurs de ce groupe disposent d'un accès à l'interpréteur de commandes de dépistage sur SSH et obtiennent des privilèges complets semblables à ceux de l'utilisateur racine. |
ActAsUsers | Les membres de ce groupe sont autorisés à recevoir des jetons Act-As de vCenter Single Sign-On. |
ExternalIDPUsers | vSphere n'utilise pas ce groupe interne. VMware vCloud Air requiert ce groupe. |
SystemConfiguration.Administrators | Les membres du groupe SystemConfiguration.Administrators peuvent afficher et gérer la configuration du système dans l'interface de gestion de vCenter Server s'exécutant sur le port 5480. Ces utilisateurs peuvent afficher les services, démarrer et redémarrer des services et dépanner des services. Ces utilisateurs peuvent également accéder aux API de gestion des dispositifs, à l'exception de celles qui modifient les configurations système critiques. |
DCClients | Ce groupe est utilisé en interne pour permettre aux nœuds de gestion d'accéder aux données qui se trouvent dans VMware Directory Service.
Note : Ne modifiez pas ce groupe. Toute modification pourrait compromettre votre infrastructure de certificats.
|
ComponentManager.Administrators | Les membres du groupe ComponentManager.Administrators peuvent appeler des API du gestionnaire de composants qui enregistrent des services ou annulent leur enregistrement, c'est-à-dire qui modifient les services. L'appartenance à ce groupe n'est pas requise pour pouvoir accéder en lecture à ces services. |
LicenseService.Administrators | Les membres du groupe LicenseService.Administrators peuvent accéder en écriture à toutes les données liées à la gestion des licences et peuvent ajouter, supprimer, attribuer des touches série et en annuler l'attribution pour toutes les ressources de produits enregistrées dans le service de licence. |
Administrateurs | Administrateurs de VMware Directory Service (vmdir). Les membres de ce groupe peuvent effectuer des tâches d'administration vCenter Single Sign-On. N'ajoutez pas de membres à ce groupe, sauf en cas de force majeure et si vous en comprenez les conséquences. |
TrustedAdmins | Les membres de ce groupe peuvent effectuer des tâches de configuration et d'administration de l'autorité d'approbation vSphere™ VMware®. Par défaut, ce groupe ne contient aucun membre. Vous devez ajouter un membre à ce groupe afin de pouvoir effectuer des tâches de l'autorité d'approbation vSphere. |
AutoUpdate | Ce groupe est utilisé en interne pour vCenter Cloud Gateway. |
SyncUsers | Ce groupe est utilisé en interne pour vCenter Cloud Gateway. |
vSphereClientSolutionUsers | Ce groupe est utilisé en interne pour vSphere Client. |
ServiceProviderUsers | Les membres de ce groupe peuvent gérer l'infrastructure vSphere with Tanzu et VMware Cloud on AWS. |
NsxAdministrators | Ce groupe est utilisé pour VMware NSX. |
WorkloadStorage | Groupe de stockage de charge de travail. |
RegistryAdministrators | Les membres de ce groupe peuvent gérer le registre. |
NsxAuditors | Ce groupe est utilisé pour VMware NSX. |
NsxViAdministrators | Ce groupe est utilisé pour VMware NSX. |
SystemConfiguration.SupportUsers | Les membres du groupe SystemConfiguration.SupportUsers peuvent accéder à l'API du bundle de support. |
SystemConfiguration.ReadOnly | Les membres de ce groupe peuvent accéder aux opérations en lecture seule de vCenter Server Appliance sous Gestion des dispositifs. |
VCLSAdmin | Les membres de ce groupe disposent de privilèges administratifs pour les services de cluster vSphere (vCLS). |
AnalyticsService.Administrators | Ce groupe est utilisé pour les API de VMware Analytics Service. |
vStatsGroup | Ce groupe est utilisé pour la collecte vStats. |