vsphere.local ドメインには、いくつかの事前定義されたグループがあります。それらのグループのいずれかにユーザーを割り当て、対応するアクションを実行できるようにします。

vCenter Server 階層のすべてのオブジェクトには、ユーザーおよびロールとオブジェクトをペアにすることにより、アクセス許可が割り当てられています。たとえば、リソース プールを選択し、対応するロールを割り当てることによってユーザーのグループにそのリソース プールに対する読み取り権限を付与できます。

vCenter Server によって直接管理されることのない一部のサービスの場合、権限は、vCenter Single Sign-On グループの 1 つに対するメンバーシップによって決まります。たとえば、管理者グループのメンバー ユーザーは、vCenter Single Sign-On を管理できます。CAAdmins グループのメンバー ユーザーは VMware Certificate Authority を管理することができ、License Service.Administrators グループのユーザーはライセンスを管理できます。

vsphere.local には次のグループが事前定義されています。

注:

これらのグループの多くは、vsphere.local に対して内部になっているか、ユーザーに高レベルの管理権限を付与します。リスクについて慎重に考慮した後にのみ、これらのグループのいずれかにユーザーを追加してください。

注:

vsphere.local ドメイン内の事前定義されたグループはいずれも削除しないでください。いずれかを削除すると、認証または証明書のプロビジョニングに関連するエラーが発生することがあります。

表 1. vsphere.local ドメイン内のグループ

権限

説明

ユーザー

vsphere.local ドメインのユーザー。

SolutionUsers

ソリューション ユーザー グループの vCenter サービス。各ソリューション ユーザーは、証明書により vCenter Single Sign-On に対して個別に認証します。デフォルトでは、VMCA が証明書を使用してソリューション ユーザーをプロビジョニングします。このグループには、メンバーを明示的に追加しないでください。

CAAdmins

CAAdmins グループのメンバーには、VMCA の管理権限があります。通常、これらのグループにメンバーを追加することは推奨されません。

DCAdmins

DCAdmins グループのメンバーは、VMware ディレクトリ サービスでドメイン コントローラ管理者のアクションを実行できます。

注:

ドメイン コントローラは、直接管理しないでください。代わりに、vmdir CLI または vSphere Web Client を使用して対応するタスクを実行してください。

SystemConfiguration.BashShellAdministrators

このグループは、vCenter Server Appliance のデプロイの場合にのみ使用できます。

このグループのユーザーは、BASH シェルへのアクセスを有効化および無効化することができます。SSH を使用して vCenter Server Appliance に接続するユーザーは、デフォルトで、制約されたシェルのコマンドにのみアクセスできます。このグループのユーザーは、BASH シェルにアクセスできます。

ActAsUsers

Act-As ユーザーのメンバーは、vCenter Single Sign-On から ActAs トークンを取得できます。

ExternalIPDUsers

このグループは、vSphere では使用されません。このグループは、VMware vCloud Air に関連して必要になります。

SystemConfiguration.Administrators

SystemConfiguration.Administrators グループのメンバーは、vSphere Web Client でシステム構成を表示および管理できます。これらのユーザーは、サービスを表示、起動、および再起動し、サービスのトラブルシューティングを行い、使用可能なノードを表示し、それらのノードを管理することができます。

DCClients

このグループは、管理ノードに VMware ディレクトリ サービス内のデータへのアクセスを許可するために内部で使用されます。

注:

このグループは変更しないでください。変更を加えると、証明書インフラストラクチャが侵害される可能性があります。

ComponentManager.Administrators

ComponentManager.Administrators グループのメンバーは、サービスを登録または登録解除するコンポーネント マネージャ API を呼び出す(つまり、サービスを変更する)ことができます。このグループのメンバーシップは、サービスでの読み取りアクセスでは不要です。

LicenseService.Administrators

LicenseService.Administrators のメンバーには、すべてのライセンス関連データに対する完全な書き込みアクセス権限が付与されており、ライセンス サービスで登録されているすべての製品資産のシリアル キーを追加、削除、割り当て、および割り当て解除することができます。

管理者

VMware ディレクトリ サービス (vmdir) の管理者。このグループのメンバーは、vCenter Single Sign-On の管理タスクを実行できます。通常、このグループにメンバーを追加することは推奨されません。