vCenter Single Sign-On ドメイン(デフォルトでは vsphere.local)には、複数の事前定義されたグループが含まれます。それらのグループのいずれかにユーザーを追加して、対応するアクションを実行できるようにします。
vCenter Single Sign-On ユーザーおよびグループの管理を参照してください。
vCenter Server 階層のすべてのオブジェクトには、ユーザーおよびロールとオブジェクトをペアにすることにより、権限を割り当てることができます。たとえば、リソース プールを選択し、対応するロールを割り当てることによってユーザーのグループにそのリソース プール オブジェクトに対する読み取り権限を付与できます。
vCenter Server が直接管理しない一部のサービスについては、vCenter Single Sign-On グループのいずれかのメンバーシップによって権限が決定します。たとえば、管理者グループのメンバー ユーザーは、vCenter Single Sign-On を管理できます。CAAdmins グループのメンバー ユーザーは VMware 認証局を管理することができ、License Service.Administrators グループのユーザーはライセンスを管理できます。
vsphere.local には次のグループが事前定義されています。
権限 | 説明 |
---|---|
ユーザー | vCenter Single Sign-On ドメイン内のユーザー(デフォルトでは vsphere.local)。 |
SolutionUsers | ソリューション ユーザー グループの vCenter サービス。各ソリューション ユーザーは、証明書により vCenter Single Sign-On に対して個別に認証します。デフォルトでは、VMCA が証明書を使用してソリューション ユーザーをプロビジョニングします。このグループには、メンバーを明示的に追加しないでください。 |
CAAdmins | CAAdmins グループのメンバーには、VMCA の管理権限があります。明確な理由がある場合を除き、このグループにメンバーを追加しないでください。 |
DCAdmins | DCAdmins グループのメンバーは、VMware ディレクトリ サービスでドメイン コントローラ管理者のアクションを実行できます。
注: ドメイン コントローラは、直接管理しないでください。代わりに、
vmdir CLI または
vSphere Web Client を使用して対応するタスクを実行してください。
|
SystemConfiguration.BashShellAdministrators | このグループは、vCenter Server Appliance のデプロイの場合にのみ使用できます。 このグループのユーザーは、BASH シェルへのアクセスを有効および無効にすることができます。SSH を使用して vCenter Server Appliance に接続するユーザーは、デフォルトで、制約されたシェルのコマンドにのみアクセスできます。このグループのユーザーは、BASH シェルにアクセスできます。 |
ActAsUsers | Act-As ユーザーのメンバーは、vCenter Single Sign-On から Act-As トークンを取得できます。 |
ExternalIPDUsers | この内部グループは、vSphere では使用されません。VMware vCloud Air には、このグループが必要です。 |
SystemConfiguration.Administrators | SystemConfiguration.Administrators グループのメンバーは、vSphere Web Client でシステム構成を表示および管理できます。これらのユーザーは、サービスを表示、起動、および再起動し、サービスのトラブルシューティングを行い、使用可能なノードを表示し、それらのノードを管理することができます。 |
DCClients | このグループは、管理ノードに VMware ディレクトリ サービス内のデータへのアクセスを許可するために内部で使用されます。
注: このグループは変更しないでください。変更を加えると、証明書インフラストラクチャが侵害される可能性があります。
|
ComponentManager.Administrators | ComponentManager.Administrators グループのメンバーは、サービスを登録または登録解除するコンポーネント マネージャ API を呼び出す(つまり、サービスを変更する)ことができます。このグループのメンバーシップは、サービスでの読み取りアクセスでは不要です。 |
LicenseService.Administrators | LicenseService.Administrators のメンバーには、すべてのライセンス関連データに対する完全な書き込みアクセス権限が付与されており、ライセンス サービスで登録されているすべての製品資産のシリアル キーを追加、削除、割り当て、および割り当て解除することができます。 |
管理者 | VMware ディレクトリ サービス (vmdir) の管理者。このグループのメンバーは、vCenter Single Sign-On の管理タスクを実行できます。正当な理由があり、問題が発生した場合の影響を理解している場合を除き、このグループにメンバーを追加しないでください。 |