vCenter Single Sign-On ドメイン内のグループ

vCenter Single Sign-On ドメイン（デフォルトでは vsphere.local）には、複数の事前定義されたグループが含まれます。それらのグループのいずれかにユーザーを追加して、対応するアクションを実行できるようにします。

vCenter Single Sign-On ユーザーおよびグループの管理を参照してください。

vCenter Server 階層のすべてのオブジェクトには、ユーザーおよびロールとオブジェクトをペアにすることにより、権限を割り当てることができます。たとえば、リソースプールを選択し、対応するロールを割り当てることによってユーザーのグループにそのリソースプールオブジェクトに対する読み取り権限を付与できます。

vCenter Server が直接管理しない一部のサービスについては、vCenter Single Sign-On グループのいずれかのメンバーシップによって権限が決定します。たとえば、管理者グループのメンバーユーザーは、vCenter Single Sign-On を管理できます。CAAdmins グループのメンバーユーザーは VMware 認証局を管理することができ、License Service.Administrators グループのユーザーはライセンスを管理できます。

vsphere.local には次のグループが事前定義されています。

注：これらのグループの多くは、vsphere.local の内部グループですが、ユーザーに高いレベルの管理権限を付与できます。リスクについて慎重に考慮した後にのみ、これらのグループのいずれかにユーザーを追加してください。

注： vsphere.local ドメイン内の事前定義されたグループはいずれも削除しないでください。いずれかを削除すると、認証または証明書のプロビジョニングに関連するエラーが発生することがあります。

表 1. vsphere.local ドメイン内のグループ
権限	説明
ユーザー	vCenter Single Sign-On ドメイン内のユーザー（デフォルトでは vsphere.local）。
SolutionUsers	ソリューションユーザーグループの vCenter サービス。各ソリューションユーザーは、証明書により vCenter Single Sign-On に対して個別に認証します。デフォルトでは、VMCA が証明書を使用してソリューションユーザーをプロビジョニングします。このグループには、メンバーを明示的に追加しないでください。
CAAdmins	CAAdmins グループのメンバーには、VMCA の管理権限があります。明確な理由がある場合を除き、このグループにメンバーを追加しないでください。
DCAdmins	DCAdmins グループのメンバーは、VMware ディレクトリサービスでドメインコントローラ管理者のアクションを実行できます。注：ドメインコントローラは、直接管理しないでください。代わりに、 vmdir CLI または vSphere Client を使用して対応するタスクを実行してください。
SystemConfiguration.BashShellAdministrators	このグループは、vCenter Server Appliance のデプロイの場合にのみ使用できます。このグループのユーザーは、BASH シェルへのアクセスを有効および無効にすることができます。SSH を使用して vCenter Server Appliance に接続するユーザーは、デフォルトで、制約されたシェルのコマンドにのみアクセスできます。このグループのユーザーは、BASH シェルにアクセスできます。
ActAsUsers	Act-As ユーザーのメンバーは、vCenter Single Sign-On から Act-As トークンを取得できます。
ExternalIPDUsers	この内部グループは、vSphere では使用されません。VMware vCloud Air には、このグループが必要です。
SystemConfiguration.Administrators	SystemConfiguration.Administrators グループのメンバーは、vSphere Client でシステム構成を表示および管理できます。これらのユーザーは、サービスを表示、起動、および再起動し、サービスのトラブルシューティングを行い、使用可能なノードを表示し、それらのノードを管理することができます。
DCClients	このグループは、管理ノードに VMware ディレクトリサービス内のデータへのアクセスを許可するために内部で使用されます。注：このグループは変更しないでください。変更を加えると、証明書インフラストラクチャが侵害される可能性があります。
ComponentManager.Administrators	ComponentManager.Administrators グループのメンバーは、サービスを登録または登録解除するコンポーネントマネージャ API を呼び出す（つまり、サービスを変更する）ことができます。このグループのメンバーシップは、サービスでの読み取りアクセスでは不要です。
LicenseService.Administrators	LicenseService.Administrators のメンバーには、すべてのライセンス関連データに対する完全な書き込みアクセス権限が付与されており、ライセンスサービスで登録されているすべての製品資産のシリアルキーを追加、削除、割り当て、および割り当て解除することができます。
管理者	VMware ディレクトリサービス (vmdir) の管理者。このグループのメンバーは、vCenter Single Sign-On の管理タスクを実行できます。正当な理由があり、問題が発生した場合の影響を理解している場合を除き、このグループにメンバーを追加しないでください。