vCenter Single Sign-On ドメイン(デフォルトでは vsphere.local)には、複数の事前定義されたグループが含まれます。それらのグループのいずれかにユーザーを追加して、対応するアクションを実行できるようにします。
vCenter Single Sign-On ユーザーおよびグループの管理を参照してください。
vCenter Server 階層のすべてのオブジェクトには、ユーザーおよびロールとオブジェクトをペアにすることにより、権限を割り当てることができます。たとえば、リソース プールを選択し、対応するロールを割り当てることによってユーザーのグループにそのリソース プール オブジェクトに対する読み取り権限を付与できます。
vCenter Server が直接管理しない一部のサービスについては、vCenter Single Sign-On グループのいずれかのメンバーシップによって権限が決定します。たとえば、管理者グループのメンバー ユーザーは、vCenter Single Sign-On を管理できます。CAAdmins グループのメンバー ユーザーは VMware 認証局を管理することができ、License Service.Administrators グループのユーザーはライセンスを管理できます。
vsphere.local には次のグループが事前定義されています。これらのグループの多くは、vsphere.local の内部グループですが、ユーザーに高いレベルの管理権限を付与できます。リスクについて慎重に考慮した後にのみ、これらのグループのいずれかにユーザーを追加してください。
注意: vsphere.local ドメイン内の事前定義されたグループはいずれも削除しないでください。いずれかを削除すると、認証または証明書のプロビジョニングに関連するエラーが発生することがあります。
| 権限 | 説明 |
|---|---|
| ユーザー | vCenter Single Sign-On ドメイン内のユーザー(デフォルトでは vsphere.local)。 |
| SolutionUsers | vCenter サービスのソリューション ユーザー グループ。各ソリューション ユーザーは、証明書により vCenter Single Sign-On に対して個別に認証します。デフォルトでは、VMCA が証明書を使用してソリューション ユーザーをプロビジョニングします。このグループには、メンバーを明示的に追加しないでください。 |
| CAAdmins | CAAdmins グループのメンバーには、VMCA の管理権限があります。明確な理由がある場合を除き、このグループにメンバーを追加しないでください。 |
| DCAdmins | DCAdmins グループのメンバーは、VMware ディレクトリ サービスでドメイン コントローラ管理者のアクションを実行できます。
注: ドメイン コントローラは、直接管理しないでください。代わりに、
vmdir CLI または
vSphere Client を使用して対応するタスクを実行してください。
|
| SystemConfiguration.BashShellAdministrators | このグループのユーザーは、BASH シェルへのアクセスを有効および無効にすることができます。SSH を使用して vCenter Server に接続するユーザーは、デフォルトで、制約されたシェルのコマンドにのみアクセスできます。このグループのユーザーは、BASH シェルにアクセスできます。 |
| ActAsUsers | Act-As ユーザーのメンバーは、vCenter Single Sign-On から Act-As トークンを取得できます。 |
| ExternalIDPUsers | この内部グループは、vSphere では使用されません。VMware vCloud Air には、このグループが必要です。 |
| SystemConfiguration.Administrators | SystemConfiguration.Administrators グループのメンバーは、vSphere Client でシステム構成を表示および管理できます。これらのユーザーは、サービスを表示、起動、および再起動し、サービスのトラブルシューティングを行い、使用可能なノードを表示し、それらのノードを管理することができます。 |
| DCClients | このグループは、管理ノードに VMware ディレクトリ サービス内のデータへのアクセスを許可するために内部で使用されます。
注: このグループは変更しないでください。変更を加えると、証明書インフラストラクチャが侵害される可能性があります。
|
| ComponentManager.Administrators | ComponentManager.Administrators グループのメンバーは、サービスを登録または登録解除するコンポーネント マネージャ API を呼び出す(つまり、サービスを変更する)ことができます。このグループのメンバーシップは、サービスでの読み取りアクセスでは不要です。 |
| LicenseService.Administrators | LicenseService.Administrators のメンバーには、すべてのライセンス関連データに対する完全な書き込みアクセス権限が付与されており、ライセンス サービスで登録されているすべての製品資産のシリアル キーを追加、削除、割り当て、および割り当て解除することができます。 |
| 管理者 | VMware ディレクトリ サービス (vmdir) の管理者。このグループのメンバーは、vCenter Single Sign-On の管理タスクを実行できます。正当な理由があり、問題が発生した場合の影響を理解している場合を除き、このグループにメンバーを追加しないでください。 |
| TrustedAdmins | このグループのメンバーは、VMware® vSphere Trust Authority™ の設定および管理タスクを実行できます。デフォルトでは、このグループにはメンバーが含まれていません。このグループにメンバーを追加して、vSphere Trust Authority のタスクを実行できるようにする必要があります。 |
| Autoupdate | このグループは、vCenter Cloud Gateway の内部で使用されます。 |
| SyncUsers | このグループは、vCenter Cloud Gateway の内部で使用されます。 |
| vSphereClientSolutionUsers | このグループは、vSphere Client の内部で使用されます。 |
| ServiceProviderUsers | このグループのメンバーは、vSphere with Tanzu および VMware Cloud on AWS のインフラストラクチャを管理できます。 |
| NsxAdministrators | このグループは NSX で使用されます。 |
| WorkloadStorage | ワークロード ストレージ グループ。 |
| RegistryAdministrators | このグループのメンバーはレジストリを管理できます。 |
| NsxAuditors | このグループは NSX で使用されます。 |
| NsxViAdministrators | このグループは NSX で使用されます。 |
| SystemConfiguration.SupportUsers | SystemConfiguration.SupportUsers グループのメンバーは、サポート バンドル API にアクセスできます。 |
| SystemConfiguration.ReadOnly | このグループのメンバーは、vCenter Server Appliance の読み取り専用操作にアクセスできます。 |
