vCenter Single Sign-On ドメイン(デフォルトでは vsphere.local)には、複数の事前定義されたグループが含まれます。それらのグループのいずれかにユーザーを追加して、対応するアクションの実行を許可します。
vCenter Single Sign-On ユーザーおよびグループの管理を参照してください。
vCenter Server 階層のすべてのオブジェクトには、ユーザーおよびロールとオブジェクトをペアにすることにより、権限を割り当てることができます。たとえば、リソース プールを選択し、対応するロールを割り当てることによってユーザーのグループにそのリソース プール オブジェクトに対する読み取り権限を付与できます。
vCenter Server が直接管理しない一部のサービスについては、vCenter Single Sign-On グループのいずれかのメンバーシップによって権限が決定します。たとえば、管理者グループのメンバー ユーザーは、vCenter Single Sign-On を管理できます。CAAdmins グループのメンバー ユーザーは VMware 認証局を管理することができ、License Service.Administrators グループのユーザーはライセンスを管理できます。
vsphere.local には次のグループが事前定義されています。これらのグループの多くは、vsphere.local の内部グループですが、ユーザーに高いレベルの管理権限を付与できます。リスクについて慎重に考慮した後にのみ、これらのグループのいずれかにユーザーを追加してください。
注意: vsphere.local ドメイン内の事前定義されたグループはいずれも削除しないでください。いずれかを削除すると、認証または証明書のプロビジョニングに関連するエラーが発生することがあります。
| 権限 | 説明 |
|---|---|
| ユーザー | vCenter Single Sign-On ドメイン内のユーザー(デフォルトでは vsphere.local)。 |
| SolutionUsers | vCenter サービスのソリューション ユーザー グループ。各ソリューション ユーザーは、証明書により vCenter Single Sign-On に対して個別に認証します。デフォルトでは、VMCA が証明書を使用してソリューション ユーザーをプロビジョニングします。このグループには、メンバーを明示的に追加しないでください。 |
| CAAdmins | CAAdmins グループのメンバーには、VMCA の管理権限があります。明確な理由がある場合を除き、このグループにメンバーを追加しないでください。 |
| DCAdmins | DCAdmins グループのメンバーは、VMware ディレクトリ サービスでドメイン コントローラ管理者のアクションを実行できます。
注: ドメイン コントローラは、直接管理しないでください。代わりに、
vmdir CLI または
vSphere Client を使用して対応するタスクを実行してください。
|
| SystemConfiguration.BashShellAdministrators | このグループのユーザーには、すべてのアプライアンス管理 API に対するフル アクセス権があります。デフォルトでは、SSH を使用して vCenter Server に接続するユーザーは制約されたシェルのコマンドにのみアクセスできますが、このグループ内のユーザーには SSH 経由の Bash シェル アクセス権があり、root ユーザーと同様の完全な権限が付与されます。 |
| ActAsUsers | Act-As ユーザーのメンバーは、vCenter Single Sign-On から Act-As トークンを取得できます。 |
| ExternalIDPUsers | この内部グループは、vSphere では使用されません。VMware vCloud Air には、このグループが必要です。 |
| SystemConfiguration.Administrators | SystemConfiguration.Administrators グループのメンバーは、ポート 5480 で動作している vCenter Server 管理インターフェイスでシステム構成を表示および管理できます。これらのユーザーは、サービスの表示、サービスの起動と再起動、サービスのトラブルシューティングを行うことができます。これらのユーザーは、重要なシステム構成を変更する API 以外のアプライアンス管理 API にアクセスすることもできます。 |
| DCClients | このグループは、管理ノードに VMware ディレクトリ サービス内のデータへのアクセスを許可するために内部で使用されます。
注: このグループは変更しないでください。変更を加えると、証明書インフラストラクチャが侵害される可能性があります。
|
| ComponentManager.Administrators | ComponentManager.Administrators グループのメンバーは、サービスを登録または登録解除するコンポーネント マネージャ API を呼び出す(つまり、サービスを変更する)ことができます。このグループのメンバーシップは、サービスでの読み取りアクセスでは不要です。 |
| LicenseService.Administrators | LicenseService.Administrators のメンバーには、すべてのライセンス関連データに対する完全な書き込みアクセス権限が付与されており、ライセンス サービスで登録されているすべての製品資産のシリアル キーを追加、削除、割り当て、および割り当て解除することができます。 |
| 管理者 | VMware ディレクトリ サービス (vmdir) の管理者。このグループのメンバーは、vCenter Single Sign-On の管理タスクを実行できます。正当な理由があり、問題が発生した場合の影響を理解している場合を除き、このグループにメンバーを追加しないでください。 |
| TrustedAdmins | このグループのメンバーは、VMware® vSphere Trust Authority™ の設定および管理タスクを実行できます。デフォルトでは、このグループにはメンバーが含まれていません。このグループにメンバーを追加して、vSphere Trust Authority のタスクを実行できるようにする必要があります。 |
| Autoupdate | このグループは、vCenter Cloud Gateway の内部で使用されます。 |
| SyncUsers | このグループは、vCenter Cloud Gateway の内部で使用されます。 |
| vSphereClientSolutionUsers | このグループは、vSphere Client の内部で使用されます。 |
| ServiceProviderUsers | このグループのメンバーは、vSphere with Tanzu および VMware Cloud on AWS インフラストラクチャを管理できます。 |
| NsxAdministrators | このグループは VMware NSX で使用されます。 |
| WorkloadStorage | ワークロード ストレージ グループ。 |
| RegistryAdministrators | このグループのメンバーはレジストリを管理できます。 |
| NsxAuditors | このグループは VMware NSX で使用されます。 |
| NsxViAdministrators | このグループは VMware NSX で使用されます。 |
| SystemConfiguration.SupportUsers | SystemConfiguration.SupportUsers グループのメンバーは、サポート バンドル API にアクセスできます。 |
| SystemConfiguration.ReadOnly | このグループのメンバーは、アプライアンス管理中に vCenter Server Appliance の読み取り専用操作にアクセスできます。 |
| VCLSAdmin | このグループのメンバーには、vSphere クラスタ サービス (vCLS) に対する管理権限があります。 |
| AnalyticsService.Administrators | このグループは、VMware 分析サービス API に使用されます。 |
| vStatsGroup | このグループは vStats の収集に使用されます。 |
