vCenter Single Sign-On ドメイン(デフォルトでは vsphere.local)には、複数の事前定義されたグループが含まれます。それらのグループのいずれかにユーザーを追加して、対応するアクションの実行を許可します。

vCenter Single Sign-On ユーザーおよびグループの管理を参照してください。

vCenter Server 階層のすべてのオブジェクトには、ユーザーおよびロールとオブジェクトをペアにすることにより、権限を割り当てることができます。たとえば、リソース プールを選択し、対応するロールを割り当てることによってユーザーのグループにそのリソース プール オブジェクトに対する読み取り権限を付与できます。

vCenter Server が直接管理しない一部のサービスについては、vCenter Single Sign-On グループのいずれかのメンバーシップによって権限が決定します。たとえば、管理者グループのメンバー ユーザーは、vCenter Single Sign-On を管理できます。CAAdmins グループのメンバー ユーザーは VMware 認証局を管理することができ、License Service.Administrators グループのユーザーはライセンスを管理できます。

vsphere.local には次のグループが事前定義されています。これらのグループの多くは、vsphere.local の内部グループですが、ユーザーに高いレベルの管理権限を付与できます。リスクについて慎重に考慮した後にのみ、これらのグループのいずれかにユーザーを追加してください。

注意: vsphere.local ドメイン内の事前定義されたグループはいずれも削除しないでください。いずれかを削除すると、認証または証明書のプロビジョニングに関連するエラーが発生することがあります。
表 1. vsphere.local ドメイン内のグループ
権限 説明
ユーザー vCenter Single Sign-On ドメイン内のユーザー(デフォルトでは vsphere.local)。
SolutionUsers vCenter サービスのソリューション ユーザー グループ。各ソリューション ユーザーは、証明書により vCenter Single Sign-On に対して個別に認証します。デフォルトでは、VMCA が証明書を使用してソリューション ユーザーをプロビジョニングします。このグループには、メンバーを明示的に追加しないでください。
CAAdmins CAAdmins グループのメンバーには、VMCA の管理権限があります。明確な理由がある場合を除き、このグループにメンバーを追加しないでください。
DCAdmins DCAdmins グループのメンバーは、VMware ディレクトリ サービスでドメイン コントローラ管理者のアクションを実行できます。
注: ドメイン コントローラは、直接管理しないでください。代わりに、 vmdir CLI または vSphere Client を使用して対応するタスクを実行してください。
SystemConfiguration.BashShellAdministrators このグループのユーザーには、すべてのアプライアンス管理 API に対するフル アクセス権があります。デフォルトでは、SSH を使用して vCenter Server に接続するユーザーは制約されたシェルのコマンドにのみアクセスできますが、このグループ内のユーザーには SSH 経由の Bash シェル アクセス権があり、root ユーザーと同様の完全な権限が付与されます。
ActAsUsers Act-As ユーザーのメンバーは、vCenter Single Sign-On から Act-As トークンを取得できます。
ExternalIDPUsers この内部グループは、vSphere では使用されません。VMware vCloud Air には、このグループが必要です。
SystemConfiguration.Administrators SystemConfiguration.Administrators グループのメンバーは、ポート 5480 で動作している vCenter Server 管理インターフェイスでシステム構成を表示および管理できます。これらのユーザーは、サービスの表示、サービスの起動と再起動、サービスのトラブルシューティングを行うことができます。これらのユーザーは、重要なシステム構成を変更する API 以外のアプライアンス管理 API にアクセスすることもできます。
DCClients このグループは、管理ノードに VMware ディレクトリ サービス内のデータへのアクセスを許可するために内部で使用されます。
注: このグループは変更しないでください。変更を加えると、証明書インフラストラクチャが侵害される可能性があります。
ComponentManager.Administrators ComponentManager.Administrators グループのメンバーは、サービスを登録または登録解除するコンポーネント マネージャ API を呼び出す(つまり、サービスを変更する)ことができます。このグループのメンバーシップは、サービスでの読み取りアクセスでは不要です。
LicenseService.Administrators LicenseService.Administrators のメンバーには、すべてのライセンス関連データに対する完全な書き込みアクセス権限が付与されており、ライセンス サービスで登録されているすべての製品資産のシリアル キーを追加、削除、割り当て、および割り当て解除することができます。
管理者 VMware ディレクトリ サービス (vmdir) の管理者。このグループのメンバーは、vCenter Single Sign-On の管理タスクを実行できます。正当な理由があり、問題が発生した場合の影響を理解している場合を除き、このグループにメンバーを追加しないでください。
TrustedAdmins このグループのメンバーは、VMware® vSphere Trust Authority™ の設定および管理タスクを実行できます。デフォルトでは、このグループにはメンバーが含まれていません。このグループにメンバーを追加して、vSphere Trust Authority のタスクを実行できるようにする必要があります。
Autoupdate このグループは、vCenter Cloud Gateway の内部で使用されます。
SyncUsers このグループは、vCenter Cloud Gateway の内部で使用されます。
vSphereClientSolutionUsers このグループは、vSphere Client の内部で使用されます。
ServiceProviderUsers このグループのメンバーは、vSphere with Tanzu および VMware Cloud on AWS インフラストラクチャを管理できます。
NsxAdministrators このグループは VMware NSX で使用されます。
WorkloadStorage ワークロード ストレージ グループ。
RegistryAdministrators このグループのメンバーはレジストリを管理できます。
NsxAuditors このグループは VMware NSX で使用されます。
NsxViAdministrators このグループは VMware NSX で使用されます。
SystemConfiguration.SupportUsers SystemConfiguration.SupportUsers グループのメンバーは、サポート バンドル API にアクセスできます。
SystemConfiguration.ReadOnly このグループのメンバーは、アプライアンス管理中に vCenter Server Appliance の読み取り専用操作にアクセスできます。
VCLSAdmin このグループのメンバーには、vSphere クラスタ サービス (vCLS) に対する管理権限があります。
AnalyticsService.Administrators このグループは、VMware 分析サービス API に使用されます。
vStatsGroup このグループは vStats の収集に使用されます。