vsphere.local 網域包含多個預先定義的群組。將使用者指派至其中一個群組,讓其可執行對應的動作。

對於 vCenter Server 階層中的所有物件,權限是透過將使用者和角色與物件配對來指派的。例如,您可以選取一個資源集區,並透過授予使用者群組對應的角色來授予其該資源集區的讀取權限。

對於不是由 vCenter Server 直接管理的某些服務,權限由其中一個 vCenter Single Sign-On 群組的成員資格決定。例如,身為管理員群組成員的使用者可以管理 vCenter Single Sign-On。身為 CAAdmins 群組成員的使用者可以管理 VMware 憑證授權機構,LicenseService.Administrators 群組中的使用者可以管理授權。

下列群組已在 vsphere.local 中預先定義。

備註︰

其中許多群組為 vsphere.local 的內部群組或授與使用者高層級的管理權限。請仔細考慮風險,然後再將使用者新增至任意群組。

備註︰

請勿刪除 vsphere.local 網域中的任何預先定義的群組。否則,可能會導致驗證或憑證佈建相關的錯誤。

表格 1. vsphere.local 網域中的群組

權限

說明

使用者

vsphere.local 網域中的使用者。

SolutionUsers

解決方案使用者群組 vCenter 服務。每個解決方案使用者會使用憑證向 vCenter Single Sign-On 進行個別驗證。依預設,VMCA 會使用憑證佈建解決方案使用者。請勿明確向此群組新增成員。

CAAdmins

CAAdmins 群組的成員擁有 VMCA 的管理員權限。通常不建議向這些群組新增成員。

DCAdmins

DCAdmins 群組的成員可以對 VMware 目錄服務執行網域控制站管理員動作。

備註︰

請勿直接管理網域控制站。而是使用 vmdir CLI 或 vSphere Web Client 執行對應工作。

SystemConfiguration.BashShellAdministrators

此群組僅適用於 vCenter Server Appliance 部署。

此群組中的使用者可以啟用和停用對 BASH shell 的存取。依預設,使用 SSH 連線到 vCenter Server Appliance 的使用者只能存取受限制的 shell 中的命令。此群組中的使用者可以存取 BASH shell。

ActAsUsers

允許 Act-As Users 的成員從 vCenter Single Sign-On 取得 actas Token。

ExternalIPDUsers

vSphere 不使用此群組。此群組需要與 VMware vCloud Air 搭配使用。

SystemConfiguration.Administrators

SystemConfiguration.Administrators 群組的成員可以在 vSphere Web Client 中檢視和管理系統組態。這些使用者可檢視服務、啟動與重新啟動服務、對服務進行疑難排解,以及查看並管理可用節點。

DCClients

此群組供內部使用,允許管理節點對 VMware 目錄服務中的資料進行存取。

備註︰

請勿修改此群組。任何變更都可能會影響憑證基礎結構。

ComponentManager.Administrators

ComponentManager.Administrators 群組的成員可以叫用登錄或解除登錄服務 (即,修改服務) 的 Component Manager API。取得此服務的讀取權限並不需要此群組的成員資格。

LicenseService.Administrators

LicenseService.Administrators 的成員擁有對所有授權相關資料的完整寫入權限,且可以針對在授權服務中登錄的所有產品資產新增、移除、指派以及解除指派序列金鑰。

管理員

VMware 目錄服務 (vmdir) 的管理員。此群組的成員可以執行 vCenter Single Sign-On 管理工作。通常不建議向此群組新增成員。