部署过vcsa的朋友都知道，默认安装完成vcsa后，会有一个默认的用户名-administrator@vsphere.local。当然此用户具有绝对的管理员权限，在任何使用vmware vsphere平台的单位，公司，出于安全考虑的都需要对vc的权限有严格的控制，比如某用户只有某些虚拟机的管理权限，监控权限，或对主机权限。当有严格的权限划分时，就需要跟域控建立联系。让我们可以读取域控中的用户信息。

打开vcsa管理界面，找到系统管理SSO——配置

右边显示的标识原-添加标识原

选择基于基于LDAP的active directory

其中的标识源及用户基本标识原需要在域控里找到相关用户组的信息

在域控中打开域控ADSI编辑器

如下格式，找到您要添加的组可分辨名称如ou=users,dc=ws,ws,cn等类似

之后配置域名，用户名—具有管理权限，密码默认确定

最终配置结果如下

此时在sso 用户和组的选项卡中就可以找到您的域

选中后 ，域控下的用户及组信息就可以被vcsa读取到，可以进行权限分配

转到访问控制，角色，创建角色

创建vsan角色

添加此角色的访问对象

转到访问控制，全局权限

选择刚刚所添加的域信息，搜索用户或组，选择vsan这个角色

下面我们以viewadmin的用户名登录vcsa