免責事項：これは英文の記事「The vSphere Client does not show the specific user as a member of the Administrators group, but the authz-data.json log file shows the user as a member.」の日本語訳です。記事はベストエフォートで翻訳を進めているため、ローカライズ化コンテンツは最新情報ではない可能性があります。最新情報は英語版の記事で参照してください。

• Active Directory (統合 Windows 認証) が、Single Sign-On の ID ソースとして vCenter Server に追加されている。
• 特定のユーザーが vSphere Client 内の Administrators グループに含まれていない。
   vSphere Client > 管理 > Single Sign-On > ユーザーおよびグループ > グループ > Administrators
• vCenter Server のログ バンドル内に出力される authz-data.json ファイルには、その特定のユーザーが Administrators グループのメンバーとして含まれている。
      "users": {
          "***\\特定ユーザー": {
                  {
                      "name": "Administrators",
                      "domain": "vsphere.local"
                  },
• Administrators グループ内に、残留した SID 形式のメンバーが残っている。
  # /usr/lib/vmware-vmafd/bin/dir-cli group list --name Administrators --login administrator --password ***
  externalObjectId=S-1-5-21-***
  
  # /opt/likewise/bin/ldapsearch -LLL -h localhost -p 389 -x -b "dc=vsphere,dc=local" -s sub -D "cn=administrator,cn=users,dc=vsphere,dc=local" -w *** "cn=Administrators"
  dn: cn=Administrators,cn=Builtin,dc=vsphere,dc=local
  member: externalObjectId=S-1-5-21-***
• この SID メンバーの名前は、以下のコマンドの extensionName 出力から確認できる。
  # /opt/likewise/bin/ldapsearch -LLL -h localhost -p 389 -x -b "cn=ForeignSecurityPrincipals,dc=vsphere,dc=local" -s sub -D "cn=administrator,cn=users,dc=vsphere,dc=local" -w ******* dn: cn=ForeignSecurityPrincipals,dc=vsphere,dc=local
  dn: externalObjectId=S-1-5-21-***,cn=ForeignSecurityPrincipals,dc=vsphere,dc=local
  objectClass: foreignSecurityPrincipal
  extensionName: 特定ユーザー@ドメイン名

VMware vCenter Server 8.x

この問題は vCenter Server から AD ID ソースを削除した後に、ローカルの vCenter Server グループから AD プリンシパル（ユーザー）を削除しようとした場合に発生します。
AD ID ソースがない状態では、UPN 形式の FSP (Foreign Security Principal) グループメンバーシップがあるため、AD プリンシパルはローカルの vCenter Server グループのメンバーとして表示され続けます。しかし、この AD プリンシパルを vCenter Server グループから削除しようとすると、vCenter Server は AD に対してプリンシパルの SID を照会できず、結果として AD プリンシパルの UPN 形式の FSP メンバーシップのみが削除され、SID 形式の FSP グループメンバーシップが残ってしまうために発生します。

この問題を解決するには、記事「Users or groups from Active Directory are not visible in SSO local group in vSphere Client」に記載されている解決オプションに従うことができます。解決オプション1で説明されているように、以下の手順を使用して、Administrators グループから残留した SID 形式の FSP グループ メンバーシップを削除します。

0. 以下のいずれのオプションを実行する前に、ELM/LM 環境の場合は両方の vCenter Server のオフラインスナップショットを、スタンドアロンの vCenter Server の場合はオンラインスナップショットを取得してください。詳細については、記事「Snapshot Best practices for vCenter Server Virtual Machines」を参照してください。

1. 以下のコマンドを実行し、残留している SID メンバー（例: S-1-5-21-***）を確認し、メモしておきます。
# /opt/likewise/bin/ldapsearch -LLL -h localhost -p 389 -x -b "dc=vsphere,dc=local" -s sub -D "cn=administrator,cn=users,dc=vsphere,dc=local" -w ******* "cn=Administrators"
dn: cn=Administrators,cn=Builtin,dc=vsphere,dc=local
member: externalObjectId=S-1-5-21-***

2. vCenter Server 上に、以下の内容（手順1で確認した S-1-5-21-*** の値を使用）でファイルを作成します（例: remove_AD_principal_from_Administrators_group.ldif）。
dn: cn=Administrators,cn=Builtin,dc=vsphere,dc=local
changetype: modify
delete: member
member: externalObjectId=S-1-5-21-***

3. LDIF ファイルを使用して ldapmodify コマンドを実行します。
/opt/likewise/bin/ldapmodify -x -W -D "cn=Administrator,cn=Users,dc=vsphere,dc=local" -f remove_AD_principal_from_Administrators_group.ldif

Users or groups from Active Directory are not visible in SSO local group in vSphere Client
How to export VMDir information from vCenter Server Appliance
Single Sign-On fails to authenticate users and returns LDAP error: ReferralLdapException