Atribuindo privilégios para ESXi hosts

Normalmente, você concede privilégios aos usuários atribuindo permissões a ESXi objetos de host que são gerenciados por um sistema vCenter Server. Se você estiver usando um host ESXi autônomo, poderá atribuir privilégios diretamente.

Atribuindo permissões a ESXi hosts gerenciados pelo vCenter Server

Se o seu host ESXi for gerenciado por um vCenter Server, execute tarefas de gerenciamento por meio do vSphere Client.

Você pode selecionar o objeto de host ESXi na hierarquia de objetos vCenter Server e atribuir a função de administrador a um número limitado de usuários. Esses usuários podem, então, executar o gerenciamento direto no host ESXi. Consulte Usando funções para atribuir privilégios.

A prática recomendada é criar pelo menos uma conta de usuário nomeada, atribuir privilégios administrativos completos no host e usar essa conta em vez da conta raiz. Defina uma senha altamente complexa para a conta raiz e limite o uso da conta raiz. Não remova a conta raiz.

Atribuição de permissões a hosts ESXi autônomos

Você pode adicionar usuários locais e definir funções personalizadas na guia Gerenciamento do VMware Host Client. Consulte a documentação do vSphere Single Host Management - VMware Host Client .

Para todas as versões do ESXi, você pode ver a lista de usuários predefinidos no arquivo / etc / passwd .

As seguintes funções são predefinidas.

Somente Leitura: Permite que um usuário visualize objetos associados ao host ESXi, mas não faça alterações nos objetos.
Administrador: Função de administrador.
Sem acesso: Sem acesso. Essa função é a função padrão. Você pode substituir a função padrão.

Você pode gerenciar usuários e grupos locais e adicionar funções personalizadas locais a um host ESXi usando um VMware Host Client conectado diretamente ao host ESXi. Consulte a documentação do vSphere Single Host Management - VMware Host Client .

A partir do vSphere 6.0, você pode usar comandos de gerenciamento de conta ESXCLI para gerenciar ESXi contas de usuários locais. Você pode usar comandos de gerenciamento de permissão ESXCLI para definir ou remover permissões em ambas as contas Active Directory (usuários e grupos) e em ESXi contas locais (somente usuários).

Observação: Se você definir um usuário para o host ESXi conectando-se diretamente ao host, e um usuário com o mesmo nome também existir no vCenter Server, esses usuários serão diferentes. Se você atribuir uma função ao usuário ESXi, o usuário vCenter Server não receberá a mesma função.

Privilégios predefinidos

Se o seu ambiente não incluir um sistema vCenter Server, os usuários a seguir serão predefinidos.

Usuário raiz

Por padrão, cada host ESXi tem uma única conta de usuário raiz com a função de Administrador. Essa conta de usuário raiz pode ser usada para administração local e para conectar o host ao vCenter Server.

Atribuir privilégios de usuário raiz pode facilitar a invasão em um host ESXi porque o nome já é conhecido. Ter uma conta raiz comum também torna mais difícil corresponder as ações aos usuários.

Para uma melhor auditoria, crie contas individuais com privilégios de administrador. Defina uma senha altamente complexa para a conta raiz e limite o uso da conta raiz, por exemplo, para uso ao adicionar um host ao vCenter Server. Não remova a conta raiz. Para obter mais informações sobre como atribuir permissões a um usuário para um host ESXi, consulte a documentação do vSphere Single Host Management - VMware Host Client .

A prática recomendada é garantir que qualquer conta com a função de Administrador em um host ESXi seja atribuída a um usuário específico com uma conta nomeada. Use os recursos do ESXi Active Directory, que permitem que você gerencie as credenciais do Active Directory.

Importante: Você pode remover os privilégios de acesso para o usuário raiz. No entanto, você deve primeiro criar outra permissão no nível raiz que tenha um usuário diferente atribuído à função de Administrador.

Usuário vpxuser

vCenter Server usa privilégios vpxuser ao gerenciar atividades para o host.

O administrador do vCenter Server pode realizar a maioria das tarefas no host que o usuário raiz e também agendar tarefas, trabalhar com modelos e assim por diante. No entanto, o administrador do vCenter Server não pode criar, excluir ou editar diretamente usuários e grupos locais para hosts. Somente um usuário com privilégios de administrador pode realizar essas tarefas diretamente em um host.

Observação: Você não pode gerenciar vpxuser usando Active Directory.

Cuidado: Não altere o vpxuser de forma alguma. Não altere sua senha. Não altere suas permissões. Se você fizer isso, poderá ter problemas ao trabalhar com hosts por meio do vCenter Server.

Usuário dcui

O usuário dcui é executado em hosts e atua com direitos de administrador. O objetivo principal deste usuário é configurar hosts para o modo de bloqueio a partir da interface de usuário do console direto (DCUI).

Esse usuário atua como um agente para o console direto e não pode ser modificado ou usado por usuários interativos.