Normalmente, você concede privilégios aos usuários atribuindo permissões a ESXi objetos de host que são gerenciados por um sistema vCenter Server. Se você estiver usando um host ESXi autônomo, poderá atribuir privilégios diretamente.
Atribuindo permissões a ESXi hosts gerenciados pelo vCenter Server
Se o seu host ESXi for gerenciado por um vCenter Server, execute tarefas de gerenciamento por meio do vSphere Client.
Você pode selecionar o objeto de host ESXi na hierarquia de objetos vCenter Server e atribuir a função de administrador a um número limitado de usuários. Esses usuários podem, então, executar o gerenciamento direto no host ESXi. Consulte Usando funções para atribuir privilégios.
A prática recomendada é criar pelo menos uma conta de usuário nomeada, atribuir privilégios administrativos completos no host e usar essa conta em vez da conta raiz. Defina uma senha altamente complexa para a conta raiz e limite o uso da conta raiz. Não remova a conta raiz.
Atribuição de permissões a hosts ESXi autônomos
Você pode adicionar usuários locais e definir funções personalizadas na guia Gerenciamento do VMware Host Client. Consulte a documentação do vSphere Single Host Management - VMware Host Client .
Para todas as versões do ESXi, você pode ver a lista de usuários predefinidos no arquivo / etc / passwd .
As seguintes funções são predefinidas.
Você pode gerenciar usuários e grupos locais e adicionar funções personalizadas locais a um host ESXi usando um VMware Host Client conectado diretamente ao host ESXi. Consulte a documentação do vSphere Single Host Management - VMware Host Client .
A partir do vSphere 6.0, você pode usar comandos de gerenciamento de conta ESXCLI para gerenciar ESXi contas de usuários locais. Você pode usar comandos de gerenciamento de permissão ESXCLI para definir ou remover permissões em ambas as contas Active Directory (usuários e grupos) e em ESXi contas locais (somente usuários).
Privilégios predefinidos
Se o seu ambiente não incluir um sistema vCenter Server, os usuários a seguir serão predefinidos.
- Usuário raiz
-
Por padrão, cada host ESXi tem uma única conta de usuário raiz com a função de Administrador. Essa conta de usuário raiz pode ser usada para administração local e para conectar o host ao vCenter Server.
Atribuir privilégios de usuário raiz pode facilitar a invasão em um host ESXi porque o nome já é conhecido. Ter uma conta raiz comum também torna mais difícil corresponder as ações aos usuários.
Para uma melhor auditoria, crie contas individuais com privilégios de administrador. Defina uma senha altamente complexa para a conta raiz e limite o uso da conta raiz, por exemplo, para uso ao adicionar um host ao vCenter Server. Não remova a conta raiz. Para obter mais informações sobre como atribuir permissões a um usuário para um host ESXi, consulte a documentação do vSphere Single Host Management - VMware Host Client .
A prática recomendada é garantir que qualquer conta com a função de Administrador em um host ESXi seja atribuída a um usuário específico com uma conta nomeada. Use os recursos do ESXi Active Directory, que permitem que você gerencie as credenciais do Active Directory.Importante: Você pode remover os privilégios de acesso para o usuário raiz. No entanto, você deve primeiro criar outra permissão no nível raiz que tenha um usuário diferente atribuído à função de Administrador. - Usuário vpxuser
- vCenter Server usa privilégios vpxuser ao gerenciar atividades para o host.
- Usuário dcui
- O usuário dcui é executado em hosts e atua com direitos de administrador. O objetivo principal deste usuário é configurar hosts para o modo de bloqueio a partir da interface de usuário do console direto (DCUI).