Normalmente, você concede privilégios aos usuários atribuindo permissões a objetos de host ESXi que são gerenciados por um sistema vCenter Server. Se estiver usando um host ESXi autônomo, você poderá atribuir privilégios diretamente.

Atribuindo permissões a ESXi hosts gerenciados por vCenter Server

Se seu host ESXi for gerenciado por um vCenter Server, realize tarefas de gerenciamento por meio do vSphere Client.

Você pode selecionar o objeto de host ESXi na hierarquia de objetos vCenter Server e atribuir a função de administrador a um número limitado de usuários. Esses usuários podem executar o gerenciamento direto no host ESXi. Consulte Usando vCenter Server Funções para Atribuir Privilégios.

A prática recomendada é criar pelo menos uma conta de usuário nomeada, atribuir a ela privilégios administrativos totais no host e usar essa conta em vez da conta raiz. Defina uma senha altamente complexa para a conta raiz e limite o uso da conta raiz. Não remova a conta raiz.

Atribuindo permissões a hosts ESXi autônomos

Você pode adicionar usuários locais e definir funções personalizadas na guia Gerenciamento do VMware Host Client. Consulte a documentação do vSphere Gerenciamento de host único - VMware Host Client.

Para todas as versões do ESXi, você pode ver a lista de usuários predefinidos no arquivo /etc/passwd.

As funções a seguir são predefinidas.

Somente leitura
Permite que um usuário visualize objetos associados ao host ESXi, mas não faça alterações nos objetos.
Administrador
Função de administrador.
Sem acesso
Sem acesso. Essa função é a função padrão. Você pode substituir a função padrão.

Você pode gerenciar usuários e grupos locais e adicionar funções personalizadas locais a um host ESXi usando um VMware Host Client conectado diretamente ao host ESXi. Consulte a documentação do vSphere Gerenciamento de host único - VMware Host Client.

No vSphere 6.0 e posterior, você pode usar comandos de gerenciamento de contas ESXCLI para gerenciar contas de usuários locais do ESXi. Você pode usar os comandos de gerenciamento de permissões ESXCLI para definir ou remover permissões em contas Active Directory (usuários e grupos) e em ESXi contas locais (somente usuários).

Observação: Se você definir um usuário para o host ESXi conectando-se diretamente ao host, e um usuário com o mesmo nome também existir em vCenter Server, esses usuários serão diferentes. Se você atribuir uma função ao usuário ESXi, o usuário vCenter Server não receberá a mesma função.

Usuários e privilégios ESXi predefinidos

Se o seu ambiente não incluir um sistema vCenter Server, os usuários a seguir serão predefinidos.

Usuário root

Por padrão, cada host ESXi tem uma única conta de usuário raiz com a função de Administrador. Essa conta de usuário raiz pode ser usada para administração local e para conectar o host a vCenter Server.

A atribuição de privilégios de usuário raiz pode facilitar a invasão de um host ESXi porque o nome já é conhecido. Ter uma conta root comum também dificulta a correspondência de ações com os usuários.

Para uma melhor auditoria, crie contas individuais com privilégios de Administrador. Defina uma senha altamente complexa para a conta raiz e limite o uso da conta raiz, por exemplo, para uso ao adicionar um host a vCenter Server. Não remova a conta raiz. Para obter mais informações sobre como atribuir permissões a um usuário para um host ESXi, consulte a documentação vSphere Gerenciamento de host único - VMware Host Client.

A prática recomendada é garantir que qualquer conta com a função de Administrador em um host ESXi seja atribuída a um usuário específico com uma conta nomeada. Use os recursos do ESXi Active Directory, que permitem gerenciar credenciais do Active Directory.
Importante: Você pode remover os privilégios de acesso do usuário raiz. No entanto, você deve primeiro criar outra permissão no nível raiz que tenha um usuário diferente atribuído à função de Administrador.
Usuário vpxuser
vCenter Server usa privilégios de vpxuser ao gerenciar atividades para o host.

O administrador do vCenter Server pode executar a maioria das mesmas tarefas no host que o usuário raiz e também agendar tarefas, trabalhar com modelos e assim por diante. No entanto, o administrador do vCenter Server não pode criar, excluir ou editar usuários e grupos locais diretamente para hosts. Somente um usuário com privilégios de Administrador pode executar essas tarefas diretamente em um host.

Você não pode gerenciar o usuário vpxuser usando Active Directory.

Cuidado: Não altere o usuário vpxuser de forma alguma. Não altere sua senha. Não altere suas permissões. Se você fizer isso, poderá ter problemas ao trabalhar com hosts por meio de vCenter Server.
Usuário dcui
O usuário dcui é executado em hosts e age com direitos de Administrador. A finalidade principal desse usuário é configurar hosts para o modo de bloqueio a partir da Interface do Usuário do Console Direto (DCUI).

Esse usuário atua como um agente para o console direto e não pode ser modificado ou usado por usuários interativos.

Desativando o acesso do Shell para usuários ESXi não raiz

No vSphere 8.0 e posterior, você pode desativar o acesso do shell para usuários ESXi não raiz, como os usuários predefinidos vpxuser e dcui. Ao desativar o acesso ao shell, você pode aumentar a segurança impondo uma postura "somente API" para esses usuários.

Para desativar o acesso ao shell, você pode usar o esxcli system account set --id usuário --shell-access false. A API correspondente é LocalAccountManager.updateUser. Você também pode usar o VMware Host Client para alterar o sinalizador Ativar acesso ao Shell de ESXi usuários locais.

Observação: Quando você desativa o acesso ao shell para um usuário com acesso administrativo, em virtude de ter o acesso ao shell negado, esse usuário não pode conceder acesso ao shell a outros usuários ou alterar as senhas dos usuários que têm acesso ao shell. Outras permissões, como perfis de host, ainda permitirão que usuários como vpxuser e dcui alterem as senhas de outros usuários.

Ao fazer alterações desse tipo, verifique se elas não interrompem os fluxos de trabalho de terceiros existentes.