Erstellen Sie ein Nicht‐Root-Benutzerkonto für den lokalen Adminzugriff.

Standardmäßig verfügt jeder ESXi-Host über ein einziges Root-Benutzerkonto mit vollständigen Administratorrechten, das für die lokale Verwaltung und zum Herstellen der Verbindung zwischen Host und vCenter Server verwendet wird. Die Freigabe eines gemeinsamen Root-Kontos erleichtert Angreifern ein Eindringen in einen ESXi-Host.

Erstellen Sie mindestens ein benanntes Benutzerkonto, dem Sie vollständige administrative Rechte zuweisen, und verwenden Sie dieses Konto anstelle des Root-Kontos. Legen Sie ein hoch komplexes Kennwort für das Root-Konto fest und schränken Sie die Verwendung des Root-Kontos ein. (Entfernen Sie nicht den Root-Benutzer selbst.)

Wichtig:

Wenn Sie die Zugriffsberechtigungen für den Root-Benutzer entfernen, müssen Sie auf der Root-Ebene zunächst eine andere Berechtigung erteilen, die ein anderer Benutzer mit der Rolle des Administrators erhält.

Anmerkung:

In vSphere 5.1 und höher ist es nur dem Root-Benutzer und keinem anderen Benutzer mit Administratorrechten gestattet, vCenter Server einen Host hinzuzufügen.

Die Zuweisung der Administratorenrolle auf verschiedene Benutzer gewährleistet die Nachvollziehbarkeit und somit die Sicherheit. Der vSphere-Client protokolliert alle Aktionen des Administrators als Ereignisse und gibt ein Überwachungsprotokoll aus. Wenn alle Administratoren sich als Root-Benutzer anmelden, können Sie nicht wissen, welcher Administrator eine Aktion ausgeführt hat. Wenn Sie mehrere Berechtigungen auf Root-Ebene anlegen, die jeweils einem anderen Benutzer zugewiesen sind, können Sie die Aktionen jedes Administrators gut nachvollziehen.