In der Regel erteilen Sie Benutzern Berechtigungen, indem Sie Rechte für ESXi-Hostobjekte zuweisen, die von einem vCenter Server-System verwaltet werden. Wenn Sie mit einem eigenständigen ESXi-Host arbeiten, können Sie Berechtigungen direkt zuweisen.
Zuweisen von Berechtigungen für ESXi-Hosts, die von vCenter Server verwaltet werden
Wenn Ihr ESXi-Host von einem vCenter Server verwaltet wird, führen Sie die Verwaltungsaufgaben im vSphere Client aus.
Sie können das ESXi-Hostobjekt in der vCenter Server-Objekthierarchie auswählen und die einer begrenzten Anzahl von Benutzern die Administratorrolle zuweisen. Diese Benutzer können dann direkt Verwaltungsaufgaben auf dem ESXi-Host durchführen. Weitere Informationen hierzu finden Sie unter Verwenden von Rollen zum Zuweisen von Rechten.
Es wird empfohlen, mindestens ein benanntes Benutzerkonto zu erstellen, diesem Konto vollständige Administratorrechte auf dem Host zuzuweisen und es anstelle des Root-Kontos zu verwenden. Legen Sie ein hochkomplexes Kennwort für das Root-Konto fest und schränken Sie die Verwendung des Root-Kontos ein. Entfernen Sie das Root-Konto aber nicht.
Zuweisen von Berechtigungen für eigenständige ESXi-Hosts
Auf der Registerkarte „Management“ des VMware Host Client können Sie lokale Benutzer hinzufügen und benutzerdefinierte Rollen definieren. Informationen finden Sie in der Dokumentation Verwaltung eines einzelnen Hosts von vSphere – VMware Host Client.
Für alle Versionen von ESXi können Sie die Liste der vordefinierten Benutzer in der Datei /etc/passwd anzeigen.
Die folgenden Rollen sind vordefiniert.
Sie können lokale Benutzer und Gruppen verwalten und lokale benutzerdefinierte Rollen zu einem ESXi-Host hinzufügen, indem Sie einen VMware Host Clientverwenden, der direkt mit dem ESXi-Host verbunden ist. Informationen finden Sie in der Dokumentation Verwaltung eines einzelnen Hosts von vSphere – VMware Host Client.
Ab vSphere 6.0 können Sie mithilfe von ESXCLI-Kontoverwaltungsbefehlen lokale ESXi-Benutzerkonten verwalten. Mit ESXCLI-Kontoverwaltungsbefehlen können Sie Berechtigungen für Active Directory-Konten (Benutzer und Gruppen) und lokale ESXi-Konten (nur Benutzer) einrichten und entfernen.
Vordefinierte Berechtigungen
In Umgebungen ohne vCenter Server-System sind die folgenden Benutzer vordefiniert.
- Root-Benutzer
-
Standardmäßig verfügt jeder ESXi-Host über ein (1) Root-Benutzerkonto mit der Rolle „Administrator“. Dieses kann für die lokale Verwaltung und die Verbindung zwischen Host und vCenter Server verwendet werden.
Die Zuweisung von Root-Benutzerberechtigungen kann das Eindringen in einen ESXi-Host erleichtern, da der Name bereits bekannt ist. Ein gemeinsames Root-Konto erschwert außerdem den Abgleich von Aktionen mit Benutzern.
Um die Überwachung zu verbessern, sollten Sie einzelne Konten mit Administratorberechtigungen erstellen. Legen Sie ein hochkomplexes Kennwort für das Root-Konto fest und schränken Sie die Verwendung dieses Kontos ein, z. B. nur zum Hinzufügen eines Hosts zu vCenter Server. Entfernen Sie das Root-Konto aber nicht. Weitere Informationen zum Zuweisen von Berechtigungen zu einem Benutzer für einen ESXi-Host finden Sie in der Dokumentation zu Verwaltung eines einzelnen Hosts von vSphere – VMware Host Client.
Empfohlen wird sicherzustellen, dass alle Konten mit Administratorrolle auf einem ESXi-Host einem bestimmten Benutzer mit einem benannten Konto zugewiesen sind. Verwenden Sie dazu die Active Directory-Funktionen von ESXi, mit denen Sie die Active Directory-Anmeldedaten verwalten können.Wichtig: Sie können die Zugriffsberechtigungen für den Root-Benutzer entfernen. Sie müssen jedoch auf der Root-Ebene zunächst eine andere Berechtigung erteilen, die ein anderer Benutzer mit der Rolle des Administrators erhält. - vpxuser-Benutzer
- vCenter Server verwendet vpxuser-Rechte beim Verwalten von Aktivitäten für den Host.
- dcui-Benutzer
- Der Benutzer „dcui“ wird auf Hosts ausgeführt und agiert mit Administratorrechten. Der Hauptzweck dieses Benutzers ist die Konfiguration von Hosts für den Sperrmodus über den DCUI-Dienst (Direct Console User Interface, Benutzerschnittstelle der direkten Konsole).