In der Regel erteilen Sie Benutzern Berechtigungen, indem Sie Rechte für ESXi-Hostobjekte zuweisen, die von einem vCenter Server-System verwaltet werden. Wenn Sie mit einem eigenständigen ESXi-Host arbeiten, können Sie Berechtigungen direkt zuweisen.

Zuweisen von Berechtigungen für ESXi-Hosts, die von vCenter Server verwaltet werden

Wenn Ihr ESXi-Host von einem vCenter Server verwaltet wird, führen Sie die Verwaltungsaufgaben im vSphere Client aus.

Sie können das ESXi-Hostobjekt in der vCenter Server-Objekthierarchie auswählen und die einer begrenzten Anzahl von Benutzern die Administratorrolle zuweisen. Diese Benutzer können dann direkt Verwaltungsaufgaben auf dem ESXi-Host durchführen. Weitere Informationen hierzu finden Sie unter Verwenden von vCenter Server-Rollen zum Zuweisen von Rechten.

Es wird empfohlen, mindestens ein benanntes Benutzerkonto zu erstellen, diesem Konto vollständige Administratorrechte auf dem Host zuzuweisen und es anstelle des Root-Kontos zu verwenden. Legen Sie ein hochkomplexes Kennwort für das Root-Konto fest und schränken Sie die Verwendung des Root-Kontos ein. Entfernen Sie das Root-Konto aber nicht.

Zuweisen von Berechtigungen für eigenständige ESXi-Hosts

Auf der Registerkarte „Management“ des VMware Host Client können Sie lokale Benutzer hinzufügen und benutzerdefinierte Rollen definieren. Informationen finden Sie in der Dokumentation Verwaltung eines einzelnen Hosts von vSphere – VMware Host Client.

Für alle Versionen von ESXi können Sie die Liste der vordefinierten Benutzer in der Datei /etc/passwd anzeigen.

Die folgenden Rollen sind vordefiniert.

Nur Lesen
Erlaubt Benutzern die Anzeige von Objekten des ESXi-Hosts, aber nicht deren Änderung.
Administrator
Administratorrolle.
Kein Zugriff
Kein Zugriff Dies ist die Standardrolle. Sie können die Standardrolle außer Kraft setzen.

Sie können lokale Benutzer und Gruppen verwalten und lokale benutzerdefinierte Rollen zu einem ESXi-Host hinzufügen, indem Sie einen VMware Host Clientverwenden, der direkt mit dem ESXi-Host verbunden ist. Informationen finden Sie in der Dokumentation Verwaltung eines einzelnen Hosts von vSphere – VMware Host Client.

In vSphere 6.0 und höher können Sie mithilfe von ESXCLI-Kontoverwaltungsbefehlen lokale ESXi-Benutzerkonten verwalten. Mit ESXCLI-Kontoverwaltungsbefehlen können Sie Berechtigungen für Active Directory-Konten (Benutzer und Gruppen) und lokale ESXi-Konten (nur Benutzer) einrichten und entfernen.

Hinweis: Wenn Sie über eine Host-Direktverbindung einen Benutzer für den ESXi-Host definieren und es in vCenter Server einen Benutzer mit demselben Namen gibt, gelten die beiden als zwei verschiedene Benutzer. Wenn Sie dem ESXi-Benutzer eine Rolle zuweisen, gilt die Rolle nicht für den vCenter Server-Benutzer.

Vordefinierte ESXi-Benutzer und -Rechte

In Umgebungen ohne vCenter Server-System sind die folgenden Benutzer vordefiniert.

Root-Benutzer

Standardmäßig verfügt jeder ESXi-Host über ein (1) Root-Benutzerkonto mit der Rolle „Administrator“. Dieses kann für die lokale Verwaltung und die Verbindung zwischen Host und vCenter Server verwendet werden.

Die Zuweisung von Root-Benutzerberechtigungen kann das Eindringen in einen ESXi-Host erleichtern, da der Name bereits bekannt ist. Ein gemeinsames Root-Konto erschwert außerdem den Abgleich von Aktionen mit Benutzern.

Um die Überwachung zu verbessern, sollten Sie einzelne Konten mit Administratorberechtigungen erstellen. Legen Sie ein hochkomplexes Kennwort für das Root-Konto fest und schränken Sie die Verwendung dieses Kontos ein, z. B. nur zum Hinzufügen eines Hosts zu vCenter Server. Entfernen Sie das Root-Konto aber nicht. Weitere Informationen zum Zuweisen von Berechtigungen zu einem Benutzer für einen ESXi-Host finden Sie in der Dokumentation zu Verwaltung eines einzelnen Hosts von vSphere – VMware Host Client.

Empfohlen wird sicherzustellen, dass alle Konten mit Administratorrolle auf einem ESXi-Host einem bestimmten Benutzer mit einem benannten Konto zugewiesen sind. Verwenden Sie dazu die Active Directory-Funktionen von ESXi, mit denen Sie die Active Directory-Anmeldedaten verwalten können.
Wichtig: Sie können die Zugriffsberechtigungen für den Root-Benutzer entfernen. Sie müssen jedoch auf der Root-Ebene zunächst eine andere Berechtigung erteilen, die ein anderer Benutzer mit der Rolle des Administrators erhält.
vpxuser-Benutzer
vCenter Server verwendet vpxuser-Rechte beim Verwalten von Aktivitäten für den Host.

Der Administrator von vCenter Server kann viele der Aufgaben des Root-Benutzers auf dem Host durchführen und Aufgaben planen, Vorlagen nutzen usw. Der vCenter Server-Administrator kann jedoch lokale Benutzer und Gruppen für Hosts nicht direkt erstellen, löschen oder bearbeiten. Diese Aufgaben können nur von einem Benutzer mit Administratorberechtigungen direkt auf einem Host durchgeführt werden.

Sie können den vpxuser-Benutzer nicht mithilfe von Active Directory verwalten.

Vorsicht: Verändern Sie keinerlei Einstellungen des vpxuser-Benutzers. Ändern Sie nicht das Kennwort. Ändern Sie nicht die Berechtigungen. Falls Änderungen vorgenommen werden, können Probleme beim Arbeiten mit Hosts in vCenter Server auftreten.
dcui-Benutzer
Der Benutzer „dcui“ wird auf Hosts ausgeführt und agiert mit Administratorrechten. Der Hauptzweck dieses Benutzers ist die Konfiguration von Hosts für den Sperrmodus über den DCUI-Dienst (Direct Console User Interface, Benutzerschnittstelle der direkten Konsole).

Dieser Benutzer dient als Agent für die direkte Konsole und kann von interaktiven Benutzern nicht geändert bzw. verwendet werden.

Deaktivieren des Shell-Zugriffs für Nicht-Root-ESXi-Benutzer

In vSphere 8.0 und höher können Sie den Shell-Zugriff für Nicht-Root-ESXi-Benutzer deaktivieren, z. B. für die vordefinierten Benutzer „vpxuser“ und „dcui“. Durch Deaktivieren des Shell-Zugriffs können Sie die Sicherheit erhöhen, indem Sie für diese Benutzer „nur API“ erzwingen.

Um den Shell-Zugriff zu deaktivieren, können Sie den Befehl esxcli system account set --id user --shell-access false verwenden. Die entsprechende API lautet LocalAccountManager.updateUser. Sie können auch den VMware Host Client verwenden, um das Flag „Shell-Zugriff aktivieren“ von lokalen ESXi-Benutzern zu ändern.

Hinweis: Wenn Sie den Shell-Zugriff für einen Benutzer mit Administratorzugriff deaktivieren, kann dieser Benutzer anderen Benutzern weder Shell-Zugriff gewähren noch die Kennwörter von Benutzern mit Shell-Zugriff ändern, da ihm der Shell-Zugriff verweigert wird. Mit anderen Berechtigungen, z. B. Hostprofilen, können Benutzer wie „vpxuser“ und „dcui“ weiterhin Kennwörter anderer Benutzer ändern.

Wenn Sie solche Änderungen vornehmen, stellen Sie sicher, dass diese vorhandene Workflows von Drittanbietern nicht beeinträchtigen.