通常、vCenter Server システムで管理される ESXi ホスト オブジェクトに権限を割り当てて、ユーザーに権限を付与します。スタンドアローンの ESXi ホストを使用している場合は、権限を直接付与することができます。

vCenter Server に管理される ESXi ホストへの権限の割り当て

ESXi ホストが vCenter Server で管理される場合は、vSphere Client を使用して管理タスクを実行します。

vCenter Server オブジェクト階層内の ESXi ホスト オブジェクトを選択して、限られた数のユーザーに管理者ロールを割り当てることができます。これらのユーザーは、ESXi ホスト上で直接管理を実行できます。vCenter Server ロールを使用した権限の割り当てを参照してください。

ベスト プラクティスは、名前付きのユーザー アカウントを 1 つ以上作成し、ホスト上でそのアカウントに完全な管理者権限を割り当てて、root アカウントの代わりにこのアカウントを使用することです。root アカウントに非常に複雑なパスワードを設定し、root アカウントの使用を制限しますroot アカウントは削除しないでください。

スタンドアローン ESXi ホストへの権限の割り当て

VMware Host Client の [管理] タブで、ローカル ユーザーを追加してカスタム ロールを定義できます。『vSphere の単一ホスト管理:VMware Host Client』ドキュメントを参照してください。

ESXi のすべてのバージョンにおいて、事前定義済みのユーザーを /etc/passwd ファイルで確認できます。

次のロールが事前定義されています。

読み取り専用
ユーザーは、 ESXi ホストに関連付けられたオブジェクトを表示できますが、オブジェクトを変更することはできません。
システム管理者
管理者ロール。
アクセスなし
アクセスなし。これがデフォルトのロールです。デフォルトのロールはオーバーライドできます。

ESXi ホストに直接接続された VMware Host Client を使用して、ローカル ユーザーおよびグループを管理し、ローカルのカスタム ロールを ESXi ホストに追加できます。『vSphere の単一ホスト管理:VMware Host Client』ドキュメントを参照してください。

vSphere 6.0 以降では、ESXCLI のアカウント管理コマンドを使用して、ESXi ローカル ユーザー アカウントを管理できます。ESXCLI の権限管理コマンドを使用すると、Active Directory アカウント(ユーザーおよびグループ)と ESXi ローカル アカウント(ユーザーのみ)の両方で権限の設定や削除を行うことができます。

注: ESXi ホストに直接接続して ESXi ホストのユーザーを定義し、同じ名前のユーザーが vCenter Server にも存在する場合、それらは異なるユーザーです。 ESXi ユーザーにロールを割り当てた場合、 vCenter Server ユーザーに同じロールは割り当てられません。

事前定義された ESXi ユーザーおよび権限

使用中の環境に vCenter Server システムが含まれていない場合は、次のユーザーが事前定義されています。

root ユーザー

デフォルトでは、各 ESXi ホストに、管理者ロールを持つ単一の root ユーザー アカウントがあります。この root ユーザー アカウントは、ローカル管理や vCenter Server にホストを接続するために使用できます。

root ユーザーは権限を持つユーザーとして一般的に知られているため、悪用されて、ESXi ホストに容易に侵入される可能性があります。また、汎用的な root アカウントを使用すると、実施に実行したユーザーを特定することが難しくなります。

管理状況を追跡するには、管理者権限を持つ個人アカウントを作成してください。root アカウントには非常に複雑なパスワードを設定し、root アカウントの使用(vCenter Server にホストを追加する場合など)を制限します。root アカウントは削除しないでください。ESXi ホストのユーザーへの権限割り当ての詳細については、『vSphere の単一ホスト管理:VMware Host Client』を参照してください。

ベスト プラクティスは、 ESXi ホストの管理者ロールを持つアカウントに専用のアカウントを指定し、特定のユーザーに割り当てることです。 ESXi Active Directory 機能を使用して、Active Directory 認証情報を管理します。
重要: root ユーザーのアクセス権限は削除できます。ただし、最初に root レベルの別の権限を持つ別のユーザーを作成し、管理者ロールに割り当てる必要があります。
vpxuser ユーザー
vCenter Server では、vpxuser の権限を使用して、ホストに対するアクティビティを管理します。

vCenter Server の管理者は、root ユーザーとほぼ同様のタスクをホストで実行できます。また、タスクのスケジュール設定やテンプレートの使用も可能です。ただし、vCenter Server の管理者は、ホストのユーザーおよびグループを直接作成、削除、または編集することはできません。管理者権限を持つユーザーのみが、ホストで直接これらのタスクを実行することができます。

Active Directory を使用して vpxuser ユーザーを管理することはできません。

注意: vpxuser ユーザーはどのような方法であっても変更しないでください。パスワードも変更しないでください。権限を変更することはできません。これらの変更を行うと、 vCenter Server を介してホストで作業する場合に、問題が発生することがあります。
dcui ユーザー
dcui ユーザーはホスト上で実行され、システム管理者権限で動作します。このユーザーは主に、ダイレクト コンソール ユーザー インターフェイス (DCUI) からロックダウン モードのホストを構成する場合に使用します。

このユーザーは、ダイレクト コンソールのエージェントとして機能します。ユーザーが直接変更または使用することはできません。

非 root ESXi ユーザーのシェル アクセスの無効化

vSphere 8.0 以降では、非 root ESXi ユーザー(事前定義された vpxuser ユーザーや dcui ユーザーなど)のシェル アクセスを無効にすることができます。シェル アクセスを無効にすると、これらのユーザーに対して「API のみ」のスタンスを適用することでセキュリティを強化できます。

シェル アクセスを無効にするには、esxcli system account set --id user --shell-access false コマンドを使用します。対応する API は LocalAccountManager.updateUser です。また、VMware Host Client を使用して、ESXi ローカル ユーザーの [シェル アクセスの有効化] フラグを変更することもできます。

注: シェル アクセスが拒否されているために、管理アクセス権を持つユーザーに対してシェル アクセスを無効にした場合、このユーザーは他のユーザーにシェル アクセスを許可したり、シェル アクセス権を持つユーザーのパスワードを変更することができなくなります。ホスト プロファイルなどのその他の権限では、vpxuser や dcui などのユーザーが他のユーザーのパスワードを引き続き変更できます。

この種の変更を行う場合は、既存のサードパーティ製ワークフローが破壊されないことを確認します。