將權限指派給 vCenter Server 管理的 ESXi 主機

如果您的 ESXi 主機受 vCenter Server 管理，請透過 vSphere Client 執行管理工作。

您可以從 vCenter Server 物件階層中選取 ESXi 主機物件，並將管理員角色指派給數量有限的使用者。然後，這些使用者可以在 ESXi 主機上執行直接管理。請參閱使用 vCenter Server 角色指派權限。

最佳做法是至少建立一個具名使用者帳戶，並為其指派對主機的完整管理權限，然後使用此帳戶取代根帳戶。為根帳戶設定一個非常複雜的密碼，並限制根帳戶的使用。請勿移除根帳戶。

將權限指派給獨立的 ESXi 主機

您可以新增本機使用者，並從 VMware Host Client 的 [管理] 索引標籤定義自訂角色。請參閱 vSphere 單一主機管理 - VMware Host Client說明文件。

如需 ESXi 的所有版本，請參閱 /etc/passwd 檔案中的預先定義使用者清單。

會預先定義下列角色。

透過使用直接連線至 ESXi 主機的 VMware Host Client，您可以管理本機使用者和群組，並將本機自訂角色新增至 ESXi 主機。請參閱 vSphere 單一主機管理 - VMware Host Client說明文件。

在 vSphere 6.0 及更新版本中，可以使用 ESXCLI 帳戶管理命令來管理 ESXi 本機使用者帳戶。您可以使用 ESXCLI 權限管理命令，設定或移除 Active Directory 帳戶 (使用者和群組) 和 ESXi 本機帳戶 (僅使用者) 權限。

預先定義的 ESXi 使用者和權限

如果您的環境不包含 vCenter Server 系統，則會預先定義下列使用者。

根使用者

依預設，每個 ESXi 主機擁有一個具有管理員角色的單一根使用者帳戶。該根使用者帳戶可用於本機管理並將主機連線到 vCenter Server。

指派根使用者權限可更輕易闖入 ESXi 主機，因為已經知道名稱。擁有一般根帳戶可讓符合使用者的動作更難。

為了更好地稽核，請建立具有管理員權限的個別帳戶。為根帳戶設定非常複雜的密碼，並限制根帳戶的使用，例如，新增主機至 vCenter Server 時使用。請勿移除根帳戶。如需有關針對 ESXi 主機指派給使用者權限的詳細資訊，請參閱 vSphere 單一主機管理 - VMware Host Client 說明文件。

最佳做法是確保 ESXi 主機上具有管理員角色之任何帳戶指派給具名帳戶的特定使用者。請使用可讓您管理 Active Directory 認證的 ESXi Active Directory 功能。

重要： 您可以移除根使用者的存取權限。但是，您必須首先在根層級 (擁有一個指派到管理員角色的不同使用者) 建立其他權限。

vpxuser 使用者

管理主機的活動時， vCenter Server 將使用 vpxuser 權限。

vCenter Server 管理員可以根使用者身分在主機上執行大多數相同的工作，亦可排程工作、使用範本等。然而，vCenter Server 管理員無法直接為主機建立、刪除或編輯本機使用者與群組。僅具有管理員權限的使用者才可以直接在主機上執行這些工作。

您無法使用 Active Directory 管理 vpxuser 使用者。

注意： 請勿以任何方式變更 vpxuser 使用者。請勿變更其密碼。請勿變更其權限。如果您執行了變更，可能會在透過 vCenter Server 使用主機時遇到問題。

dcui 使用者

dcui 使用者於主機上執行，並使用管理員權限。此使用者的主要用途為針對 Direct Console 使用者介面 (DCUI) 的鎖定模式設定主機。

此使用者可充當 Direct Console 的代理程式，且無法由互動式使用者修改或使用。

停用非根 ESXi 使用者的殼層存取

在 vSphere 8.0 及更新版本中，可以停用非根 ESXi 使用者 (如預先定義的 vpxuser 和 dcui 使用者) 的 shell 存取。透過停用 shell 存取，可對這些使用者強制實施「僅 API」原則來增強安全性。

若要停用 shell 存取，可以使用 esxcli system account set --id user --shell-access false 命令。相應的 API 為 LocalAccountManager.updateUser。您還可以使用 VMware Host Client 變更 ESXi 本機使用者的「啟用 Shell 存取」旗標。

做出此類變更時，請確認它們不會中斷現有的第三方工作流程。