摘要:
为root帐户设置一个高度复杂的密码,并限制root帐户的使用,例如向vCenterServer添加主机时使用root帐户。最佳做法是确保将ESXi主机上具有管理员角色的任何帐户分配给具有指定帐户的特定用户。如果可能,请使用ESXiActiveDirectory功能,以便管理ActiveDirectory凭据。例如,vCenterServer可将虚拟机移至和移离主机,并执行支持虚拟机所必需的配置更改。但是,vCenterServer管理员不能为主机直接创建、删除或编辑本地用户和组。
1. root 用户
默认情况下,每个ESXi主机都有一个具有管理员角色的 root 用户帐户。该 root 用户帐户可用于本地管理,并可用于将主机连接到vCenter Server。
此公共 root 帐户可以更方便地访问ESXi主机,但难以确定特定管理员执行的操作。
为 root 帐户设置一个高度复杂的密码,并限制 root 帐户的使用,例如向vCenter Server添加主机时使用 root 帐户。不要移除 root 帐户。在 vSphere 5.1 及更高版本中,仅允许使用 root 用户向vCenter Server中添加主机,而不允许使用其他具有管理员角色的指定用户。
最佳做法是确保将ESXi主机上具有管理员角色的任何帐户分配给具有指定帐户的特定用户。如果可能,请使用ESXiActive Directory 功能,以便管理 Active Directory 凭据。
2.vpxuser 特权
管理主机的活动时,vCenter Server使用 vpxuser 特权。
vCenter Server对其管理的主机拥有管理员特权。例如,vCenter Server可将虚拟机移至和移离主机,并执行支持虚拟机所必需的配置更改。
vCenter Server管理员可在主机上执行可以由 Root 用户执行的大多数任务,并调度任务和处理模板等。但是,vCenter Server管理员不能为主机直接创建、删除或编辑本地用户和组。这些任务只能由具有管理员权限的用户直接在每个主机上执行。
3.dcui 用户特权
dcui 用户以管理员权限在主机上操作。此用户的主要目的是从直接控制台用户界面 (DCUI) 配置锁定模式的主机。
此用户将充当直接控制台的代理,无法由交互式用户来修改或使用。