PowerFlex : Paramètres de renforcement de la sécurité ESXi pour l’intégration d’Active Directory ESXi

Summary: Le rôle d’administrateur VIM est automatiquement attribué au groupe AD « Administrateurs ESX » lorsqu’un hôte ESXi est joint à un domaine Active Directory. Remarque : Plusieurs paramètres avancés ESXi ont des valeurs par défaut qui ne sont pas sécurisées par défaut. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Cet article concerne toutes les versions antérieures à ESXi 8.0 U3. 

Plusieurs paramètres avancés ESXi ont des valeurs par défaut qui ne sont pas sécurisées par défaut.

Le groupe AD «ESX Admins" se voit automatiquement attribuer le rôle VIM Admin lorsqu’un hôte ESXi est joint à un domaine Active Directory.

La vérification de la présence du groupe à l’aide de la commande suivante esxcli system permission list donne le résultat suivant :

[root@esxifqdn:~] esxcli system permission list
Principal      Is Group  Role   Role Description
-------------  --------  -----  ----------------
yourdomain\esx^admins      true  Admin  Full access rights
cloudadmin        false  Admin  Full access rights
dcui              false  Admin  Full access rights
root              false  Admin  Full access rights
vpxuser           false  Admin  Full access rights

 

Ce problème est résolu dans ESXi 8.0 U3.

Pour contourner ce problème, modifiez les options avancées ESXi suivantes :

Config.HostAgent.plugins.hostsvc.esxAdminsGroupAutoAdd from true to false
Config.HostAgent.plugins.vimsvc.authValidateInterval from 1440 to 90
Config.HostAgent.plugins.hostsvc.esxAdminsGroup from "ESX Admins" to ""

Si l’hôte ESXi était déjà associé à Active Directory avant l’application de la solution de contournement, supprimez l’autorisation Admin pour le groupe AD ("ESX Admins" par défaut) s’il existe. Cette opération peut être effectuée via l’interface utilisateur du client hôte ou à l’aide de la commande esxcli suivante :

 esxcli system permission unset -i 'yourdomain\esx^admins' --group

  
L’étape ci-dessus doit être effectuée après l’application de la solution de contournement.

  
Toutes les autorisations VIM actuellement attribuées peuvent être validées via l’interface utilisateur du client hôte ou la commande esxcli ci-dessous : 

  

  
esxcli system permission list

  

  
 

  
Le groupe d’administrateurs ESX sera ajouté à l’hôte avec des privilèges d’administrateur une fois que l’hôte sera ajouté à Active Directory. Il est recommandé de modifier ces paramètres avant de rejoindre le domaine. Ces paramètres prennent effet en moins d’une minute. Aucun redémarrage n’est nécessaire.

  
Reportez-vous à l’article de la base de connaissances Broadcom suivant.
Paramètres par défaut sécurisés pour l’intégration d’ESXi Active Directory (lien externe)

  
 

        


        

        
        
Affected Products

        PowerFlex rack, PowerFlex Appliance, PowerFlex rack RCM Software







                        

                            

    

        

            

                
                    
 Article Properties

                
            

            

                

                        
Article Number: 000250853

                

                
                

                        
Article Type: How To

                

                

                        
Last Modified: 03 Jan 2026


                

                    

                            
Version:  3

                    


            


        

    

    

        

            

                
                    
Find answers to your questions from other Dell users

                
            

            

                

                    
                



            


        

    

    

        

            

                
                    
Support Services

                
            

            

                

                    Check if your device is covered by Support Services.