PowerFlex. Параметры усиления безопасности ESXi для интеграции ESXi с Active Directory

Summary: Когда хост ESXi присоединяется к домену Active Directory, группе AD автоматически присваивается роль администратора VIM. Примечание. Некоторые расширенные настройки ESXi имеют значения по умолчанию, которые не являются безопасными по умолчанию. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Данная статья относится ко всем версиям, предшествующим ESXi 8.0 U3. 

Некоторые расширенные настройки ESXi имеют значения по умолчанию, которые не являются безопасными по умолчанию.

Группа AD "ESX Admins" автоматически получает роль администратора VIM при присоединении хоста ESXi к домену Active Directory.

Проверка наличия группы с помощью команды esxcli system permission list дает результат:

[root@esxifqdn:~] esxcli system permission list
Principal      Is Group  Role   Role Description
-------------  --------  -----  ----------------
yourdomain\esx^admins      true  Admin  Full access rights
cloudadmin        false  Admin  Full access rights
dcui              false  Admin  Full access rights
root              false  Admin  Full access rights
vpxuser           false  Admin  Full access rights

 

Эта проблема устранена в ESXi 8.0 U3.

В качестве временного решения проблемы измените следующие дополнительные параметры ESXi:

Config.HostAgent.plugins.hostsvc.esxAdminsGroupAutoAdd from true to false
Config.HostAgent.plugins.vimsvc.authValidateInterval from 1440 to 90
Config.HostAgent.plugins.hostsvc.esxAdminsGroup from "ESX Admins" to ""

Если хост ESXi уже был присоединен к Active Directory до применения временного решения, удалите разрешение Admin для группы AD ("ESX Admins" по умолчанию), если он существует. Это можно сделать с помощью пользовательского интерфейса клиента хоста или с помощью следующей команды esxcli:

 esxcli system permission unset -i 'yourdomain\esx^admins' --group

  
Описанный выше шаг необходимо выполнить после применения временного решения.

  
Все назначенные на данный момент разрешения VIM можно проверить с помощью пользовательского интерфейса клиента хоста или следующей команды esxcli: 

  

  
esxcli system permission list

  

  
 

  
Группа «Администраторы ESX» будет добавлена на хост с правами администратора после добавления хоста в Active Directory. Рекомендуется изменить эти настройки перед присоединением к домену. Эти настройки вступают в силу в течение минуты. Перезагрузка не требуется.

  
См. следующую статью базы знаний Broadcom.
Безопасные настройки по умолчанию для интеграции ESXi с Active Directory (внешняя ссылка)

  
 

        


        

        
        
Affected Products

        PowerFlex rack, PowerFlex Appliance, PowerFlex rack RCM Software







                        

                            

    

        

            

                
                    
 Article Properties

                
            

            

                

                        
Article Number: 000250853

                

                
                

                        
Article Type: How To

                

                

                        
Last Modified: 03 Jan 2026


                

                    

                            
Version:  3

                    


            


        

    

    

        

            

                
                    
Find answers to your questions from other Dell users

                
            

            

                

                    
                



            


        

    

    

        

            

                
                    
Support Services

                
            

            

                

                    Check if your device is covered by Support Services.