PowerFlex: Налаштування загартування безпеки ESXi для інтеграції з ESXi Active Directory

Summary: Група AD «ESX Admins» автоматично отримує роль адміністратора VIM, коли хост ESXi приєднується до домену Active Directory. Примітка: Декілька розширених налаштувань ESXi мають значення за замовчуванням, які за замовчуванням не є безпечними. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Ця стаття стосується всіх версій до ESXi 8.0 U3. 

Декілька розширених налаштувань ESXi мають значення за замовчуванням, які за замовчуванням не є безпечними.

Група AD "ESX Admins" автоматично отримує роль адміністратора VIM, коли ESXi-хост приєднується до домену Active Directory.

Перевірка наявності групи за допомогою наступної команди esxcli system permission list дає результат:

[root@esxifqdn:~] esxcli system permission list
Principal      Is Group  Role   Role Description
-------------  --------  -----  ----------------
yourdomain\esx^admins      true  Admin  Full access rights
cloudadmin        false  Admin  Full access rights
dcui              false  Admin  Full access rights
root              false  Admin  Full access rights
vpxuser           false  Admin  Full access rights

 

Цю проблему виправлено в ESXi 8.0 U3.

Щоб обійти проблему, змініть наступні розширені опції ESXi:

Config.HostAgent.plugins.hostsvc.esxAdminsGroupAutoAdd from true to false
Config.HostAgent.plugins.vimsvc.authValidateInterval from 1440 to 90
Config.HostAgent.plugins.hostsvc.esxAdminsGroup from "ESX Admins" to ""

Якщо ESXi-хост вже був підключений до Active Directory до застосування обхідного рішення, тоді видаліть адміністраторський дозвіл для групи AD ("ESX Admins" за замовчуванням), якщо він існує. Це можна зробити через інтерфейс Host Client UI або за допомогою наступної команди esxcli:

 esxcli system permission unset -i 'yourdomain\esx^admins' --group

  
Вищезазначений крок слід виконати після застосування обхідного рішення.

  
Усі наразі призначені VIM-дозволи можна перевірити через інтерфейс Host Client UI або наведену нижче команду esxcli: 

  

  
esxcli system permission list

  

  
 

  
Група адміністраторів ESX буде додана до хоста з адміністраторськими правами після додавання хоста до Active Directory. Рекомендується змінити ці налаштування перед приєднанням до домену. Ці налаштування діють протягом хвилини. Перезавантаження не потрібне.

  
Дивіться наступну KB Broadcom.
Безпечні стандартні налаштування для інтеграції з ESXi Active Directory (зовнішнє посилання)

  
 

        


        

        
        
Affected Products

        PowerFlex rack, PowerFlex Appliance, PowerFlex rack RCM Software







                        

                            

    

        

            

                
                    
 Article Properties

                
            

            

                

                        
Article Number: 000250853

                

                
                

                        
Article Type: How To

                

                

                        
Last Modified: 03 Jan 2026


                

                    

                            
Version:  3

                    


            


        

    

    

        

            

                
                    
Find answers to your questions from other Dell users

                
            

            

                

                    
                



            


        

    

    

        

            

                
                    
Support Services

                
            

            

                

                    Check if your device is covered by Support Services.