PowerFlex: Einstellungen für die ESXi-Sicherheitshärtung für die ESXi Active Directory-Integration
Summary: Der AD-Gruppe "ESX Admins" wird automatisch die VIM-Admin-Rolle zugewiesen, wenn ein ESXi-Host einer Active Directory-Domain hinzugefügt wird. Hinweis: Mehrere erweiterte ESXi-Einstellungen verfügen über Standardwerte, die standardmäßig nicht sicher sind. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Dieser Artikel bezieht sich auf alle Versionen vor ESXi 8.0 U3.
Mehrere erweiterte ESXi-Einstellungen verfügen über Standardwerte, die standardmäßig nicht sicher sind.
Die AD-Gruppe "ESX Admins" erhält automatisch die VIM-Admin-Rolle, wenn ein ESXi-Host einer Active Directory-Domain hinzugefügt wird.
Die Überprüfung auf das Vorhandensein der Gruppe mit dem folgenden Befehl esxcli system permission list liefert das Ergebnis:
[root@esxifqdn:~] esxcli system permission list
Principal Is Group Role Role Description
------------- -------- ----- ----------------
yourdomain\esx^admins true Admin Full access rights
cloudadmin false Admin Full access rights
dcui false Admin Full access rights
root false Admin Full access rights
vpxuser false Admin Full access rights
Dieses Problem wurde in ESXi 8.0 U3 behoben.
Um das Problem zu umgehen, ändern Sie die folgenden erweiterten ESXi-Optionen:
Config.HostAgent.plugins.hostsvc.esxAdminsGroupAutoAdd from true to false
Config.HostAgent.plugins.vimsvc.authValidateInterval from 1440 to 90
Config.HostAgent.plugins.hostsvc.esxAdminsGroup from "ESX Admins" to "" Wenn der ESXi-Host bereits mit Active Directory verbunden war, bevor der Workaround angewendet wurde, entfernen Sie die Administratorberechtigung für die AD-Gruppe ("ESX Admins" standardmäßig), falls vorhanden. Dies kann über die Benutzeroberfläche des Hostclients oder mit dem folgenden esxcli-Befehl erfolgen:
esxcli system permission unset -i 'yourdomain\esx^admins' --groupDer obige Schritt sollte durchgeführt werden, nachdem der Workaround angewendet wurde.
Alle derzeit zugewiesenen VIM-Berechtigungen können über die Hostclient-Benutzeroberfläche oder den folgenden esxcli-Befehl validiert werden:
esxcli system permission list
Die ESX-Admins-Gruppe wird dem Host mit Administratorrechten hinzugefügt, sobald der Host zu Active Directory hinzugefügt wurde. Es wird empfohlen, diese Einstellungen vor dem Hinzufügen zur Domäne zu ändern. Diese Einstellungen werden innerhalb einer Minute wirksam. Ein Neustart ist nicht erforderlich.
Weitere Informationen finden Sie im folgenden Broadcom Wissensdatenbank-Artikel.
Sichere Standardeinstellungen für die ESXi Active Directory-Integration (externer Link)
Affected Products
PowerFlex rack, PowerFlex Appliance, PowerFlex rack RCM SoftwareArticle Properties
Article Number: 000250853
Article Type: How To
Last Modified: 03 Jan 2026
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.