PowerFlex: Impostazioni di protezione avanzata della sicurezza ESXi per l'integrazione di ESXi Active Directory
Summary: Al gruppo AD "ESX Admins" viene assegnato automaticamente il ruolo di amministratore VIM quando un host ESXi viene aggiunto a un dominio Active Directory. Nota: Diverse impostazioni avanzate ESXi hanno valori predefiniti che non sono sicuri per impostazione predefinita. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Questo articolo si riferisce a tutte le versioni precedenti a ESXi 8.0 U3.
Diverse impostazioni avanzate ESXi hanno valori predefiniti che non sono sicuri per impostazione predefinita.
Il gruppo AD "ESX Admins" viene assegnato automaticamente il ruolo di amministratore VIM quando un host ESXi viene aggiunto a un dominio Active Directory.
Il risultato è se si verifica la presenza del gruppo utilizzando il seguente comando esxcli system permission list:
[root@esxifqdn:~] esxcli system permission list
Principal Is Group Role Role Description
------------- -------- ----- ----------------
yourdomain\esx^admins true Admin Full access rights
cloudadmin false Admin Full access rights
dcui false Admin Full access rights
root false Admin Full access rights
vpxuser false Admin Full access rights
Questo problema è stato risolto in ESXi 8.0 U3.
Per risolvere il problema in modo alternativo, modificare le seguenti opzioni avanzate di ESXi:
Config.HostAgent.plugins.hostsvc.esxAdminsGroupAutoAdd from true to false
Config.HostAgent.plugins.vimsvc.authValidateInterval from 1440 to 90
Config.HostAgent.plugins.hostsvc.esxAdminsGroup from "ESX Admins" to "" Se l'host ESXi era già stato aggiunto ad Active Directory prima dell'applicazione della soluzione alternativa, rimuovere l'autorizzazione amministratore per il gruppo AD ("ESX Admins" per impostazione predefinita) se esiste. Questa operazione può essere eseguita tramite l'interfaccia utente del client host o con il seguente comando esxcli:
esxcli system permission unset -i 'yourdomain\esx^admins' --groupIl passaggio precedente deve essere eseguito dopo l'applicazione della soluzione alternativa.
Tutte le autorizzazioni VIM attualmente assegnate possono essere convalidate tramite l'interfaccia utente del client host o il seguente comando esxcli:
esxcli system permission list
Il gruppo ESX Admins verrà aggiunto all'host con privilegi di amministratore una volta che l'host viene aggiunto ad Active Directory. Si consiglia di modificare queste impostazioni prima di aggiungere il dominio. Queste impostazioni hanno effetto entro un minuto. Non è necessario riavviare il sistema.
Vedere la seguente Knowledge Base di Broadcom.
Impostazioni predefinite sicure per l'integrazione di ESXi Active Directory (link esterno)
Affected Products
PowerFlex rack, PowerFlex Appliance, PowerFlex rack RCM SoftwareArticle Properties
Article Number: 000250853
Article Type: How To
Last Modified: 03 Jan 2026
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.