VMware: Qual é a diferença entre o modo de bloqueio normal e estrito para hosts do ESXi

O modo de bloqueio é configurado de duas maneiras:

• Modo de bloqueio normal 
• Modo de bloqueio estrito

Nota: Por padrão, o modo de bloqueio está desativado. O modo de bloqueio é ativado usando o vSphere Client ao criar um host do ESXi ou modificar o perfil de segurança de um host existente.

Modo de bloqueio normal:
No modo de bloqueio normal, os usuários listados na configuração do sistema avançado DCUI Access podem fazer login na DCUI (Direct Console User Interface). Por estarem nessa lista, os usuários têm acesso de emergência à DCUI se a conexão com o vCenter Server for perdida. Esses usuários não precisam de privilégios administrativos no host. DCUI não administrativa. Os usuários de acesso só podem desativar ou habilitar o bloqueio.

O que acontece quando o modo de bloqueio normal está ativado em um host do ESXi?

• O host é acessado somente pelo vCenter Server, por exemplo, usando o vSphere Client.
• O acesso à DCUI é restrito a determinados usuários: Os usuários na lista Exception Users, mas eles devem ter privilégios de administrador, Users which which são definidos na DCUI. Acessar a configuração avançada do sistema.
• Por padrão, o usuário root é definido nessa configuração.
• Nonadministrative Os usuários também são definidos nessa configuração.
• Nonadministrative Os usuários só podem ativar ou desativar o modo de bloqueio.
• Se os serviços SSH e vSphere ESXi Shell estiverem ativados, os usuários com privilégios de administrador que estão na lista Exception Users poderão fazer log-in no host diretamente usando SSH ou o shell local do vSphere ESXi. 

Modo de bloqueio estrito:
Para que o modo de bloqueio estrito ou normal seja uma medida de segurança eficaz, certifique-se de que os serviços SSH e shell do vSphere ESXi estejam desativados. Se o vCenter Server não estiver disponível, o vSphere Client também não estará disponível. Hosts que estão no modo de bloqueio estrito não são gerenciáveis.

O que acontece quando o modo de bloqueio estrito é ativado em um host do ESXi?

• O host é acessado somente pelo vCenter Server, por exemplo, usando o vSphere Client.
• O serviço DCUI está desativado e não pode ser iniciado. Nenhum usuário pode fazer log-in na DCUI.
• Se os serviços SSH e vSphere ESXi Shell estiverem ativados, os usuários com privilégios de administrador que estão na lista Exception Users poderão fazer log-in no host diretamente usando SSH ou o shell local do vSphere ESXi.

Veja o artigo relacionado:
Como ativar ou desativar o Modo de bloqueio em um host do VMware vSphere ESXi .