PowerFlex: Configurações de reforço de segurança do ESXi para integração do Active Directory do ESXi

Summary: O grupo do AD "ESX Admins" recebe automaticamente a função VIM Admin quando um host do ESXi ingressa em um domínio do Active Directory. Nota: Várias configurações avançadas do ESXi têm valores padrão que não são seguros por padrão. ...

Acest articol se aplică pentru Acest articol nu se aplică pentru Acest articol nu este legat de un produs specific. Acest articol nu acoperă toate versiunile de produs existente.
Consultați alte resurse

Instructions

Este artigo refere-se a todas as versões anteriores ao ESXi 8.0 U3. 

Várias configurações avançadas do ESXi têm valores padrão que não são seguros por padrão.

O grupo AD "ESX Admins" recebe automaticamente a função VIM Admin quando um host do ESXi ingressa em um domínio do Active Directory.

Verificar a presença do grupo usando o seguinte comando esxcli system permission list fornece o resultado:

[root@esxifqdn:~] esxcli system permission list
Principal      Is Group  Role   Role Description
-------------  --------  -----  ----------------
yourdomain\esx^admins      true  Admin  Full access rights
cloudadmin        false  Admin  Full access rights
dcui              false  Admin  Full access rights
root              false  Admin  Full access rights
vpxuser           false  Admin  Full access rights

 

Esse problema foi corrigido no ESXi 8.0 U3.

Para solucionar temporariamente o problema, altere as seguintes opções avançadas do ESXi:

Config.HostAgent.plugins.hostsvc.esxAdminsGroupAutoAdd from true to false
Config.HostAgent.plugins.vimsvc.authValidateInterval from 1440 to 90
Config.HostAgent.plugins.hostsvc.esxAdminsGroup from "ESX Admins" to ""

Se o host do ESXi já tiver ingressado no Active Directory antes da aplicação da solução temporária, remova a permissão de administrador do grupo do AD ("ESX Admins" por padrão), se existir. Isso pode ser feito por meio da interface do usuário do Host Client ou com o seguinte comando esxcli:

 esxcli system permission unset -i 'yourdomain\esx^admins' --group

  
A etapa acima deve ser feita depois que a solução temporária for aplicada.

  
Todas as permissões de VIM atribuídas atualmente podem ser validadas por meio da interface do usuário do Host Client ou do comando esxcli abaixo: 

  

  
esxcli system permission list

  

  
 

  
O grupo ESX Admins será adicionado ao host com privilégios de administrador assim que o host for adicionado ao Active Directory. É recomendável alterar essas configurações antes de ingressar no domínio. Essas configurações entram em vigor dentro de um minuto. Não é necessário reinicializar.

  
Consulte o seguinte artigo da KB da Broadcom.
Secure Default Settings for ESXi Active Directory Integration (Link externo)

  
 

        


        

        
        
Produse afectate

        PowerFlex rack, PowerFlex Appliance, PowerFlex rack RCM Software







                        

                            

    

        

            

                
                    
 Proprietăți articol

                
            

            

                

                        
Article Number: 000250853

                

                
                

                        
Article Type: How To

                

                

                        
Ultima modificare: 03 ian. 2026


                

                    

                            
Version:  3

                    


            


        

    

    

        

            

                
                    
Găsiți răspunsuri la întrebările dvs. de la alți utilizatori Dell

                
            

            

                

                    
                



            


        

    

    

        

            

                
                    
Servicii de asistență

                
            

            

                

                    Verificați dacă dispozitivul dvs. este acoperit de serviciile de asistență.