PowerFlex：ESXi Active Directory 整合專用的 ESXi 安全性強化設定

本文涉及 ESXi 8.0 U3 之前的所有版本。 

默認情況下，多個ESXi高級設置的預設值不安全。

AD集團”ESX Admins" 當 ESXi 主機加入 Active Directory 網域時，會自動指定 VIM 管理員角色。

使用下列命令 esxcli 系統權限清單檢查群組是否存在時，會得到結果：

[root@esxifqdn:~] esxcli system permission list
Principal      Is Group  Role   Role Description
-------------  --------  -----  ----------------
yourdomain\esx^admins      true  Admin  Full access rights
cloudadmin        false  Admin  Full access rights
dcui              false  Admin  Full access rights
root              false  Admin  Full access rights
vpxuser           false  Admin  Full access rights

此問題已在 ESXi 8.0 U3 中修正。

若要解決此問題，請變更下列 ESXi 進階選項：

Config.HostAgent.plugins.hostsvc.esxAdminsGroupAutoAdd from true to false
Config.HostAgent.plugins.vimsvc.authValidateInterval from 1440 to 90
Config.HostAgent.plugins.hostsvc.esxAdminsGroup from "ESX Admins" to "" 

如果在套用因應措施之前，ESXi 主機已加入 Active Directory，請移除 AD 群組的管理員權限 （」ESX Admins“，如果存在。這可以透過主機用戶端 UI 或使用下列 esxcli 命令完成：

 esxcli system permission unset -i 'yourdomain\esx^admins' --group

上述步驟應在應用變通辦法後完成。

所有目前指派的 VIM 權限都可透過主機用戶端 UI 或以下 esxcli 命令進行驗證： 

esxcli system permission list

將主機新增至 Active Directory 後，ESX 管理員群組會新增至具有管理員權限的主機。建議您在加入域之前更改這些設置。這些設置會在一分鐘內生效。不需要重新開機。

請參閱下列 Broadcom 知識文章。
ESXi Active Directory 整合的安全預設設定 （外部連結）