PowerFlex：适用于 ESXi Active Directory 集成的 ESXi 安全强化设置

本文涉及 ESXi 8.0 U3 之前的所有版本。 

一些 ESXi 高级设置具有默认不安全的默认值。

AD 组”ESX Admins" 当 ESXi 主机加入 Active Directory 域时，会自动获得 VIM 管理员角色。

使用以下命令 esxcli system permission list 检查是否存在该组，结果如下：

[root@esxifqdn:~] esxcli system permission list
Principal      Is Group  Role   Role Description
-------------  --------  -----  ----------------
yourdomain\esx^admins      true  Admin  Full access rights
cloudadmin        false  Admin  Full access rights
dcui              false  Admin  Full access rights
root              false  Admin  Full access rights
vpxuser           false  Admin  Full access rights

此问题已在 ESXi 8.0 U3 中得到修复。

要解决此问题，请更改以下 ESXi 高级选项：

Config.HostAgent.plugins.hostsvc.esxAdminsGroupAutoAdd from true to false
Config.HostAgent.plugins.vimsvc.authValidateInterval from 1440 to 90
Config.HostAgent.plugins.hostsvc.esxAdminsGroup from "ESX Admins" to "" 

如果在应用解决方法之前 ESXi 主机已加入 Active Directory，则删除 AD 组的管理员权限 （”ESX Admins“（如果存在）。这可以通过 Host Client UI 或使用以下 esxcli 命令完成：

 esxcli system permission unset -i 'yourdomain\esx^admins' --group

上述步骤应在应用解决方法后执行。

当前分配的所有 VIM 权限都可以通过主机客户端 UI 或以下 esxcli 命令进行验证： 

esxcli system permission list

将主机添加到 Active Directory 后，ESX 管理员组将添加到具有管理员权限的主机。建议在加入域之前更改这些设置。这些设置会在一分钟内生效。无需重新启动。

请参阅以下 Broadcom 知识库文章。
ESXi Active Directory 集成的安全默认设置（外部链接）