PowerFlex. Параметры усиления безопасности ESXi для интеграции ESXi с Active Directory

Сводка: Когда хост ESXi присоединяется к домену Active Directory, группе AD автоматически присваивается роль администратора VIM. Примечание. Некоторые расширенные настройки ESXi имеют значения по умолчанию, которые не являются безопасными по умолчанию. ...

Данная статья применяется к Данная статья не применяется к Эта статья не привязана к какому-либо конкретному продукту. В этой статье указаны не все версии продуктов.
Ознакомьтесь с другими ресурсами

Инструкции

Данная статья относится ко всем версиям, предшествующим ESXi 8.0 U3. 

Некоторые расширенные настройки ESXi имеют значения по умолчанию, которые не являются безопасными по умолчанию.

Группа AD "ESX Admins" автоматически получает роль администратора VIM при присоединении хоста ESXi к домену Active Directory.

Проверка наличия группы с помощью команды esxcli system permission list дает результат:

[root@esxifqdn:~] esxcli system permission list
Principal      Is Group  Role   Role Description
-------------  --------  -----  ----------------
yourdomain\esx^admins      true  Admin  Full access rights
cloudadmin        false  Admin  Full access rights
dcui              false  Admin  Full access rights
root              false  Admin  Full access rights
vpxuser           false  Admin  Full access rights

 

Эта проблема устранена в ESXi 8.0 U3.

В качестве временного решения проблемы измените следующие дополнительные параметры ESXi:

Config.HostAgent.plugins.hostsvc.esxAdminsGroupAutoAdd from true to false
Config.HostAgent.plugins.vimsvc.authValidateInterval from 1440 to 90
Config.HostAgent.plugins.hostsvc.esxAdminsGroup from "ESX Admins" to ""

Если хост ESXi уже был присоединен к Active Directory до применения временного решения, удалите разрешение Admin для группы AD ("ESX Admins" по умолчанию), если он существует. Это можно сделать с помощью пользовательского интерфейса клиента хоста или с помощью следующей команды esxcli:

 esxcli system permission unset -i 'yourdomain\esx^admins' --group

  
Описанный выше шаг необходимо выполнить после применения временного решения.

  
Все назначенные на данный момент разрешения VIM можно проверить с помощью пользовательского интерфейса клиента хоста или следующей команды esxcli: 

  

  
esxcli system permission list

  

  
 

  
Группа «Администраторы ESX» будет добавлена на хост с правами администратора после добавления хоста в Active Directory. Рекомендуется изменить эти настройки перед присоединением к домену. Эти настройки вступают в силу в течение минуты. Перезагрузка не требуется.

  
См. следующую статью базы знаний Broadcom.
Безопасные настройки по умолчанию для интеграции ESXi с Active Directory (внешняя ссылка)

  
 

        


        

        
        
Затронутые продукты

        PowerFlex rack, PowerFlex Appliance, PowerFlex rack RCM Software







                        

                            

    

        

            

                
                    
 Свойства статьи

                
            

            

                

                        
Номер статьи: 000250853

                

                
                

                        
Тип статьи: How To

                

                

                        
Последнее изменение: 03 Jan 2026


                

                    

                            
Версия:  3

                    


            


        

    

    

        

            

                
                    
Получите ответы на свои вопросы от других пользователей Dell

                
            

            

                

                    
                



            


        

    

    

        

            

                
                    
Услуги технической поддержки

                
            

            

                

                    Проверьте, распространяются ли на ваше устройство услуги технической поддержки.