加入域時自動添加使用者/組
我一直在將我們的 ESXi 主機加入 AD 域,並註意到組“ESX_Admin”被自動添加到 ESXi 主機上的權限中。
我在 Active Directory 使用者和電腦中找到了 ESX_Admin,但沒有看到在加入時自動將其添加到 ESXi 主機的策略。
誰能指出我正確的方向?謝謝。
雖然它是較舊的文章,但已使用目前發布資訊進行了更新。可以在此處找到有關該組及其使用方式的詳細資訊https://kb.vmware.com/s/article/1025569
選定資訊(重點是我的):
預設情況下,加入 AD 域的 ESX/ESXi 4.1 和 ESXi 5.x/6.x 主機會在域中查詢 ESX Admins 組,並且此行為不可配置。
KB 確實包含一些關於如何處理這種行為的建議,如果它是不受歡迎的(我自己的建議如下),儘管 KB 主要針對如果組不存在於 AD 中生成的 syslog 條目,包含的資訊應該證明足以滿足您的需求。
如果您要更改查詢的預設組,可以在此處找到該過程:https ://www.stigviewer.com/stig/vmware_vsphere_esxi_6.0/2016-06-07/finding/V-63247 ,一些精選亮點:
電源命令行:
Get-VMHost | Get-AdvancedSetting -Name Config.HostAgent.plugins.hostsvc.esxAdminsGroup | Set-AdvancedSetting -Value "<anything but ESX_Admins>"GUI:
Configuration >> Advanced Settings. Select the Config.HostAgent.plugins.hostsvc.esxAdminsGroup value and verify it is not set to "ESX Admins".無論如何,這是 ESX(vSphere Hypervisor)的“功能”,而不是Active Directory,它至少可以追溯到 4.0。現在,因為它是一個眾所周知的團體(至少我相信它被認為是這樣的),我更願意將其保留為空,對其成員進行審核和絆線,並對其成員屬性的權限進行鎖定。相反,我使用自定義組來授予對主機的管理訪問權限。
坦率地說,我做的第一件事就是將它加入到域中,並且每次我重新映像或修復主機時更改預設行為對我來說似乎有點呆板且浪費時間。這就是為什麼我更願意接受預設行為並保護 Active Directory 中的組。從理論上講,這只需要進行一次更改(正如 KB 中所指出的,確實消耗最少的管理工作量)。雖然,請注意,這種做法可能對任何具有安全意識的審計員都是禁忌(正如我連結的第二篇文章中所指出的那樣),但最後我覺得它是一個更好的過程,並且對任何審計員來說都很容易證明是合理的。