我一直在将我们的 ESXi 主机加入 AD 域,并注意到组“ESX_Admin”已自动添加到 ESXi 主机上的权限中。
我在 Active Directory 用户和计算机中找到了 ESX_Admin,但没有看到加入时自动将其添加到 ESXi 主机的策略。
有人能给我指明正确的方向吗?谢谢。
答案1
虽然这是一篇较旧的帖子,但已更新了当前发布的信息。有关该组及其使用方式的详细信息可在此处找到https://kb.vmware.com/s/article/1025569
选定的信息(重点是我的):
默认情况下,加入 AD 域的 ESX/ESXi 4.1 和 ESXi 5.x/6.x 主机会向域查询 ESX 管理员组,并此行为不可配置。
如果不希望出现这种行为,KB 确实包含一些关于如何应对该行为的建议(以下是我自己的建议),尽管 KB 主要针对如果组不在 AD 中则生成的系统日志条目,但其中包含的信息应该足以满足您的需要。
如果您希望更改查询的默认组,可以在此处找到该过程:https://www.stigviewer.com/stig/vmware_vsphere_esxi_6.0/2016-06-07/finding/V-63247,部分精选内容:
PowerCLI:
Get-VMHost | Get-AdvancedSetting -Name Config.HostAgent.plugins.hostsvc.esxAdminsGroup | Set-AdvancedSetting -Value "<anything but ESX_Admins>"
图形用户界面(GUI):
Configuration >> Advanced Settings. Select the Config.HostAgent.plugins.hostsvc.esxAdminsGroup value and verify it is not set to "ESX Admins".
无论如何,这是 ESX (vSphere Hypervisor) 的一个“功能”,不是Active Directory,它至少可以追溯到 4.0。现在,因为它是一个众所周知的组(至少我相信它被认为是这样的),我更愿意将其保留为空,其成员资格经过审核和绊网,并且其成员属性的权限被锁定。相反,我使用自定义组来授予对主机的管理访问权限。
坦率地说,我做的第一件事就是将其加入域,并改变默认行为每次重新映像或修复主机对我来说似乎有点徒劳无功,而且浪费时间。这就是为什么我宁愿接受默认行为并在 Active Directory 中保护组的原因。理论上,这只需要进行一次更改(并且正如 KB 中指出的那样,确实消耗了最少的管理工作)。不过,请注意,这种做法对于任何有安全意识的审计人员来说可能都是禁忌(正如我链接的第二篇文章所指出的那样),但最终我觉得这是一个更好的流程,并且任何审计人员都很容易接受。