Я был в процессе присоединения наших хостов ESXi к домену AD и заметил, что группа «ESX_Admin» автоматически добавляется в разрешения на хостах ESXi.
Я нашел ESX_Admin в Active Directory Users and Computers, но не вижу политики для автоматического добавления его на хосты ESXi при присоединении.
Может кто-то указать мне верное направление? Спасибо.
Хотя это более старый пост, в него добавлена информация о текущем выпуске. Подробную информацию о группе и способах ее использования можно найти здесь. https://kb.vmware.com/s/article/1025569
Избранная информация (выделено мной):
По умолчанию хост ESX / ESXi 4.1 и ESXi 5.x / 6.x, присоединенный к домену AD, запрашивает домен для группы администраторов ESX и это поведение не настраивается.
База знаний действительно содержит некоторые предложения относительно того, как справиться с этим поведением, если оно нежелательно (мое собственное предложение следует), хотя база знаний в основном ориентирована на записи системного журнала, созданные, если группа отсутствует в AD, включенная информация должна доказать достаточно для ваших нужд.
Если вы хотите изменить запрашиваемую группу по умолчанию, этот процесс можно найти здесь: https://www.stigviewer.com/stig/vmware_vsphere_esxi_6.0/2016-06-07/finding/V-63247, некоторые избранные основные моменты:
PowerCLI:
Get-VMHost | Get-AdvancedSetting -Name Config.HostAgent.plugins.hostsvc.esxAdminsGroup | Set-AdvancedSetting -Value "<anything but ESX_Admins>"
GUI:
Configuration >> Advanced Settings. Select the Config.HostAgent.plugins.hostsvc.esxAdminsGroup value and verify it is not set to "ESX Admins".
В любом случае это «особенность» ESX (гипервизор vSphere), не Active Directory, и он восходит как минимум к 4.0. Теперь, поскольку это хорошо известная группа (по крайней мере, я считаю, что она считается таковой), я предпочитаю оставлять ее пустой, ее членство проверено и подключено, а права доступа к ее атрибуту members заблокированы. Вместо этого я использую настраиваемую группу для предоставления административного доступа к хостам.
Честно говоря, одно из первых, что я делаю, - это присоединяю его к домену и изменяю поведение по умолчанию. каждый раз Повторное изображение или исправление хоста кажется мне немного сизифом и пустой тратой времени. Вот почему я предпочитаю принять поведение по умолчанию и защитить группу в Active Directory. Теоретически для этого требуется всего одно изменение (и, как указано в базе знаний, требуется минимум административных усилий). Хотя, имейте в виду, что такая практика может быть недопустимой для любых аудиторов, ориентированных на безопасность (как указано во второй статье, на которую я ссылался), но в конце концов я считаю, что это лучший процесс и легко оправданный для любых аудиторов.