Автоматическое добавление пользователя / группы при присоединении к домену
Я был в процессе присоединения наших хостов ESXi к домену AD и заметил, что группа «ESX_Admin» автоматически добавляется в разрешения на хостах ESXi.
Я обнаружил ESX_Admin в Active Directory Users and Computers, но не вижу политики для автоматического добавления его к хостам ESXi при присоединении.
Может ли кто-нибудь указать мне правильное направление? Спасибо.
Ndërsa është një postim i vjetër, ai është azhurnuar me informacionin aktual të lëshimit. Detajet në lidhje me grupin dhe mënyrën e përdorimit të tij mund të gjenden këtu https://kb.vmware.com/s/article/1025569
Informacioni i zgjedhur (theksimi im):
Si parazgjedhje, një ESX / ESXi 4.1 dhe ESXi 5.x / 6.x host u bashkuan në një fushë AD kërkon domain për grupin ESX Admins dhe kjo sjellje nuk është e rregullueshme .
KB përmban disa sugjerime sesi të përballesh me këtë sjellje nëse është e padëshirueshme (sugjerimi im vijon më tej), megjithëse KB kryesisht i përshtatet shënimeve të syslog të krijuara nëse grupi nuk është i pranishëm në AD, informacioni i përfshirë duhet të tregojë i mjaftueshëm për nevojat tuaja.
Nëse po kërkoni të ndryshoni grupin e parazgjedhur që pyetet, ai proces mund të gjendet këtu: https://www.stigviewer.com/stig/vmware_vsphere_esxi_6.0/2016-06-07/finding/V -63247 , disa nga pikat kryesore të zgjedhura:
PowerCLI:
Get-VMHost | Get-AdvancedSetting -Name Config.HostAgent.plugins.hostsvc.esxAdminsGroup | Set-AdvancedSetting -Value "<anything but ESX_Admins>"
GUI:
Configuration >> Advanced Settings. Select the Config.HostAgent.plugins.hostsvc.esxAdminsGroup value and verify it is not set to "ESX Admins".
Në çdo rast, kjo është një "veçori" e ESX (vSphere Hypervisor), jo Active Directory, dhe ajo shkon sërish në të paktën 4.0. Tani, për shkak se është një grup i mirënjohur (të paktën besoj se konsiderohet i tillë), preferoj ta mbaj atë bosh, anëtarësinë e tij të kontrollohet dhe të trefishohet, dhe leja për tiparin e anëtarëve të tij të mbyllur. Në vend të kësaj, unë përdor një grup të personalizuar për t'u dhënë qasje administrative hostëve.
Sinqerisht, një nga gjërat e para që bëj është ta bashkoj atë në domen, dhe duke ndryshuar sjelljen e paracaktuar çdo herë Unë jam -imazhi ose sanimi i nikoqirit më duket pak sizifan dhe humbje kohe. Kjo është arsyeja pse unë preferoj të pranoj sjelljen e paracaktuar dhe të siguroj grupin në Active Directory. Në teori, kjo kërkon vetëm një ndryshim të vetëm (dhe siç është theksuar në KB, kërkon më pak përpjekje administrative). Megjithëse, paralajmëroni se kjo praktikë mund të jetë një jo-për asnjë auditor me mendje sigurie (siç u theksua në artikullin e dytë që lidha), por në fund të fundit unë ndiej një proces më të mirë dhe lehtësisht të justifikueshëm për çdo auditor.