严格控制 vCenter Server 管理员特权,以增强系统的安全性。

  • 对 vCenter Server 的完全管理权限应从本地 Windows 管理员帐户移除,并授予特殊用途的本地 vCenter Server 管理员帐户。仅可将完全 vSphere 管理权限授予需要该权限的管理员。请勿将该特权授予其成员未受到严格控制的任何组。

  • 避免允许用户直接登录到 vCenter Server 系统。仅允许要执行合法任务的用户登录到系统,并确保对这些事件进行审核。

  • 使用服务帐户而不是 Windows 帐户安装 vCenter Server。您可以使用服务帐户或 Windows 帐户运行 vCenter Server。使用服务帐户时可以为 SQL Server 启用 Windows 身份验证,这可增强安全性。服务帐户必须是本地计算机上的管理员。

  • 重新启动 vCenter Server 时检查特权重新分配。如果在服务器的根文件夹上分配了管理员角色的用户或用户组无法被验证为有效的用户或组,则管理员特权会被移除并分配给本地 Windows 管理员组。

  • 为 vCenter Server 数据库用户授予最小的特权。数据库用户仅需要特定于数据库访问的某些特权。此外,某些特权仅在进行安装和升级时需要。在安装或升级产品后,可以移除这些特权。