了解如何管理分组为安全主机配置文件一部分的角色配置文件、用户帐户配置文件、锁定模式配置文件和 Active Directory 权限配置文件。从 vSphere 8.0 开始,具有 ESXi Shell 访问权限和管理员角色的用户可以移除或授予用户帐户 ESXi Shell 访问权限。
可以配置属于安全配置文件一部分的主机配置文件选项。
前提条件
请确保您可使用 SecurityConfigProfile 插件来验证角色、用户帐户和 Active Directory 权限配置文件,因为它们之间具有依赖关系。
过程
- 在 vSphere Client 中,选择。
- 在策略和配置文件下,单击主机配置文件。
- 选择要编辑的主机配置文件,然后单击配置选项卡。
- 单击编辑主机配置文件。
- 展开安全和服务 > 安全设置配置文件类别,然后打开安全文件夹。
此时将显示以下配置文件:
| 角色 |
此配置文件使您能够查看默认角色,并在 ESXi 系统内添加自定义角色。 |
| 用户配置 |
此配置文件使您能够创建并管理用户帐户。 默认情况下,新创建的用户帐户具有 ESXi Shell 访问权限。从 vSphere 8.0 开始,管理员可以使用高级选项 Security.DefaultShellAccess 更改此默认行为。 下面是一些可以对用户帐户执行的操作:
|
| Active Directory 权限 |
此配置文件使您能够管理 Active Directory 用户或组的权限。例如,您可以创建将 Active Directory 用户或组与角色关联的权限。 当 ESXi 主机加入 Active Directory 域时,会为 DOMAIN 组 ESX Admins 创建管理员权限。此外,当 Active Directory 用户或组在 ESXi 主机上获得某些权限时,将在该主机上创建相应的权限。Active Directory 权限配置文件将捕获该权限。 |
| 锁定模式 |
使用此配置文件,您可以通过限制用户权限和特权来提高 ESXi 主机的安全性。
您可以配置以下锁定模式设置:
- 正常锁定模式:可以从本地控制台和 vCenter Server 访问 ESXi 主机。DCUI 服务未停止。
- 严格锁定模式:只能从 vCenter Server 访问 ESXi 主机。DCUI 服务停止。
- 异常用户:无论锁定模式状态为何,均具有其权限的用户。
|
有关安全配置文件的详细信息,请参见《vSphere 安全性》文档。
