Hier erfahren Sie, wie Sie Rollenprofile, Benutzerkontoprofile, Sperrmodusprofile und Active Directory-Berechtigungsprofile verwalten, die im Rahmen des Hostprofils für Sicherheit gruppiert sind. Ab vSphere 8.0 können Benutzer mit Zugriff auf die ESXi Shell und die Administratorrolle ESXi Shell-Zugriff auf Benutzerkonten entfernen oder gewähren.
Sie können die Hostprofiloptionen, die Teil des Sicherheitsprofils sind, konfigurieren.
Voraussetzungen
Vergewissern Sie sich, dass Sie über das SecurityConfigProfile-Plug-In verfügen, um die Rollen-, Benutzerkonten- und Active Directory-Berechtigungsprofile zu prüfen, da Abhängigkeiten zwischen diesen Profilen bestehen.
Prozedur
- Wählen Sie im vSphere Client die Option aus.
- Klicken Sie unter Richtlinien und Profile auf Hostprofile.
- Wählen Sie das Hostprofil aus, das Sie bearbeiten möchten, und klicken Sie auf die Registerkarte Konfigurieren.
- Klicken Sie auf Hostprofil bearbeiten.
- Erweitern Sie die Profilkategorie Sicherheit und Dienste > Sicherheitseinstellungen und öffnen Sie den Ordner Sicherheit.
Die folgenden Profile werden angezeigt:
Rolle |
Mit diesem Profil können Sie innerhalb des ESXi-Systems Standardrollen anzeigen und benutzerdefinierte Rollen hinzufügen. |
Benutzerkonfiguration |
Dieses Profil ermöglicht Ihnen das Erstellen und Verwalten von Benutzerkonten. Standardmäßig haben neu erstellte Benutzerkonten Zugriff auf die ESXi Shell. Ab vSphere 8.0 können Administratoren die erweiterte Option Security.DefaultShellAccess verwenden, um dieses Standardverhalten zu ändern. Nachfolgend werden einige Vorgänge geschildert, die Sie für Benutzerkonten ausführen können:
|
Active Directory-Berechtigung |
Mit diesem Profil können Sie Berechtigungen für Active Directory-Benutzer oder -Gruppen verwalten. Sie können z. B. Berechtigungen erstellen, die einen Active Directory-Benutzer oder eine Active Directory-Gruppe mit einer Rolle verknüpft. Wenn ein ESXi-Host einer Active Directory-Domäne beitritt, wird für die DOMAIN-Gruppe ESX Admins eine Administratorberechtigung erstellt. Wenn dem Active Directory-Benutzer oder der Active Directory-Gruppe einige Berechtigungen auf dem ESXi-Host erteilt werden, wird eine entsprechende Berechtigung auf diesem Host erstellt. Das Active Directory-Berechtigungsprofil erfasst diese Berechtigung. |
Sperrmodus |
Mit diesem Profil können Sie die Sicherheit Ihrer ESXi-Hosts erhöhen, indem Sie die Benutzerberechtigungen und -rechte einschränken.
Sie können die folgenden Sperrmoduseinstellungen konfigurieren:
- Normaler Sperrmodus: Auf einen ESXi-Host kann von einer lokalen Konsole und vCenter Server aus zugegriffen werden. DCUI-Dienst wird nicht angehalten.
- Strenger Sperrmodus: Auf einen ESXi-Host kann nur über vCenter Server zugegriffen werden. Der DCUI-Dienst wird beendet.
- Ausnahme für Benutzer: die Benutzer, die weiterhin über ihre Berechtigungen verfügen, unabhängig vom Status des Sperrmodus.
|
Weitere Informationen zum Sicherheitsprofil finden Sie in der Dokumentation vSphere-Sicherheit.