瞭解如何管理分組為安全性主機設定檔一部分的角色設定檔、使用者帳戶設定檔、鎖定模式設定檔和 Active Directory 權限設定檔。從 vSphere 8.0 開始,具有 ESXi Shell 存取權和管理員角色的使用者可以移除或授與對使用者帳戶的 ESXi Shell 存取權。

您可以設定主機設定檔選項 (安全性設定檔的一部分)。

必要條件

確保您有 SecurityConfigProfile 外掛程式可用於驗證角色、使用者帳戶和 Active Directory 權限設定檔,因為它們之間存在相依性。

程序

  1. vSphere Client 中,選取功能表 > 原則和設定檔
  2. 原則和設定檔下,按一下主機設定檔
  3. 選取要編輯的主機設定檔,然後按一下設定索引標籤。
  4. 按一下編輯主機設定檔
  5. 展開安全性和服務 > 安全性設定設定檔類別,然後開啟安全性資料夾。
    隨即會顯示以下設定檔:
    角色

    此設定檔可讓您檢視預設角色,並新增 ESXi系統內的自訂角色。

    使用者組態

    此設定檔可讓您建立和管理使用者帳戶。

    依預設,新建立的使用者帳戶具有 ESXi Shell 存取權。從 vSphere 8.0 開始,管理員可以使用進階選項 Security.DefaultShellAccess 變更此預設行為。

    以下是一些您可以為使用者帳戶執行的作業:

    • 建立使用者帳戶。
    • 設定使用者帳戶的密碼。
    • 為根使用者設定密碼。
    • 啟用或停用使用者帳戶 ESXi Shell 存取權。
      備註: 請勿修改根使用者帳戶的 shell 存取內容。
    • 為任何使用者設定非預設角色。
    • 指派本機帳戶的預設角色或自訂角色 (設定權限)。
    • 為任何使用者設定 SSH 金鑰。
    Active Directory 權限

    此設定檔可讓您管理 Active Directory 使用者或群組的權限。例如,您可以建立將 Active Directory 使用者或群組與角色相關聯的權限。

    當 ESXi 主機加入 Active Directory 網域中時,會為 DOMAIN 群組 ESX Admins 建立管理員權限。此外,當在ESXi主機上授與 Active Directory 使用者或群組某些權限時,會在該主機上建立對應權限。Active Directory 權限設定檔會擷取該權限。

    鎖定模式

    此設定檔可讓您透過限制使用者的權限和特景權限,來提高 ESXi主機的安全性。

    您可以設定下列鎖定模式設定:
    • 一般鎖定模式:可以從本機主控台和 vCenter Server存取ESXi 主機。DCUI 服務未停止。
    • 嚴格鎖定模式:只能從 vCenter Server存取ESXi 主機。DCUI 服務已停止。
    • 例外使用者:無論鎖定模式狀態為何,使用者仍具有其權限。

    如需安全性設定檔的詳細資訊,請參閱《vSphere 安全性》說明文件。