默认情况下,加入到 AD 域的 ESX/ESXi 4.1 和 ESXi 5.0 主机会查询该域中是否存在 ESX Admins 组,且此行为无法配置。如果 AD 中存在该组,则会允许该主机上的管理员角色和该组中的任何用户帐户获得对该主机的完全管理权限,并可通过 SSH 登录到该主机。
如果需要此行为,请在 AD 域中创建 ESX Admins 组,并在该组中填充应向主机授予管理访问权限的用户帐户或组。另外,也可以向主机授予具有相应访问权限的其他 AD 用户帐户和组。
如果不需要向 ESX Admins 组中的用户帐户或组授予管理员角色,请尝试使用以下选项之一。
- 在 AD 中移除或不创建 ESX Admins 组。授予具有相应角色的其他 AD 帐户/组。但是,您会继续在 ESX/ESXi 主机上的 /var/log/messages 或 /var/log/syslog.log 文件中看到日志涌出消息。
- 将分配给 ESX Admins 组的角色从管理员更改为无权访问。授予具有相应角色的其他 AD 帐户/组。在这种情况下,ESX Admins 组中的任何用户帐户均无法访问 ESX/ESXi 主机。同时,请确保需要访问(管理或其他方式)主机的所有用户已从 ESX Admins 组中移除。
- 向 ESX Admins 组中分配管理员角色,但请确保此组中不存在任何用户帐户或组。授予具有相应角色的 AD 帐户/组。这一操作所需的管理工作量最低,但必须确保之后不会向 ESX Admins 组中添加用户帐户或组。