使用具有 ESX/ESXi 4.1 和 ESXi 5.0 域成员资格和用户身份验证的 ESX Admins AD 组
Article ID: 343636
Updated On:
Products
VMware vSphere ESXi
Issue/Introduction
本文提供使用 ESX Admins AD 组的信息并介绍向 ESX/ESXi 主机授予 AD 用户/组访问权限的备选方法。
Symptoms:
免责声明:本文为 Using the ESX Admins AD group with ESX/ESXi 4.1 and ESXi 5.0 domain membership and user authentication (1025569) 的翻译版本。尽管我们会不断努力为本文提供最佳翻译版本,但本地化的内容可能会过时。有关最新内容,请参见英文版本。
Symptoms:
免责声明:本文为 Using the ESX Admins AD group with ESX/ESXi 4.1 and ESXi 5.0 domain membership and user authentication (1025569) 的翻译版本。尽管我们会不断努力为本文提供最佳翻译版本,但本地化的内容可能会过时。有关最新内容,请参见英文版本。
- 将 ESX/ESXi 4.1 主机成功加入到 Active Directory (AD) 域之后,您将在 ESX/ESXi 主机的 /var/log/messages 文件中看到以下日志涌出消息:
nssquery: Group lookup failed for 'AD Domain Name\ESX Admins '
- 在 ESXi 5.0 中,您会在 /var/log/syslog.log 文件中看到此日志涌出消息。
- 在 ESXi 5.0 主机的 /var/log/hostd.log 文件中,您会看到类似于以下内容的错误:
[25CC6B90 warning 'UserDirectory'] Group lookup failed for 'AD_Domain_Name\ESX Admins'
- AD 域中不存在 ESX Admins 组。
- 如果 AD 域中存在 ESX Admins 组,将 ESX/ESXi 4.1 或 ESXi 5.0 主机加入到 Active Directory 域时会向其授予 AD Domain Name\esx^admins 管理员角色。
- 最初可从组中成功移除管理员角色,但重新启动 ESX/ESXi 主机时会重新向该组授予管理角色。
Environment
VMware ESXi 4.1.x Installable
VMware vSphere ESXi 5.0
VMware vSphere ESXi 5.1
VMware vSphere ESXi 5.5
VMware ESX 4.1.x
VMware ESXi 4.1.x Embedded
VMware vSphere ESXi 5.0
VMware vSphere ESXi 5.1
VMware vSphere ESXi 5.5
VMware ESX 4.1.x
VMware ESXi 4.1.x Embedded
Resolution
默认情况下,加入到 AD 域的 ESX/ESXi 4.1 和 ESXi 5.0 主机会查询该域中是否存在 ESX Admins 组,且此行为无法配置。如果 AD 中存在该组,则会允许该主机上的管理员角色和该组中的任何用户帐户获得对该主机的完全管理权限,并可通过 SSH 登录到该主机。
如果需要此行为,请在 AD 域中创建 ESX Admins 组,并在该组中填充应向主机授予管理访问权限的用户帐户或组。另外,也可以向主机授予具有相应访问权限的其他 AD 用户帐户和组。
如果不需要向 ESX Admins 组中的用户帐户或组授予管理员角色,请尝试使用以下选项之一。
如果需要此行为,请在 AD 域中创建 ESX Admins 组,并在该组中填充应向主机授予管理访问权限的用户帐户或组。另外,也可以向主机授予具有相应访问权限的其他 AD 用户帐户和组。
如果不需要向 ESX Admins 组中的用户帐户或组授予管理员角色,请尝试使用以下选项之一。
- 在 AD 中移除或不创建 ESX Admins 组。授予具有相应角色的其他 AD 帐户/组。但是,您会继续在 ESX/ESXi 主机上的 /var/log/messages 或 /var/log/syslog.log 文件中看到日志涌出消息。
- 将分配给 ESX Admins 组的角色从管理员更改为无权访问。授予具有相应角色的其他 AD 帐户/组。在这种情况下,ESX Admins 组中的任何用户帐户均无法访问 ESX/ESXi 主机。同时,请确保需要访问(管理或其他方式)主机的所有用户已从 ESX Admins 组中移除。
- 向 ESX Admins 组中分配管理员角色,但请确保此组中不存在任何用户帐户或组。授予具有相应角色的 AD 帐户/组。这一操作所需的管理工作量最低,但必须确保之后不会向 ESX Admins 组中添加用户帐户或组。
Additional Information
Feedback
Yes
No
Powered by
