Nutzer verwalten
Durch das Definieren von Benutzern, Gruppen, Rollen und Berechtigungen können Sie steuern, wer Zugriff auf Ihre XenServer-Hosts und -Pools hat und welche Aktionen sie ausführen können.
Wenn Sie XenServer zum ersten Mal installieren, wird XenServer automatisch ein Benutzerkonto hinzugefügt. Dieses Konto ist der lokale Superuser (LSU) oder root, den XenServer lokal authentifiziert.
Die LSU oder root ist ein spezielles Benutzerkonto, das für die Systemadministration gedacht ist und über alle Berechtigungen verfügt. In XenServer ist die LSU bei der Installation das Standardkonto. XenServer authentifiziert das LSU-Konto. Für die LSU ist kein externer Authentifizierungsdienst erforderlich. Wenn ein externer Authentifizierungsdienst ausfällt, kann sich die LSU weiterhin anmelden und das System verwalten. Die LSU kann immer über SSH auf den physischen XenServer-Server zugreifen.
Sie können weitere Benutzer erstellen, indem Sie die Active Directory-Konten entweder über die Registerkarte Benutzer von XenCenter oder die xe CLI hinzufügen. Wenn Active Directory in Ihrer Umgebung nicht verwendet wird, sind Sie auf das LSU-Konto beschränkt.
Hinweis:
Wenn Sie Benutzer erstellen, weist XenServer neu erstellte Benutzerkonten nicht automatisch RBAC-Rollen zu. Daher haben diese Konten keinen Zugriff auf den XenServer-Pool, bis Sie ihnen eine Rolle zuweisen.
Diese Berechtigungen werden über Rollen erteilt, wie in der Authentifizieren von Benutzern mit Active Directory (AD) Abschnitt.
Authentifizieren von Benutzern mit Active Directory (AD)
Wenn Sie mehrere Benutzerkonten auf einem Host oder Pool haben möchten, müssen Sie Active Directory-Benutzerkonten für die Authentifizierung verwenden. Mit AD-Konten können sich XenServer-Benutzer mit ihren Windows-Domänenanmeldeinformationen bei einem Pool anmelden.
Hinweis:
Sie können die LDAP-Kanalbindung und die LDAP-Signierung auf Ihren AD-Domänencontrollern aktivieren. Weitere Informationen finden Sie unter Microsoft-Sicherheitsempfehlung.
Sie können unterschiedliche Zugriffsebenen für bestimmte Benutzer konfigurieren, indem Sie die Active Directory-Authentifizierung aktivieren, Benutzerkonten hinzufügen und diesen Konten Rollen zuweisen.
Active Directory-Benutzer können die xe CLI verwenden (unter Übergabe der entsprechenden -u
und -Kriegsgefangener
Argumente) und stellen Sie auch über XenCenter eine Verbindung zum Host her. Die Authentifizierung erfolgt pro Ressourcenpool.
Lehrfächer Steuern Sie den Zugriff auf Benutzerkonten. Ein Betreff in XenServer wird einer Entität auf Ihrem Active Directory-Server zugeordnet (entweder ein Benutzer oder eine Gruppe). Wenn Sie die externe Authentifizierung aktivieren, vergleicht XenServer die Anmeldeinformationen, die zum Erstellen einer Sitzung verwendet werden, mit den lokalen Root-Anmeldeinformationen und dann mit der Betreffliste. Um den Zugriff zuzulassen, erstellen Sie einen Betreffeintrag für die Person oder Gruppe, der Sie Zugriff gewähren möchten. Sie können XenCenter oder die xe CLI verwenden, um einen Betreffeintrag zu erstellen.
Wenn Sie mit XenCenter vertraut sind, beachten Sie, dass die xe CLI eine leicht unterschiedliche Terminologie verwendet, um auf Active Directory- und Benutzerkontofunktionen zu verweisen:
XenCenter-Begriff | xe CLI-Begriff |
---|---|
Benutzer, Benutzer hinzufügen | Themen, Themen hinzufügen |
Obwohl XenServer Linux-basiert ist, können Sie mit XenServer Active Directory-Konten für XenServer-Benutzerkonten verwenden. Zu diesem Zweck werden Active Directory-Anmeldeinformationen an den Active Directory-Domänencontroller übergeben.
Wenn Sie Active Directory zu XenServer hinzufügen, werden Active Directory-Benutzer und -Gruppen zu XenServer-Subjekten. Die Subjekte werden in XenCenter als Benutzer bezeichnet. Benutzer/Gruppen werden bei der Anmeldung mithilfe von Active Directory authentifiziert, wenn Sie einen Betreff bei XenServer registrieren. Benutzer und Gruppen müssen ihren Benutzernamen nicht mithilfe eines Domänennamens qualifizieren.
Um sich bei einem XenServer-Host anzumelden, müssen Active Directory-Benutzer über die Berechtigung auf Domänenebene verfügen, sich bei dem Computer anzumelden, auf dem das XenServer-Maschinenkonto gehostet wird. Standardmäßig ist es in einer Windows Server 2019-Domäne allen Benutzern gestattet, sich an jedem Computer in der Domäne anzumelden. Wenn Sie diese Einstellung jedoch geändert haben, stellen Sie sicher, dass die Benutzer, die Zugriff auf einen XenServer-Host haben sollen, sich auf Domänenebene anmelden dürfen.
Um einen Benutzernamen zu qualifizieren, müssen Sie den Benutzernamen im Format Name der Downlevel-Anmeldung eingeben, z. B. MeinDomäne\MeinBenutzer
.
Hinweis:
Wenn Sie den Benutzernamen nicht qualifiziert haben, versucht XenCenter standardmäßig, Benutzer mit der Domäne, der es beigetreten ist, bei AD-Authentifizierungsservern anzumelden. Die Ausnahme bildet das LSU-Konto, das XenCenter immer zuerst lokal (d. h. auf dem XenServer) authentifiziert.
Der externe Authentifizierungsprozess funktioniert wie folgt:
-
Die Anmeldeinformationen, die beim Herstellen einer Verbindung mit einem Host angegeben werden, werden zur Authentifizierung an den Active Directory-Domänencontroller übergeben.
-
Der Domänencontroller überprüft die Anmeldeinformationen. Wenn sie ungültig sind, schlägt die Authentifizierung sofort fehl.
-
Wenn die Anmeldeinformationen gültig sind, wird der Active Directory-Controller abgefragt, um den Betreffbezeichner und die Gruppenmitgliedschaft abzurufen, die den Anmeldeinformationen zugeordnet sind.
-
Wenn die Antragsteller-ID mit der im XenServer gespeicherten übereinstimmt, ist die Authentifizierung erfolgreich.
Wenn Sie einer Domäne beitreten, aktivieren Sie die Active Directory-Authentifizierung für den Pool. Wenn ein Pool jedoch einer Domäne beitritt, können nur Benutzer in dieser Domäne (oder einer Domäne, mit der er Vertrauensstellungen hat) eine Verbindung mit dem Pool herstellen.
Hinweis:
Das manuelle Aktualisieren der DNS-Konfiguration eines DHCP-konfigurierten Netzwerk-PIF wird nicht unterstützt und kann dazu führen, dass die AD-Integration und damit die Benutzerauthentifizierung fehlschlägt oder nicht mehr funktioniert.
Konfigurieren der Active Directory-Authentifizierung
XenServer unterstützt die Verwendung von Active Directory-Servern unter Windows 2008 oder höher.
Um Active Directory für XenServer-Hosts zu authentifizieren, müssen Sie denselben DNS-Server sowohl für den Active Directory-Server (konfiguriert für Interoperabilität) als auch für den XenServer-Host verwenden. In einigen Konfigurationen kann der Active Directory-Server das DNS selbst bereitstellen. Dies kann entweder über DHCP erreicht werden, um dem XenServer-Host die IP-Adresse und eine Liste der DNS-Server zur Verfügung zu stellen. Alternativ können Sie die Werte in den PIF-Objekten festlegen oder das Installationsprogramm verwenden, wenn eine manuelle statische Konfiguration verwendet wird.
Es wird empfohlen, DHCP zu aktivieren, um Hostnamen zuzuweisen. Weisen Sie die Hostnamen nicht zu Localhost
oder Linux (Englisch)
an Gastgeber.
Warnung:
XenServer-Hostnamen müssen während der gesamten XenServer-Bereitstellung eindeutig sein.
Beachten Sie Folgendes:
-
XenServer kennzeichnet seinen AD-Eintrag in der AD-Datenbank mit seinem Hostnamen. Wenn zwei XenServer-Hosts mit demselben Hostnamen derselben AD-Domäne beigetreten sind, überschreibt der zweite XenServer den AD-Eintrag des ersten XenServers. Das Überschreiben erfolgt unabhängig davon, ob die Hosts zum gleichen oder zu unterschiedlichen Pools gehören. Dies kann dazu führen, dass die AD-Authentifizierung auf dem ersten XenServer nicht mehr funktioniert.
Sie können denselben Hostnamen in zwei XenServer-Hosts verwenden, solange sie unterschiedlichen AD-Domänen beitreten.
-
Die XenServer-Hosts können sich in unterschiedlichen Zeitzonen befinden, da die UTC-Zeit verglichen wird. Um sicherzustellen, dass die Synchronisierung korrekt ist, können Sie dieselben NTP-Server für Ihren XenServer-Pool und den Active Directory-Server verwenden.
-
Pools mit gemischter Authentifizierung werden nicht unterstützt. Sie können keinen Pool haben, in dem einige Hosts im Pool für die Verwendung von Active Directory konfiguriert sind und andere nicht.
-
Die XenServer Active Directory-Integration verwendet das Kerberos-Protokoll für die Kommunikation mit den Active Directory-Servern. Daher unterstützt XenServer die Kommunikation mit Active Directory-Servern, die Kerberos nicht verwenden, nicht.
-
Damit die externe Authentifizierung mit Active Directory erfolgreich ist, müssen die Uhren auf Ihren XenServer-Hosts mit den Uhren auf Ihrem Active Directory-Server synchronisiert werden. Wenn XenServer der Active Directory-Domäne beitritt, wird die Synchronisierung überprüft und die Authentifizierung schlägt fehl, wenn zwischen den Servern zu viel Schiefe besteht.
Warnung:
Hostnamen dürfen nur aus nicht mehr als 63 alphanumerischen Zeichen bestehen und dürfen nicht rein numerisch sein.
Eine Einschränkung in neueren SSH-Clients bedeutet, dass SSH nicht für Benutzernamen funktioniert, die eines der folgenden Zeichen enthalten:
{}[]|&
. Stellen Sie sicher, dass Ihre Benutzernamen und Active Directory-Servernamen keines dieser Zeichen enthalten.
Wenn Sie einem Pool einen Host hinzufügen, nachdem Sie die Active Directory-Authentifizierung aktiviert haben, werden Sie aufgefordert, Active Directory auf dem Host zu konfigurieren, der dem Pool beitritt. Wenn Sie zur Eingabe von Anmeldeinformationen auf dem beitretenden Host aufgefordert werden, geben Sie Active Directory-Anmeldeinformationen mit ausreichenden Berechtigungen ein, um dieser Domäne Hosts hinzuzufügen.
Active Directory-Integration
Stellen Sie sicher, dass die folgenden Firewall-Ports für ausgehenden Datenverkehr geöffnet sind, damit XenServer auf die Domänencontroller zugreifen kann.
Port | Protokoll | Verwenden Sie |
---|---|---|
53 | UDP/TCP | DNS |
88 | UDP/TCP | Kerberos 5 |
123 | UDP | NTP |
137 | UDP | NetBIOS-Namensdienst |
139 | TCP | NetBIOS-Sitzung (SMB) |
389 | UDP/TCP | LDAP |
445 | TCP | SMB über TCP |
464 | UDP/TCP | Änderungen des Maschinenkennworts |
636 | UDP/TCP | LDAP über SSL |
3268 | TCP | Globale Katalogsuche |
Weitere Informationen finden Sie unter Von XenServer verwendete Kommunikationsports.
Hinweise:
- So zeigen Sie die Firewallregeln auf einem Linux-Computer mit iptablesden folgenden Befehl aus:
iptables -nL
.
Winbind
XenServer verwendet Winbind für die Authentifizierung von Active Directory-Benutzern (AD) beim AD-Server und zum Verschlüsseln der Kommunikation mit dem AD-Server.
Winbind unterstützt die folgenden Szenarien nicht:
- Leerzeichen am Anfang oder Ende eines Domänenbenutzer- oder Domänengruppennamens.
- Domänenbenutzernamen, die 64 Zeichen oder mehr enthalten.
- Domänenbenutzernamen, die eines der Sonderzeichen +<>”=/ enthalten%@:,;\`
- Domänengruppennamen, die eines der Sonderzeichen ,;\' enthalten.
Konfigurieren von Winbind
Konfigurieren Sie das Winbind-Verhalten mit den folgenden Konfigurationsoptionen, die in der /etc/xapi.conf
Datei:
-
winbind_machine_pwd_timeout
: Der Wert dieser Option definiert, wie oft in Sekunden das Maschinenkennwort für diesen XenServer-Host rotiert wird. Definieren Sie einen Wert als Ganzzahl.Der Standardwert ist 1209600 Sekunden (14 Tage). Es wird empfohlen, den Standardwert beizubehalten oder den Wert nicht unter den Standardwert zu senken, um genügend Zeit für die Synchronisierung des neuen Kennworts zwischen Domänencontrollern zu gewährleisten.
-
winbind_kerberos_encryption_type
: Die Werte für diese Option sind strong, legacy und all. Der Standardwert ist all.-
Der Wert
alle
Lässt die folgenden Cipher Suites zu:AES256-CTS-HMAC-SHA1-96
,AES128-CTS-HMAC-SHA1-96
undarcfour-hmac-md5
-
Der Wert
Stark
Lässt die folgenden Cipher Suites zu:AES256-CTS-HMAC-SHA1-96
undAES128-CTS-HMAC-SHA1-96
-
Der Wert
Hinterlassenschaft
Lässt die folgenden Cipher Suites zu:arcfour-hmac-md5
Die Legacy-Option ist unsicher und es wird empfohlen, sie nur zum Debuggen von Problemen zu verwenden.
Um die Sicherheit zu verbessern, empfehlen wir, die AES-Verschlüsselung zu erzwingen. Führen Sie hierfür folgende Schritte aus:
- Stellen Sie sicher, dass der Domänencontroller unterstützt
AES256-CTS-HMAC-SHA1-96
undAES128-CTS-HMACSHA1-96
. -
Konfigurieren des Domänencontrollers zum Aktivieren Die andere Domäne unterstützt Kerberos AES-Verschlüsselung in Domain Trust.
Weitere Informationen finden Sie unter Methode 3: Konfigurieren der Vertrauensstellung für die Unterstützung der AES128- und AES 256-Verschlüsselung anstelle der RC4-Verschlüsselung in der Microsoft-Dokumentation.
- Aktualisieren Sie die
winbind_kerberos_encryption_type
Option zur Verwendung des WertsStark
. -
Starten Sie den Toolstack neu.
Starten Sie den Toolstack nicht neu, während HA aktiviert ist. Wenn möglich, deaktivieren Sie HA vorübergehend, bevor Sie den Toolstack neu starten.
-
-
winbind_cache_time
: Winbind speichert einige Domäneninformationen lokal zwischen. Der Wert dieser Option definiert die Anzahl der Sekunden zwischen den einzelnen Cache-Aktualisierungen. Die Standardeinstellung ist 60 Sekunden.
Nachdem Sie eine dieser Konfigurationsoptionen aktualisiert haben, starten Sie den Toolstack neu.
Wie verwaltet XenServer das Kennwort für das Maschinenkonto für die AD-Integration?
Ähnlich wie bei Windows-Clientcomputern aktualisiert Winbind automatisch das Kennwort für das Computerkonto. Winbind aktualisiert das Kennwort des Maschinenkontos automatisch alle 14 Tage oder wie in der Konfigurationsoption angegeben winbind_machine_pwd_timeout
.
Aktivieren der externen Authentifizierung in einem Pool
Die externe Authentifizierung mit Active Directory kann entweder mit XenCenter oder der CLI mit dem folgenden Befehl konfiguriert werden.
xe pool-enable-external-auth auth-type=AD \
service-name=full-qualified-domain \
config:user=username \
config:pass=password
<!--NeedCopy-->
Der angegebene Benutzer muss über Hinzufügen/Entfernen von Computerobjekten oder Arbeitsstationen
Berechtigung, die die Standardeinstellung für Domänenadministratoren ist.
Wenn Sie DHCP nicht in dem Netzwerk verwenden, das von Active Directory und Ihren XenServer-Hosts verwendet wird, verwenden Sie die folgenden Ansätze, um Ihr DNS einzurichten:
-
Richten Sie die Suchreihenfolge für Domänen-DNS-Suffixe zum Auflösen von Nicht-FQDN-Einträgen ein:
xe pif-param-set uuid=pif_uuid_in_the_dns_subnetwork \ "other-config:domain=suffix1.com suffix2.com suffix3.com" <!--NeedCopy-->
-
Konfigurieren Sie den DNS-Server für die Verwendung auf Ihren XenServer-Hosts:
xe pif-reconfigure-ip mode=static dns=dnshost ip=ip \ gateway=gateway netmask=netmask uuid=uuid <!--NeedCopy-->
-
Legen Sie die Verwaltungsschnittstelle manuell so fest, dass ein PIF verwendet wird, der sich im selben Netzwerk wie Ihr DNS-Server befindet:
xe host-management-reconfigure pif-uuid=pif_in_the_dns_subnetwork <!--NeedCopy-->
Hinweis:
Die externe Authentifizierung ist eine Eigenschaft pro Host. Es wird jedoch empfohlen, die externe Authentifizierung pro Pool zu aktivieren und zu deaktivieren. Eine Einstellung pro Pool ermöglicht es XenServer, mit Fehlern umzugehen, die beim Aktivieren der Authentifizierung auf einem bestimmten Host auftreten. XenServer macht auch alle erforderlichen Änderungen rückgängig, um eine konsistente Konfiguration im gesamten Pool zu gewährleisten. Verwenden Sie die Schaltfläche
host-param-liste
Befehl, um die Eigenschaften eines Hosts zu überprüfen und den Status der externen Authentifizierung zu bestimmen, indem die Werte der relevanten Felder überprüft werden.
Verwenden Sie XenCenter, um die Active Directory-Authentifizierung zu deaktivieren, oder den folgenden xe-Befehl:
xe pool-disable-external-auth
<!--NeedCopy-->
Benutzerauthentifizierung
Um einem Benutzer Zugriff auf Ihren XenServer-Host zu gewähren, müssen Sie einen Betreff für diesen Benutzer oder eine Gruppe hinzufügen, in der er sich befindet. (Transitive Gruppenmitgliedschaften werden ebenfalls auf die übliche Weise überprüft. Wenn Sie z. B. einen Betreff für eine Gruppe hinzufügen Ein
, wobei Gruppe Ein
Gruppe “enthält” B
und Benutzer 1
ist Mitglied der Gruppe B
würde den Zugang zu Benutzer 1
.) Wenn Sie Benutzerberechtigungen in Active Directory verwalten möchten, können Sie eine einzelne Gruppe erstellen, der Sie dann Benutzer hinzufügen und aus der Sie sie löschen können. Alternativ können Sie einzelne Benutzer zu XenServer hinzufügen und löschen oder eine Kombination von Benutzern und Gruppen, die Ihren Authentifizierungsanforderungen entsprechen. Sie können die Betreffliste über XenCenter oder über die CLI verwalten, wie im folgenden Abschnitt beschrieben.
Bei der Authentifizierung eines Benutzers werden die Anmeldeinformationen zunächst mit dem lokalen Root-Konto abgeglichen, sodass Sie ein System wiederherstellen können, dessen AD-Server ausgefallen ist. Wenn die Anmeldeinformationen (Benutzername und Kennwort) nicht übereinstimmen, wird eine Authentifizierungsanforderung an den AD-Server gesendet. Wenn die Authentifizierung erfolgreich ist, werden die Informationen des Benutzers abgerufen und anhand der lokalen Betreffliste überprüft. Der Zugriff wird verweigert, wenn die Authentifizierung fehlschlägt. Die Überprüfung anhand der Betreffliste ist erfolgreich, wenn der Benutzer oder eine Gruppe in der transitiven Gruppenmitgliedschaft des Benutzers in der Betreffliste enthalten ist.
Hinweis:
Wenn Sie Active Directory-Gruppen verwenden, um Pooladministratorbenutzern Zugriff zu gewähren, die SSH-Zugriff auf den Host benötigen, darf die Größe der AD-Gruppe 500 Benutzer nicht überschreiten.
So fügen Sie XenServer einen AD-Betreff hinzu:
xe subject-add subject-name=entity_name
<!--NeedCopy-->
Die entity_name ist der Name des Benutzers oder der Gruppe, der bzw. der Sie Zugriff gewähren möchten. Sie können die Domäne der Entität einschließen (z. B. ‘xendt\user1’ im Gegensatz zu ‘user1’), obwohl das Verhalten gleich ist, es sei denn, eine Mehrdeutigkeit ist erforderlich.
Suchen Sie die Betreff-ID des Benutzers. Der Bezeichner ist der Benutzer oder die Gruppe, die den Benutzer enthält. Durch das Entfernen einer Gruppe wird der Zugriff auf alle Benutzer in dieser Gruppe entfernt, sofern sie nicht auch in der Betreffliste angegeben sind. Verwenden Sie die Schaltfläche Themenliste
, um die Betreff-ID des Benutzers zu finden. :
xe subject-list
<!--NeedCopy-->
Dieser Befehl gibt eine Liste aller Benutzer zurück.
So wenden Sie einen Filter auf die Liste an, z. B. um die Betreff-ID für einen Benutzer zu suchen Benutzer1
im Testad
domain, verwenden Sie den folgenden Befehl:
xe subject-list other-config:subject-name='testad\user1'
<!--NeedCopy-->
Entfernen Sie den Benutzer mit dem Befehl Betreff-Entfernen
und übergeben Sie dabei die Betreff-ID, die Sie im vorherigen Schritt gelernt haben:
xe subject-remove subject-uuid=subject_uuid
<!--NeedCopy-->
Sie können jede aktuelle Sitzung beenden, die dieser Benutzer bereits authentifiziert hat. Weitere Informationen finden Sie unter Beenden aller authentifizierten Sitzungen mit xe und Beenden einzelner Benutzersitzungen mit xe im folgenden Abschnitt. Wenn Sie Sitzungen nicht beenden, können Benutzer mit widerrufenen Berechtigungen weiterhin auf das System zugreifen, bis sie sich abmelden.
Führen Sie den folgenden Befehl aus, um die Liste der Benutzer und Gruppen mit der Berechtigung zum Zugriff auf Ihren XenServer-Host oder -Pool zu identifizieren:
xe subject-list
<!--NeedCopy-->
Entfernen des Zugriffs für einen Benutzer
Wenn ein Benutzer authentifiziert ist, kann er auf den Host zugreifen, bis er seine Sitzung beendet oder ein anderer Benutzer seine Sitzung beendet. Wenn Sie einen Benutzer aus der Betreffliste entfernen oder ihn aus einer Gruppe in der Betreffliste entfernen, werden bereits authentifizierte Sitzungen des Benutzers nicht automatisch widerrufen. Benutzer können weiterhin über XenCenter oder andere API-Sitzungen, die sie bereits erstellt haben, auf den Pool zugreifen. XenCenter und die CLI bieten die Möglichkeit, einzelne Sitzungen oder alle aktiven Sitzungen zwangsweise zu beenden. Siehe die XenCenter-Dokumentation für Informationen zu Prozeduren mit XenCenter oder im folgenden Abschnitt für Prozeduren, die die CLI verwenden.
Beenden Sie alle authentifizierten Sitzungen mit xe
Führen Sie den folgenden CLI-Befehl aus, um alle authentifizierten Sitzungen mit xe zu beenden:
xe session-subject-identifier-logout-all
<!--NeedCopy-->
Beenden einzelner Benutzersitzungen mit xe
-
Bestimmen Sie die Betreff-ID, von deren Sitzung Sie sich abmelden möchten. Verwenden Sie entweder die Schaltfläche
Liste der Sitzungsbetreff-Kennung
oderBetreffliste
xe-Befehle, um die Betreff-ID zu finden. Der erste Befehl zeigt Benutzer an, die Sitzungen haben. Der zweite Befehl zeigt alle Benutzer an, kann aber gefiltert werden. Mit einem Befehl wiexe Betreffliste andere-konfiguration:Betreffname=xendt\\user1
. Abhängig von Ihrer Shell benötigen Sie möglicherweise einen doppelten Backslash, wie gezeigt). -
Verwenden Sie die Schaltfläche
session-subject-logout
und übergeben Sie den Betreffbezeichner, den Sie im vorherigen Schritt als Parameter festgelegt haben, z. B.:xe session-subject-identifier-logout subject-identifier=subject_id <!--NeedCopy-->
Verlassen einer AD-Domäne
Warnung:
Wenn Sie die Domäne verlassen, werden alle Benutzer, die sich mit Active Directory-Anmeldeinformationen beim Pool oder Host authentifiziert haben, getrennt.
Verwenden Sie XenCenter, um eine AD-Domäne zu verlassen. Weitere Informationen finden Sie in der XenCenter-Dokumentation. Führen Sie alternativ die pool-deaktivierung-externe-authentifizierung
und geben Sie bei Bedarf die Pool-UUID an.
Hinweis:
Durch das Verlassen der Domäne werden die Hostobjekte nicht aus der AD-Datenbank gelöscht. In der Active Directory-Dokumentation finden Sie Informationen zum Erkennen und Entfernen von deaktivierten Hosteinträgen.