Sdílet prostřednictvím

Distribuce a cílení pro účty a profily 'Run As'

  • Článek

Účty Spustit jako jsou přidružené k profilům Spustit jako, aby poskytovaly nezbytné přihlašovací údaje pro pracovní postupy, které používají profil Spustit jako k úspěšnému spuštění. Aby profil Spustit jako fungoval správně, musí být správně konfigurovány distribuce i cílení účtů Spustit jako.

Při konfiguraci profilu Spustit jako vyberte účty Spustit jako, které chcete přidružit k profilu Spustit jako. Při vytváření tohoto přidružení zadáte třídu, skupinu nebo objekt, které bude účet Spustit jako sloužit ke správě, jak je znázorněno na následujícím obrázku. Tím se stanoví cíl pro účet Spustit jako.

Vyberte cíl pro profil a účet 'Spustit jako'

Distribuce je atribut účtu Spustit jako, ve kterém určíte, které počítače obdrží přihlašovací údaje účtu Spustit jako. Můžete se rozhodnout distribuovat přihlašovací údaje účtu "Spustit jako" do všech počítačů spravovaných agentem nebo pouze do vybraných počítačů.

Příklad cílení a distribuce pro účet s oprávněními pro spuštění jako:

Fyzický počítač ABC hostuje dvě instance Microsoft SQL Serveru, instance X a instance Y. Každá instance používá pro účet sa jinou sadu přihlašovacích údajů. Vytvoříte účet Spustit jako s přihlašovacími údaji sa pro instanci X a jiný účet Spustit jako s přihlašovacími údaji sa pro instanci Y. Při konfiguraci profilu Spustit jako pro SQL Server přidružíte přihlašovací údaje účtu Spustit jako pro obě instance X a Y k profilu. Určíte, že přihlašovací údaje účtu Spustit jako pro instanci X se použijí pro instanci SQL Serveru X a přihlašovací údaje účtu Spustit jako pro instanci Y se použijí pro instanci SQL Serveru Y. Poté nakonfigurujete oba účty Spustit jako tak, aby byly distribuovány do fyzického počítače ABC.

Výběr cíle pro Run As účet

Jak je znázorněno na předchozím obrázku, vaše možnosti při výběru cíle pro účet typu Spustit jako jsou všechny cílené objekty a vybraná třída, skupina nebo objekt.

Když vyberete Všechny cílené objekty, profil Spustit jako použije tento účet Spustit jako pro všechny objekty v pracovních postupech, které používají profil Spustit jako.

Když vyberete vybranou třídu, skupinu nebo objekt, můžete omezit použití účtu Spustit jako na třídu, skupinu nebo objekt, který zadáte.

Poznámka:

Přihlašovací údaje účtu Spustit jako musí být distribuovány na konkrétní systémy spravované agentem, na kterých by měly být přihlašovací údaje Spustit jako ověřeny před konfigurací profilu Spustit jako.

Porovnání bezpečnější a méně bezpečné distribuce

Operations Manager rozděluje přihlašovací údaje účtu Run As buď do všech počítačů spravovaných agentem (méně bezpečná možnost), nebo pouze do počítačů, které určíte (bezpečnější možnost). Pokud Operations Manager automaticky distribuuje účet "Spustit jako" podle zjištění, bude tím do vašeho prostředí zavedeno bezpečnostní riziko, jak je ukázáno v následujícím příkladu. Proto nebyla v Operations Manageru zahrnuta možnost automatické distribuce.

Operations Manager například identifikuje počítač jako hostitele SQL Serveru 2014 na základě přítomnosti klíče registru. Stejný klíč registru je možné vytvořit na počítači, na kterém není spuštěná instance SQL Serveru 2014. Pokud by Operations Manager automaticky distribuoval přihlašovací údaje do všech počítačů spravovaných agentem, které byly identifikovány jako počítače s SQL Serverem 2014, budou tyto přihlašovací údaje odeslány na imposter SQL Server a budou k dispozici někomu s právy správce na daném serveru.

Při vytváření účtu "Spustit jako" se zobrazí výzva, abyste zvolili, jestli se má s účtem "Spustit jako" zacházet méně zabezpečeným nebo bezpečnějším způsobem. Bezpečnější znamená, že když přidružíte účet Run As k profilu Run As, musíte zadat konkrétní názvy počítačů, ke kterým chcete povolit přístup přihlašovacích údajů Run As. Pozitivní identifikací cílových počítačů můžete zabránit scénáři falšování identity, který byl popsán dříve. Pokud zvolíte méně bezpečnou možnost, nebudete muset zadávat žádné konkrétní počítače a přihlašovací údaje budou distribuovány do všech počítačů spravovaných agentem.

Poznámka:

Operations Manager provede testy k ověření přihlašovacích údajů Spustit jako uživatel, včetně toho, zda se dají přihlašovací údaje použít k místnímu přihlášení k počítači. Pokud účet nemá právo se přihlásit místně, vygeneruje se upozornění.

Další kroky