Účty služeb, uživatelů a zabezpečení
Během nastavení a každodenních operací operations Operations Manageru se zobrazí výzva k zadání přihlašovacích údajů pro několik účtů. Tento článek obsahuje informace o každém z těchto účtů, včetně sad SDK a konfigurační služby, instalace agenta, zápisu do datového skladu a účtů Data Reader.
Poznámka:
Instalace Operations Manageru zřídí všechna potřebná oprávnění SQL.
Pokud používáte doménové účty a objekt zásad skupiny domény (GPO) má nastavené výchozí zásady vypršení platnosti hesla podle potřeby, budete muset změnit hesla účtů služby podle plánu, použít systémové účty nebo nakonfigurovat účty tak, aby nikdy nevypršela platnost hesel.
Účty akcí
V nástroji System Center Operations Manager všechny servery pro správu, servery brány a agenti provádějí proces s názvem MonitoringHost.exe. MonitoringHost.exe slouží k provádění aktivit monitorování, jako je spuštění monitorování nebo spuštění úlohy. Mezi další příklady akcí MonitoringHost.exe patří:
- Monitorování a shromažďování dat protokolu událostí Systému Windows
- Monitorování a shromažďování dat čítačů výkonu Windows
- Monitorování a shromažďování dat WMI (Windows Management Instrumentation)
- Spouštění akcí, jako jsou skripty nebo dávky
Účet, který MonitoringHost.exe proces spustí, se nazývá účet akce. MonitoringHost.exe je proces, který tyto akce spouští pomocí přihlašovacích údajů zadaných v účtu akce. Pro každý účet se vytvoří nová instance MonitoringHost.exe. Účet akce pro proces MonitoringHost.exe spuštěný v agentu se nazývá účet akce agenta. Účet akce používaný procesem MonitoringHost.exe na serveru pro správu se nazývá účet akce serveru pro správu. Účet akce používaný procesem MonitoringHost.exe na serveru brány se nazývá účet akce serveru brány. Na všech serverech pro správu ve skupině pro správu doporučujeme udělit účtu oprávnění místního správce, pokud zásady zabezpečení IT vaší organizace nevyžadují přístup s nejnižšími oprávněními.
Pokud není akce přidružená k profilu Spustit jako, přihlašovací údaje použité k provedení akce budou ty, které jste definovali pro účet akce. Další informace o účtech Spustit jako a profilech Spustit jako najdete v části Účty Spustit jako. Když agent spustí akce jako výchozí účet akce nebo účet Spustit jako, vytvoří se pro každý účet nová instance MonitoringHost.exe.
Při instalaci nástroje Operations Manager máte možnost zadat účet domény nebo použít LocalSystem. Bezpečnějším přístupem je zadat účet domény, který umožňuje vybrat uživatele s nejnižšími oprávněními potřebnými pro vaše prostředí.
Pro účet akce agenta můžete použít účet s nejnižšími oprávněními. Na počítačích se systémem Windows Server 2008 R2 nebo novějším musí mít účet následující minimální oprávnění:
- Člen místní skupiny Users
- Člen místní skupiny Sledování výkonu Users
- Povolit místní přihlášení (SetInteractiveLogonRight) oprávnění (neplatí pro Operations Manager 2019 a novější).
Poznámka:
Minimální oprávnění popsaná výše jsou nejnižšími oprávněními, která Operations Manager podporuje pro účet akce. Jiné účty Spustit jako můžou mít nižší oprávnění. Skutečná oprávnění požadovaná pro účet akce a účty Spustit jako budou záviset na tom, které sady Management Pack běží na počítači a jak jsou nakonfigurované. Další informace o tom, která konkrétní oprávnění jsou vyžadována, najdete v příslušné příručce sady Management Pack.
Účet domény, který je určený pro účet akce, může být udělen buď přihlásit jako služba (SeServiceLogonRight), nebo přihlásit se jako Batch (SeBatchLogonRight), pokud vaše zásady zabezpečení neumožňují udělit účtu služby interaktivní přihlášení relace, například když je vyžadováno ověření čipové karty. Upravte hodnotu registru HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\System Center\Health Service:
Účet domény zadaný pro účet akce se uděluje s oprávněním Přihlásit se jako služba (SeServiceLogonRight). Pokud chcete změnit typ přihlášení pro službu Health Service, upravte hodnotu registru HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\System Center\Health Service:
- Název: Typ přihlášení pracovního procesu
- Typ: REG_DWORD
- Hodnoty: Čtyři (4) – Přihlásit se jako dávka, Dvě (2) – Povolit místní přihlášení a Pět (5) – Přihlásit se jako služba. Výchozí hodnota je 2.
- Hodnoty: Čtyři (4) – Přihlásit se jako dávka, dvě (2) – Povolit místní přihlášení a pět (5) – Přihlásit se jako služba. Výchozí hodnota je 5.
Nastavení můžete centrálně spravovat pomocí zásad skupiny zkopírováním souboru healthservice.admx ADMX ze serveru pro správu nebo systému spravovaného agentem umístěným ve složce C:\Windows\PolicyDefinitions a konfigurací nastavení Typ přihlášení účtu akce monitorování pod složkou Computer Configuration\Administrative Templates\System Center - Operations Manager. Další informace o práci se soubory ADMX zásad skupiny naleznete v tématu Správa souborů ADMX zásad skupiny.
System Center Configuration Service a účet služby System Center Data Access Service
Účet služby System Center Configuration a služby System Center Data Access používá služba System Center Data Access a System Center Management Configuration k aktualizaci informací v provozní databázi. Přihlašovací údaje použité pro účet akce budou přiřazeny k roli sdk_user v provozní databázi.
Účet by měl být uživatelem domény nebo localsystemem. Účet používaný pro účet sady SDK a konfigurační služby by měl mít udělená oprávnění místního správce na všech serverech pro správu ve skupině pro správu. Použití místního uživatelského účtu není podporováno. Pro zvýšení zabezpečení doporučujeme použít uživatelský účet domény a je to jiný účet než účet použitý pro účet akce serveru pro správu. Účet LocalSystem je účet s nejvyššími oprávněními na počítači s Windows, který je ještě vyšší než místní správce. Když služba běží v kontextu LocalSystem, má služba plnou kontrolu nad místními prostředky počítače a identita počítače se používá při ověřování a přístupu ke vzdáleným prostředkům. Používání účtu LocalSystem představuje bezpečnostní riziko, protože neresektuje zásadu nejnižších oprávnění. Kvůli právům požadovaným v instanci SQL Serveru hostující databázi Operations Manageru je potřeba účet domény s oprávněními s nejnižšími oprávněními, aby se zabránilo riziku zabezpečení v případě ohrožení serveru pro správu ve skupině pro správu. Důvody jsou:
- LocalSystem nemá žádné heslo
- Nemá vlastní profil.
- Má rozsáhlá oprávnění na místním počítači.
- Zobrazí přihlašovací údaje počítače ke vzdáleným počítačům.
Poznámka:
Pokud je databáze nástroje Operations Manager nainstalována v počítači odděleně od serveru pro správu a pro účet služby Přístup k datům a konfigurace je vybrána možnost LocalSystem, přiřadí se účet počítače pro počítač serveru pro správu sdk_user roli v databázovém počítači nástroje Operations Manager.
Další informace naleznete v tématu LocalSystem.
Účet pro zápis do datového skladu
Účet zápisu datového skladu je účet používaný k zápisu dat ze serveru pro správu do datového skladu vykazovaného sestavy a čte data z databáze Operations Manageru. Následující tabulka popisuje role a členství přiřazené k uživatelskému účtu domény během instalace.
| Aplikace | Databáze nebo role | Role nebo účet |
|---|---|---|
| Microsoft SQL Server | OperationsManager | db_datareader |
| Microsoft SQL Server | OperationsManager | dwsync_user |
| Microsoft SQL Server | OperationsManagerDW | OpsMgrWriter |
| Microsoft SQL Server | OperationsManagerDW | db_owner |
| Operations Manager | Role uživatele | Správci zabezpečení sestav nástroje Operations Manager |
| Operations Manager | Účet Spustit jako | Účet akce datového skladu |
| Operations Manager | Účet Spustit jako | Účet čtenáře synchronizace konfigurace datového skladu |
Účet Čtenář dat
Účet Čtenář dat se používá k nasazování sestav, definování uživatele, který služba SQL Server Reporting Services používá ke spouštění dotazů na datový sklad vykazujících sestav, a definování účtu služby SQL Reporting Services pro připojení k serveru pro správu. Tento uživatelský účet domény se přidá do profilu uživatele Správce sestav. Následující tabulka popisuje role a členství přiřazené k účtu během instalace.
| Aplikace | Databáze nebo role | Role nebo účet |
|---|---|---|
| Microsoft SQL Server | Instance instalace služby Reporting Services | Účet spouštění serveru sestav |
| Microsoft SQL Server | OperationsManagerDW | OpsMgrReader |
| Operations Manager | Role uživatele | Operátory sestav nástroje Operations Manager |
| Operations Manager | Role uživatele | Správci zabezpečení sestav nástroje Operations Manager |
| Operations Manager | Účet Spustit jako | Účet nasazení sestavy datového skladu |
| Služba pro Windows | SQL Server Reporting Services | Přihlašovací účet |
Ověřte, že účet, který chcete použít pro účet Čtenář dat, má udělené přihlášení jako služba (pro rok 2019 a novější) nebo přihlášení jako služby a místní povolení přihlášení (pro dřívější verzi), právo na každý server pro správu a SQL Server, který hostuje roli Serveru pro sestavy.
Účet instalace agenta
Při nasazování agenta založeného na zjišťování se vyžaduje účet s oprávněními správce na počítačích určených k instalaci agenta. Účet akce serveru pro správu je výchozím účtem pro instalaci agenta. Pokud účet akce serveru pro správu nemá oprávnění správce, musí operátor zadat uživatelský účet a heslo s právy správce na cílových počítačích. Tento účet je před tím, než se použije, zašifrován a potom zahozen.
Účet akce oznámení
Účet akce oznámení je účet používaný k vytváření a odesílání oznámení. Tyto přihlašovací údaje musí mít dostatečná práva pro server SMTP, server zasílání rychlých zpráv nebo server SIP, který se používá pro oznámení.