Účty a profily Spustit jako
Účty Spustit jako definují, které přihlašovací údaje se používají pro určité akce prováděné agentem Operations Manageru. Tyto účty se centrálně spravují prostřednictvím konzoly Operations Console a přiřazují se k různým profilům Spustit jako. Pokud není profil Spustit jako přiřazený ke konkrétní akci, provede se v rámci výchozího účtu akce. V prostředí s nízkými oprávněními nemusí mít výchozí účet požadovaná oprávnění pro konkrétní akci a k poskytnutí této autority je možné použít profil Spustit jako. Sady Management Pack můžou nainstalovat profily Spustit jako a účty Spustit jako, aby podporovaly požadované akce. Pokud ano, měla by se na příslušnou konfiguraci odkazovat jejich dokumentace.
Výchozí účty Spustit jako
Následující tabulka uvádí výchozí účty Spustit jako vytvořené nástrojem Operations Manager během instalace.
| Název | Popis | Přihlašovací údaje |
|---|---|---|
| Domain\ManagementServerActionAccount | Uživatelský účet, pod kterým se všechna pravidla spouští ve výchozím nastavení na serverech pro správu. | Účet domény zadaný jako účet akce serveru pro správu během instalace. |
| Účet místní akce systému | Předdefinovaný systémový účet, který se používá jako účet akce. | Účet místního systému Windows |
| Účet APM | Účet Sledování výkonu aplikace používaný k poskytování klíčů pro šifrování zabezpečených informací shromážděných z aplikace během monitorování. Tento účet se vytvoří automaticky, jakmile vytvoříte první Sledování výkonu .NET. | Šifrovaný binární účet |
| Účet akce datového skladu | Používá se k ověřování pomocí SQL Serveru hostujícího databázi OperationsManagerDW. | Účet domény zadaný během instalace jako účet zápisu datového skladu. |
| Účet nasazení sestavy datového skladu | Používá se k ověřování mezi serverem pro správu a SQL Serverem, který je hostitelem služby Operations Manager Reporting Services. | Účet domény zadaný během instalace jako účet Čtenář dat. |
| Účet místního systému Windows | Integrovaný účet SYSTEM používaný účtem akce agenta. | Účet místního systému Windows |
| Účet systému Windows síťové služby | Integrovaný účet síťové služby. | Účet služby Windows NetworkService |
Výchozí profily Spustit jako
Následující tabulka uvádí profily Spustit jako vytvořené nástrojem Operations Manager během instalace.
Poznámka:
Pokud je účet Spustit jako pro konkrétní profil prázdný, použije se výchozí účet akce (účet akce serveru pro správu nebo účet akce agenta v závislosti na umístění akce).
| Název | Popis | Účet Spustit jako |
|---|---|---|
| Účet přiřazení agenta založeného na službě Active Directory | Účet používaný modulem přiřazení agenta služby Active Directory k publikování nastavení přiřazení do služby Active Directory | Účet místního systému Windows |
| Účet automatické správy agentů | Tento účet slouží k automatické diagnostice selhání agenta. | Nic |
| Účet akce monitorování klientů | Pokud je zadáno, používá Operations Manager ke spuštění všech modulů monitorování klientů. Pokud není zadaný, Operations Manager použije výchozí účet akce. | Nic |
| Účet připojené skupiny pro správu | Účet používaný sadou Management Pack nástroje Operations Manager ke sledování stavu připojení k připojeným skupinám pro správu. | Nic |
| Účet datového skladu | Pokud je zadaný, použije se tento účet ke spuštění všech pravidel shromažďování a synchronizace datového skladu místo výchozího účtu akce. Pokud tento účet nepřepíše účet ověřování SQL Serveru datového skladu, tento účet se používá v pravidlech shromažďování a synchronizace pro připojení k databázím datového skladu pomocí integrovaného ověřování Systému Windows. | Nic |
| Účet nasazení sestavy datového skladu | Tento účet používá postupy automatického nasazení sestavy datového skladu k provádění různých operací souvisejících s nasazením sestav. | Účet nasazení sestavy datového skladu |
| Účet ověřování systému SQL Server datového skladu | Pokud je zadáno, tento přihlašovací název a heslo se používá v pravidlech shromažďování a synchronizace pro připojení k databázím datového skladu pomocí ověřování SQL Serveru. | Účet ověřování systému SQL Server datového skladu |
| Účet akce MPUpdate | Tento účet používá upozornění MPUpdate. | Nic |
| Účet oznámení | Účet Systému Windows používaný pravidly oznámení. E-mailovou adresu tohoto účtu použijte jako e-mailovou adresu a rychlou zprávu Odesílatele. | Nic |
| Účet provozní databáze | Tento účet slouží ke čtení a zápisu informací do databáze nástroje Operations Manager. | Nic |
| Účet privilegovaného monitorování | Tento profil se používá pro monitorování, které lze provádět pouze s vysokou úrovní oprávnění systému; Například monitorování, které vyžaduje oprávnění místního systému nebo místního správce. Tento profil je ve výchozím nastavení místní systém, pokud není výslovně přepsán pro cílový systém. | Nic |
| Účet ověřování SQL Serveru sady REPORTING SDK | Pokud je zadáno, použije tento přihlašovací název a heslo služba SDK k připojení k databázím datového skladu pomocí ověřování SQL Serveru. | Účet ověřování SQL Serveru sady REPORTING SDK |
| Rezervováno | Tento profil je rezervovaný a nesmí se používat. | Nic |
| Ověření účtu předplatného upozornění | Účet používaný modulem ověřit odběr upozornění, který ověřuje, že odběry oznámení jsou v oboru. Tento profil potřebuje práva správce. | Účet místního systému Windows |
| Účet monitorování SNMP | Tento účet se používá pro monitorování PROTOKOLU SNMP. | Nic |
| Účet monitorování SNMPv3 | Tento účet se používá pro monitorování SNMPv3. | Nic |
| Účet akce systému UNIX/Linux | Účet THis se používá pro přístup k systémům UNIX a Linux s nízkými oprávněními. | Nic |
| Účet údržby agenta systému UNIX/Linux | Tento účet se používá pro operace privilegované údržby pro agenty systémů UNIX a Linux. Bez tohoto účtu nefungují operace údržby agenta. | Nic |
| Privilegovaný účet systému UNIX/Linux | Tento účet se používá pro přístup k chráněným prostředkům a akcím systému UNIX a Linux, které vyžadují vysoká oprávnění. Bez tohoto účtu nefungují některá pravidla, diagnostika a obnovení. | Nic |
| Účet akce clusteru Windows | Tento profil se používá pro všechna zjišťování a monitorování součástí clusteru Windows. Tento profil se standardně používá pro účty akcí, pokud ho uživatel nezaplní. | Nic |
| Účet akce WS-Management | Tento profil se používá pro přístup ke službě WS-Management. | Nic |
Vysvětlení distribuce a cílení
Aby profil Spustit jako fungoval správně, musí být správně nakonfigurovaný jak distribuce účtu Spustit jako, tak cílení na účet Spustit jako.
Při konfiguraci profilu Spustit jako vyberte účty Spustit jako, které chcete přidružit k profilu Spustit jako. Po vytvoření přidružení můžete určit třídu, skupinu nebo objekt, pro který se má účet Spustit jako použít pro spouštění úloh, pravidel, monitorování a zjišťování.
Distribuce je atributem účtu Spustit jako a můžete určit, které počítače obdrží přihlašovací údaje účtu Spustit jako. Můžete se rozhodnout distribuovat přihlašovací údaje účtu Spustit jako do všech počítačů spravovaných agentem nebo jenom vybraným počítačům.
Příklad cílení na účet Spustit jako: Fyzický počítač ABC hostuje dvě instance Microsoft SQL Serveru: instance X a instance Y. Každá instance používá pro účet sa jinou sadu přihlašovacích údajů. Vytvoříte účet Spustit jako s přihlašovacími údaji pro instanci X a vytvoříte jiný účet Spustit jako s přihlašovacími údaji pro instanci Y. Při konfiguraci profilu Spustit jako systému SQL Server přidružíte přihlašovací údaje účtu Spustit jako ( například X a Y) k profilu a určíte, že přihlašovací údaje instance účtu Spustit jako X se použijí pro instanci SYSTÉMU SQL Server X a že přihlašovací údaje účtu Spustit jako se použijí pro instanci SQL Serveru Y. Pak musíte také nakonfigurovat každou sadu přihlašovacích údajů účtu Spustit jako tak, aby se distribuoval do fyzického počítače ABC.
Příklad distribuce účtu Spustit jako: SQL Server1 a SQL Server2 jsou dva různé fyzické počítače. SQL Server1 používá pro účet sql sa sadu přihlašovacích údajů UserName1 a Password1. SQL Server2 používá pro účet sql sa sadu přihlašovacích údajů UserName2 a Password2. Sada Management Pack SQL má jeden profil Spustit jako SQL, který se používá pro všechny SERVERY SQL. Pak můžete definovat jeden účet Spustit jako pro sadu přihlašovacích údajů UserName1 a jiný účet Spustit jako pro sadu přihlašovacích údajů UserName2. Oba tyto účty Spustit jako je možné přidružit k jednomu profilu Spustit jako systému SQL Server a lze je nakonfigurovat tak, aby se distribuovaly do příslušných počítačů. To znamená, že userName1 se distribuuje do SQL Serveru1 a userName2 se distribuuje do SQL Serveru2. Informace o účtu odeslané mezi serverem pro správu a určeným počítačem se šifrují.
Zabezpečení účtu Spustit jako
V nástroji System Center Operations Manager se přihlašovací údaje účtu Spustit jako distribuují jenom do počítačů, které zadáte (bezpečnější možnost). Pokud Operations Manager automaticky distribuuje účet Spustit jako podle zjišťování, bude do vašeho prostředí zavedeno bezpečnostní riziko, jak je znázorněno v následujícím příkladu. Proto nebyla v Operations Manageru zahrnuta možnost automatické distribuce.
Operations Manager například identifikuje počítač jako hostující SQL Server 2016 na základě přítomnosti klíče registru. Stejný klíč registru je možné vytvořit na počítači, na kterém není spuštěná instance SQL Serveru 2016. Pokud by Operations Manager automaticky distribuoval přihlašovací údaje do všech počítačů spravovaných agentem, které byly identifikovány jako počítače s SQL Serverem 2016, budou přihlašovací údaje odeslány na imposter SQL Server a budou k dispozici všem uživatelům s právy správce na daném serveru.
Když vytvoříte účet Spustit jako pomocí Nástroje Operations Manager, zobrazí se výzva, abyste zvolili, jestli se má s účtem Spustit jako zacházet méně zabezpečeným nebo bezpečnějším způsobem. "Bezpečnější" znamená, že když přidružíte účet Spustit jako k profilu Spustit jako, musíte zadat konkrétní názvy počítačů, do kterých chcete přihlašovací údaje Spustit jako distribuovat. Pozitivní identifikací cílových počítačů můžete zabránit scénáři falšování identity, který byl popsán dříve. Pokud zvolíte méně bezpečnou možnost, nebudete muset zadávat žádné konkrétní počítače a přihlašovací údaje budou distribuovány do všech počítačů spravovaných agentem.
Poznámka:
Přihlašovací údaje, které vyberete pro účet Spustit jako, musí mít minimálně místně přihlašovací práva; jinak se modul nezdaří.