Freigeben über


Orchestrator-Dienstkonten

 

Veröffentlicht: März 2016

Gilt für: System Center 2012 SP1 - Orchestrator, System Center 2012 - Orchestrator, System Center 2012 R2 Orchestrator

Für die in der folgenden Tabelle aufgeführten Dienste sind Dienstkonten erforderlich. Sie müssen diese Konten erstellen, bevor Sie Funktionen installieren, von denen die Konten verwendet werden. Nachfolgend sind die Details zu den einzelnen Konten aufgeführt.

Server Dienst
Verwaltungsserver Orchestrator Management Service

Orchestrator Runbook Server Monitor-Dienst
Runbook-Server Orchestrator Runbook Service

Orchestrator Management Service-Konto

Der Orchestrator Management Service ist auf dem Management-Server installiert. Das zugehörige Dienstkonto wird während der Installation von Orchestrator angegeben. Wenn Management-Server und Runbook-Server gleichzeitig auf dem gleichen Computer installiert wurden, wird dieses Dienstkonto auch auf jedem Computer von Management Server Service und Runbook Server Service für den Zugriff auf die Systemressourcen verwendet. Wenn Sie Runbook-Server und Management-Server in dieser Reihenfolge nacheinander oder auf unterschiedlichen Computern installiert haben, können Sie andere Konten verwenden.

Orchestrator Management Service ist für die Verwaltung der Orchestration-Datenbank sowie für die Kommunikation mit Runbook Designer und Deployment Manager zuständig.

Wenn die Datenbank lokal installiert ist oder die SQL Server-Authentifizierung zur Kommunikation mit der Datenbank verwendet wird, ist es zwar möglich, ein lokales Konto auf dem Management-Server für Orchestrator Management Service zu verwenden, diese Vorgehensweise wird jedoch nicht empfohlen. Bei dieser Konfiguration kann möglicherweise nicht auf andere Netzwerkressourcen zugegriffen werden. Wenn sich die Datenbank auf einem anderen Server befindet, muss das Konto entweder der Active Directory-Domäne hinzugefügt werden, sodass ein Zugriff auf den Datenbankserver möglich ist, oder Sie müssen die SQL Server-Authentifizierung verwenden. Verwenden Sie letztere Option, wenn sich der Datenbankserver in einer anderen Domäne als der Management-Server befindet.

Dieses Konto braucht kein Administrator- oder Domänenadministratorkonto zu sein. Für Deployment Manager sind jedoch Administratorrechte erforderlich.

Das Dienstkonto für Management Server Service muss über die folgenden Berechtigungen verfügen:

  • Berechtigung zum Anmelden beim Management-Server als Dienst. Diese Berechtigung wird während der Installation automatisch erteilt.

  • Mitglied der Rolle „Microsoft.SystemCenter.Orchestrator.Admins“ in der Orchestration-Datenbank. Das Konto wird dieser Rolle automatisch während der Installation hinzugefügt.

Orchestrator Runbook Server Monitor-Dienstkonto

Runbook Server Monitor wird auf dem Management-Server installiert und ist für die Überwachung der Integrität der Runbook-Server zuständig. Von Runbook Server Monitor und Orchestrator Management Service wird das gleiche Konto verwendet, für beide sind die gleichen Berechtigungen erforderlich.

Orchestrator Runbook Service-Konto

Runbook Server Service wird auf jedem Runbook-Server installiert. Wenn Management-Server und Runbook-Server gleichzeitig auf dem gleichen Computer installiert wurden, wird dieses Dienstkonto auch auf jedem Computer von Management Server Service und Runbook Server Service für den Zugriff auf die Systemressourcen verwendet. Wenn Sie Runbook-Server und Management-Server in dieser Reihenfolge nacheinander oder auf unterschiedlichen Computern installiert haben, können Sie andere Konten verwenden. Dieser Dienst ist für die Ausführung der Runbooks und für die Kommunikation mit der Orchestration-Datenbank zuständig.

Standardmäßig werden alle Aktivitäten in einem Runbook unter dem Dienstkonto des dazugehörigen Runbook-Servers ausgeführt. Für bestimmte Aktivitäten können abweichende Anmeldeinformationen angegeben werden, wenn dies für einzelne Aktionen erforderlich ist. Von Runbookaktivitäten wird häufig auf Ressourcen auf anderen Computern zugegriffen. Verwenden Sie daher für Orchestrator Runbook Service ein Active Directory-Domänenkonto, damit diesem Konto Zugriff auf die externen Ressourcen gewährt werden kann.

Das Konto für Orchestrator Runbook Service muss über die folgenden Berechtigungen verfügen:

  • Berechtigung zum Anmelden beim Runbook-Server als Dienst

  • Abhängig von den Ressourcen, auf die von den Runbookaktivitäten zugegriffen wird, sind für das Dienstkonto möglicherweise zusätzliche Anmeldeinformationen auf Remotecomputern erforderlich. Zudem können bestimmte Aktivitäten mit alternativen Anmeldeinformationen konfiguriert werden, wenn mit dem Dienstkonto kein Zugriff auf die erforderlichen Ressourcen möglich ist.