Distribución y destino para cuentas de ejecución y perfiles de identificación
Las cuentas de ejecución están asociadas a perfiles de identificación para proporcionar las credenciales necesarias para los flujos de trabajo que usan ese perfil de identificación para ejecutarse correctamente. Tanto la distribución como el destino de las cuentas de ejecución deben configurarse correctamente para que el perfil de identificación funcione correctamente.
Al configurar un perfil de identificación, selecciona las cuentas de ejecución que deseas asociar con el perfil de identificación. Al crear esa asociación, especificas la clase, el grupo o el objeto que usará la cuenta de ejecución para administrar, como se muestra en la siguiente imagen. Esto establece el destino de la cuenta de ejecución.
La distribución es un atributo de una cuenta de ejecución donde se especifican los equipos que recibirán las credenciales de la cuenta de ejecución. Puedes elegir distribuir las credenciales de la cuenta de ejecución a todos los equipos administrados por agente o solo a los equipos seleccionados.
Ejemplo de destino y distribución de cuentas de ejecución:
El equipo físico ABC hospeda dos instancias de Microsoft SQL Server, la instancia X y la instancia Y. Cada instancia usa un conjunto diferente de credenciales para la cuenta sa. Creas una cuenta de ejecución con las credenciales de SA para la instancia X y creas una cuenta de ejecución diferente con las credenciales de SA para la instancia Y. Cuando configuras el perfil de ejecución de SQL Server, asocias las credenciales de cuenta de ejecución para las instancias X e Y con el perfil y especificas que las credenciales de la instancia X de la cuenta de ejecución se van a usar para la instancia X de SQL Server, y que las credenciales de la cuenta de ejecución Y se van a usar para la instancia Y de SQL Server. Después, configuras ambas cuentas de ejecución para que se distribuyan al equipo físico ABC.
Selección de un destino para una cuenta de ejecución
Como se muestra en la imagen anterior, las opciones para seleccionar un destino para una cuenta de ejecución son Todos los objetos con destino y Una clase, grupo u objeto seleccionado.
Al seleccionar Todos los objetos con destino, el perfil de identificación usará esta cuenta de ejecución para todos los objetos de los flujos de trabajo que usan el perfil de identificación.
Al seleccionar Una clase, grupo u objeto seleccionado, puedes limitar el uso de la cuenta de ejecución a la clase, el grupo o el objeto que especifiques.
Nota:
Las credenciales de la cuenta de ejecución deben distribuirse a los sistemas administrados por agente específicos en los que debe autenticarse la credencial de ejecución antes de configurar el perfil de identificación.
Comparación de una distribución más segura y menos segura
Operations Manager distribuye las credenciales de la cuenta de ejecución a todos los equipos administrados por agente (la opción menos segura) o solo a los equipos que especifiques (la opción más segura). Si Operations Manager distribuye automáticamente la cuenta de ejecuciones según la detección, se introduciría un riesgo de seguridad en el entorno, como se ilustra en el ejemplo siguiente. Este es el motivo por el que no se incluyó una opción de distribución automática en Operations Manager.
Por ejemplo, Operations Manager identifica que un equipo hospeda SQL Server 2014 por la presencia de una clave del Registro. Es posible crear esa misma clave del Registro en un equipo que realmente no ejecuta una instancia de SQL Server 2014. Si Operations Manager distribuyera automáticamente las credenciales a todos los equipos administrados por el agente identificados como equipos con SQL Server 2014, las credenciales se enviarían a la instancia falsa de SQL Server y estarían disponibles para alguien con derechos de administrador en ese servidor.
Al crear una cuenta de ejecución, se te pedirá que elijas si la cuenta de ejecución debe tratarse con el nivel de riesgo Menos seguro o Más seguro. Más seguro significa que, al asociar la cuenta de ejecución con un perfil de identificación, tienes que proporcionar los nombres de los equipos específicos a los que desea distribuir las credenciales de ejecución. Al identificar positivamente los equipos de destino, puedes evitar el escenario de suplantación electrónica que se describió antes. Si eliges la opción menos segura, no tendrás que proporcionar ningún equipo específico y las credenciales se distribuirán a todos los equipos administrados por el agente.
Nota:
Operations Manager realizará pruebas para validar las credenciales de ejecución, incluso si las credenciales se pueden usar para iniciar sesión localmente en el equipo. Si la cuenta no tiene derechos para iniciar sesión localmente, se generará una alerta.
Pasos siguientes
- Para saber cómo crear una cuenta de ejecución, cómo modificar una cuenta de ejecución existente y cómo configurar un perfil de identificación para usar una cuenta de ejecución, consulta Instrucciones para crear una cuenta de ejecución y asociarla a un perfil de identificación.