Comptes et profils 'Exécuter en tant que'
Les comptes d'exécution définissent les informations d'identification employées pour exécuter certaines actions par l’agent Operations Manager. Ces comptes sont gérés de manière centralisée via la console d'opérations et assignés à différents profils Run As. Si un profil 'Exécuter en tant que' n’est pas affecté à une action particulière, l'action est effectuée sous le compte d'action par défaut. Dans un environnement à privilèges faibles, le compte par défaut peut ne pas disposer des autorisations requises pour une action particulière, et un profil Exécuter en tant que peut être utilisé pour attribuer cette autorité. Les packs d’administration peuvent installer des profils Run As et des comptes Run As pour prendre en charge les actions requises. Dans ce cas, leur documentation doit être référencée pour toute configuration requise.
Comptes d'exécution par défaut
Le tableau suivant répertorie les comptes Run As par défaut créés par Operations Manager lors de l’installation.
| Nom | Description | Informations d'identification |
|---|---|---|
| Domain\ManagementServerActionAccount | Compte d’utilisateur sous lequel toutes les règles s’exécutent par défaut sur les serveurs d’administration. | Compte de domaine spécifié comme compte d’action du serveur d’administration pendant l’installation. |
| Compte d’action système local | Compte système intégré utilisé comme compte d’action. | Compte système local Windows |
| Compte APM | Compte de surveillance des performances de l'application utilisé pour fournir des clés pour chiffrer les informations sécurisées collectées à partir de l'application pendant la surveillance. Ce compte est créé automatiquement une fois que vous avez créé votre premier Analyseur de performances .NET. | Compte binaire chiffré |
| Compte d’action de l’entrepôt de données | Utilisé pour s’authentifier auprès de SQL Server hébergeant la base de données OperationsManagerDW. | Compte de domaine spécifié lors de l’installation en tant que compte d’écriture de l’entrepôt de données. |
| Compte de déploiement des rapports de l'entrepôt de données | Utilisé pour s’authentifier entre le serveur d’administration et SQL Server hébergeant Operations Manager Reporting Services. | Compte de domaine spécifié lors de l’installation en tant que compte Lecteur de données. |
| Compte système local Windows | Compte SYSTEM intégré utilisé par le compte d’action de l’agent. | Compte système local Windows |
| Compte Windows du service réseau | Compte de service réseau intégré. | Compte Windows NetworkService |
Profils "Run As" par défaut
Le tableau suivant répertorie les profils Run As créés par Operations Manager lors de la configuration.
Remarque
Si le compte 'Exécuter en tant que' est laissé vide pour un profil particulier, le compte d'action par défaut (soit le compte d'action du serveur d'administration, soit le compte d'action de l'agent selon l'emplacement de l'action) est utilisé.
| Nom | Description | Compte d’exécution |
|---|---|---|
| Compte d’affectation d’agent basé sur Active Directory | Compte utilisé par le module d’affectation d’agent basé sur Active Directory pour publier les paramètres d’affectation dans Active Directory. | Compte système local Windows |
| Compte de gestion automatique des agents | Ce compte sert à diagnostiquer automatiquement les défaillances de l'agent. | Aucun(e) |
| Compte d'action de suivi du client | S’il est spécifié, utilisé par Operations Manager pour exécuter tous les modules d’analyse du client. Si ce n’est pas spécifié, Operations Manager utilise le compte d’action par défaut. | Aucun(e) |
| Compte de groupe d’administration connecté | Compte utilisé par le pack d’administration Operations Manager pour surveiller l’intégrité de la connexion aux groupes d’administration connectés. | Aucun(e) |
| Compte d’entrepôt de données | Si spécifié, ce compte est utilisé pour exécuter toutes les règles de collecte et de synchronisation de l’entrepôt de données au lieu du compte d’action par défaut. Si ce compte n’est pas remplacé par le compte d’authentification SQL Server data Warehouse, ce compte est utilisé par les règles de collecte et de synchronisation pour se connecter aux bases de données Data Warehouse à l’aide de l’authentification intégrée Windows. | Aucun(e) |
| Compte de déploiement des rapports de l'entrepôt de données | Ce compte est utilisé par les procédures de déploiement automatique du rapport Data Warehouse pour exécuter diverses opérations liées au déploiement de rapports. | Compte de déploiement des rapports de l'entrepôt de données |
| compte d'authentification SQL Server de l'entrepôt de données | Si spécifié, ce nom de connexion et ce mot de passe sont utilisés par les règles de collecte et de synchronisation pour se connecter aux bases de données Data Warehouse à l’aide de l’authentification SQL Server. | compte d'authentification SQL Server de l'entrepôt de données |
| Compte d’action MPUpdate | Ce compte est utilisé par l’notificateur MPUpdate. | Aucun(e) |
| Compte de notification | Compte Windows utilisé par les règles de notification. Utilisez l'adresse e-mail de ce compte comme adresse d'expéditeur pour les e-mails et les messages instantanés. | Aucun(e) |
| Compte de base de données opérationnel | Ce compte est utilisé pour lire et écrire des informations dans la base de données Operations Manager. | Aucun(e) |
| Compte de surveillance privilégié | Ce profil est utilisé pour la surveillance, qui ne peut être effectué qu’avec un niveau élevé de privilèges pour un système ; par exemple, la surveillance qui nécessite des autorisations système local ou administrateur local. Ce profil est défini par défaut sur le système local, sauf s’il est spécifiquement remplacé pour un système cible. | Aucun(e) |
| Compte d’authentification SQL Server du kit de développement logiciel Reporting (SDK) | S’il est spécifié, ce nom de connexion et ce mot de passe sont utilisés par le service SDK pour se connecter aux bases de données Data Warehouse à l’aide de l’authentification SQL Server. | Compte d’authentification SQL Server du kit de développement logiciel Reporting (SDK) |
| Réservé | Ce profil est réservé et ne doit pas être utilisé. | Aucun(e) |
| Valider le compte d’abonnement aux alertes | Compte utilisé par le module de validation des abonnements aux alertes pour vérifier que les abonnements aux notifications sont pris en compte. Ce profil a besoin des droits d’administrateur. | Compte système local Windows |
| Compte de supervision SNMP | Ce compte est utilisé pour la surveillance SNMP. | Aucun(e) |
| Compte de surveillance SNMPv3 | Ce compte est utilisé pour la surveillance SNMPv3. | Aucun(e) |
| Compte d’action UNIX/Linux | Le compte THis est utilisé pour l’accès UNIX et Linux à faible privilège. | Aucun(e) |
| Compte de maintenance de l’agent UNIX/Linux | Ce compte est utilisé pour les opérations de maintenance privilégiées pour les agents UNIX et Linux. Sans ce compte, les opérations de maintenance de l’agent ne fonctionnent pas. | Aucun(e) |
| Compte privilégié UNIX/Linux | Ce compte est utilisé pour accéder aux ressources et actions UNIX et Linux protégées qui nécessitent des privilèges élevés. Sans ce compte, certaines règles, diagnostics et récupérations ne fonctionnent pas. | Aucun(e) |
| Compte d’action de cluster Windows | Ce profil est utilisé pour toutes les fonctionnalités de découverte et de surveillance des composants de cluster Windows. Ce profil utilise par défaut des comptes d’action, sauf s’il est rempli par l’utilisateur. | Aucun(e) |
| Compte de l'action WS-Management | Ce profil est utilisé pour l’accès WS-Management. | Aucun(e) |
Comprendre la distribution et le ciblage
La distribution du compte « Exécuter en tant que » et le ciblage du compte « Exécuter en tant que » doivent être correctement configurés pour que le profil « Exécuter en tant que » fonctionne correctement.
Lorsque vous configurez un profil Run As, vous sélectionnez les comptes Run As que vous voulez associer au profil Run As. Après avoir créé cette association, vous pouvez spécifier la classe, le groupe ou l’objet pour lequel le compte d'exécution doit être utilisé pour exécuter des tâches, des règles, des moniteurs et des découvertes.
La distribution est un attribut d'un compte d'exécution, et vous pouvez spécifier quels ordinateurs reçoivent les identifiants du compte d'exécution. Vous pouvez choisir de distribuer les crédentiels du compte d'exécution en tant que à tous les ordinateurs sous gestion d'agent ou uniquement aux ordinateurs sélectionnés.
Exemple de ciblage de compte 'Exécuter en tant que' : l’ordinateur physique ABC héberge deux instances de Microsoft SQL Server : instance X et instance Y. Chaque instance utilise un ensemble différent d’informations d’identification pour le compte sa. Vous créez un compte Run As avec les informations d'identification sa pour l'instance X, et vous créez un autre compte Run As avec les informations d'identification sa pour l'instance Y. Lorsque vous configurez le profil Run As de SQL Server, vous associez les informations d'identification des comptes Run As, par exemple X et Y, au profil. Vous spécifiez que les informations d'identification du compte Run As de l'instance X doivent être utilisées pour l'instance SQL Server X et que celles du compte Run As Y doivent être utilisées pour l'instance SQL Server Y. Ensuite, vous devez également configurer chaque ensemble d'informations d'identification des comptes Run As pour qu'elles soient distribuées à l'ordinateur physique ABC.
Exemple de distribution de compte d'exécution : SQL Server1 et SQL Server2 sont deux ordinateurs physiques distincts. SQL Server1 utilise les identifiants UserName1 et Password1 pour le compte sa SQL. SQL Server2 utilise les identifiants UserName2 et Password2 pour le compte sa SQL. Le pack d’administration SQL dispose d'un seul profil "Run As" SQL utilisé pour tous les serveurs SQL. Vous pouvez ensuite définir un compte 'Exécuter en tant que' pour l'ensemble d'informations d’identification UserName1 et un autre compte 'Exécuter en tant que' pour l'ensemble d'informations d’identification UserName2. Ces deux comptes d’identification peuvent être associés au profil d’identification SQL Server et peuvent être configurés pour distribution aux ordinateurs appropriés. Autrement dit, UserName1 est distribué à SQL Server1 et UserName2 est distribué à SQL Server2. Les informations de compte envoyées entre le serveur d’administration et l’ordinateur désigné sont chiffrées.
Sécurité du compte d'exécution en tant que
Dans System Center Operations Manager, les informations d'identification du compte Run As sont distribuées uniquement aux ordinateurs que vous spécifiez (l'option la plus sécurisée). Si Operations Manager distribuait automatiquement le Runs As account selon les résultats de la découverte, cela pourrait introduire un risque de sécurité dans votre environnement, comme le montre l’exemple suivant. C’est pourquoi une option de distribution automatique n’a pas été incluse dans Operations Manager.
Par exemple, Operations Manager identifie un ordinateur comme hébergeant SQL Server 2016 en fonction de la présence d’une clé de Registre. Il est possible de créer cette même clé de Registre sur un ordinateur qui n’exécute pas réellement une instance de SQL Server 2016. Si Operations Manager devait distribuer automatiquement les informations d’identification à tous les ordinateurs gérés par l’agent qui ont été identifiés comme ordinateurs SQL Server 2016, les informations d’identification sont envoyées à l’imposteur SQL Server et elles sont disponibles pour toute personne disposant de droits d’administrateur sur ce serveur.
Lorsque vous créez un compte d'exécution à l’aide d’Operations Manager, vous êtes invité à choisir si le compte doit être traité de manière moins sécurisée ou plus sécurisée. « Plus sécurisé » signifie que lorsque vous associez le compte Run As à un profil d'exécution, vous devez fournir les noms d’ordinateur spécifiques auxquels vous souhaitez attribuer les informations d’identification Run As. En identifiant clairement les ordinateurs de destination, vous pouvez éviter le scénario d'usurpation d'identité qui a été décrit précédemment. Si vous choisissez l’option moins sécurisée, vous n’aurez pas besoin de fournir d’ordinateurs spécifiques, et les informations d’identification seront distribuées à tous les ordinateurs gérés par l’agent.
Remarque
Les informations d’identification que vous sélectionnez pour le compte Utiliser en tant que doivent avoir au minimum des droits de connexion locale ; sinon, le module échouera.