Articolo
06/15/2016

Informazioni sugli account per Operations Manager

Si applica a: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager

Durante l'installazione e l'utilizzo di System Center 2012 – Operations Manager, viene richiesto di specificare le credenziali di vari account. In questa sezione vengono fornite informazioni sui vari account e su come modificare le credenziali o le password degli account dopo una distribuzione.

Account azione
Account servizio
Account installazione agente
Account scrittura data warehouse
Account lettore dati

Account azione

Il server di gestione di Operations Manager, il server gateway e l’agente contengono tutti un processo denominato MonitoringHost.exe. MonitoringHost.exe viene utilizzato per eseguire attività di monitoraggio, quali l'esecuzione di un monitoraggio o un'attività. Ad esempio, quando un agente esegue la sottoscrizione al registro eventi per leggere gli eventi, queste attività vengono eseguite dal processo MonitoringHost.exe. Un processo MonitoringHost.exe esegue le attività come account azione. L'account azione per il processo MonitoringHost.exe che è in esecuzione in un agente viene denominato account azione agente. L'account azione utilizzato dal processo MonitoringHost.exe in un server di gestione viene denominato account azione del server di gestione. L'account azione utilizzato dal processo MonitoringHost.exe in un server gateway viene denominato account azione del server gateway.

Se si convalida o modifica l'account azione predefinito, è necessario verificare che l'account che si utilizza per l'account azione predefinito sia configurato come membro Ruolo del ruolo database ConfigServiceMonitoringUsers.

Per convalidare l'account azione

Nel server che ospita il database operativo, aprire SQL Server Management Studio e collegarsi al server locale.
Espandere Database e quindi espandere il database operativo che per impostazione predefinita è OperationsManager.
Espandere Protezione, quindi Ruoli e infine Ruoli database.
Verificare che il ruolo ConfigServiceMonitoringUsers sia elencato.
Se il ruolo non è elencato, fare clic con il pulsante destro del mouse su Ruoli database per aggiungerlo.

Account azione agente

A meno che un'azione non sia associata a un profilo RunAs, le credenziali utilizzate per eseguire l'azione sono quelle definite per l'account azione. Per ulteriori informazioni sul profilo RunAs, vedere Managing Run As Accounts and Profiles (Gestione di account e profili RunAs). Di seguito sono riportati alcuni esempi di azioni:

Monitoraggio e raccolta di dati del registro eventi Windows;
Monitoraggio e raccolta di dati del contatore prestazioni Windows;
Monitoraggio e raccolta di dati di Strumentazione gestione Windows (WMI);
esecuzione di azioni come script o file batch

MonitoringHost.exe è il processo che esegue queste azioni utilizzando le credenziali specificate nell'account azione. Per ogni account viene creata una nuova istanza di MonitoringHost.exe.

Utilizzo di un account con privilegi limitati

Quando si installa Operations Manager, per l'assegnazione dell'account azione è possibile scegliere tra due opzioni:

Sistema locale
Account di dominio o locale

L'approccio più diffuso consiste nello specificare un account di dominio che consenta di selezionare un utente con il minimo di privilegi possibile.

L'account azione predefinito deve disporre dei privilegi minimi riportati di seguito:

Membro del gruppo di utenti locale
Membro del gruppo locale utenti monitoraggio prestazioni
Autorizzazione Consenti accesso locale (SetInteractiveLogonRight)

I privilegi sopra descritti sono i privilegi minimi che Operations Manager supporta per l'account azione. Altri account RunAs possono disporre di privilegi più limitati. I privilegi effettivi richiesti per gli account RunAs dipendono dai Management Pack in esecuzione nel computer e dalla relativa configurazione. Per ulteriori informazioni sulle credenziali specifiche necessarie, vedere la guida del Management Pack appropriato.

Quando si scelgono le credenziali per l'account azione agente, tenere presente quanto segue:

Per gli agenti utilizzati per monitorare i controller di dominio è sufficiente un account con privilegi limitati.
Se si utilizza un account di dominio è necessario aggiornare la password in base ai criteri di scadenza della password.
Interrompere e quindi avviare il servizio di gestione di System Center se l'account azione è stato configurato per utilizzare un account con privilegi limitati e l'account è stato aggiunto ai gruppi necessari mentre era in esecuzione il servizio di gestione di System Center.

Account azione notifica

L'account azione notifica è un account RunAs creato dall'utente per configurare le notifiche. Si tratta dell'account azione utilizzato per creare e inviare notifiche. Verificare che le credenziali utilizzate per questo account dispongano di diritti sufficienti per il server SMTP, il server messaggistica istantanea, o il server SIP che si utilizzeranno per le notifiche.

Se si modifica la password per le credenziali immesse per l'account azione notifica, è necessario apportare le stesse modifiche alla password per l'account RunAs.

Gestione delle credenziali dell'account azione

Per l'account scelto, Operations Manager stabilisce la data di scadenza della password e genera un avviso 14 giorni prima della scadenza dell'account. Quando si modifica la password in Active Directory, è possibile modificare la password per l'account azione in Operations Manager nella scheda Account della pagina Proprietà account RunAs. Per ulteriori informazioni sulla gestione delle credenziali dell'account azione, vedere Come modificare le credenziali per l'Account azione.

Account servizio

L'insieme di credenziali dell'account servizio di configurazione di System Center e servizio di accesso ai dati di System Center è utilizzato dal servizio di accesso ai dati di System Center e dal servizio di configurazione gestione di System Center per aggiornare e leggere le informazioni nel database operativo. Operations Manager verifica che le credenziali utilizzate per l'account del servizio DAS siano assegnate al ruolo sdk_user nel database operativo. L'account servizio di configurazione di System Center e servizio di accesso ai dati di System Center può essere configurato come account di sistema locale o come account di dominio. Un account utente locale non è supportato.

Se il server di gestione e il database operativo si trovano in computer diversi, è necessario modificare l'account servizio di configurazione di System Center e servizio di accesso ai dati di System Center in un account di dominio. Per motivi di sicurezza, è consigliabile utilizzare un account diverso dall'account azione del server di gestione. Per modificare questi account, vedere Modalità di modifica credenziali per il servizio di accesso ai dati di System Center e il servizio di configurazione di gestione di System Center.

Account installazione agente

Quando si implementa la distribuzione di un agente basato sull'individuazione, viene visualizzata la richiesta di un account con diritti di amministratore. L'account serve per installare l'agente nel computer e, di conseguenza, deve essere amministratore locale su tutti i computer in cui si installano gli agenti. L'account azione del server di gestione è l'account predefinito per l'installazione dell'agente. Se l'account azione del server di gestione non dispone dei diritti di amministratore, selezionare Altro account utente e digitare un account che disponga dei diritti di amministratore. L'account viene crittografato prima dell'utilizzo e quindi viene eliminato.

Account scrittura data warehouse

L'account di scrittura del data warehouse scrive i dati dal server di gestione nel data warehouse per reporting e legge i dati dal database operativo. Le credenziali fornite per l'account diventano un membro dei ruoli in base all'applicazione, come descritto nella tabella seguente.

Nota

Per informazioni sulle configurazioni supportate per System Center 2012 – Operations Manager, vedere Configurazioni supportate per System Center 2012 - Operations Manager.

Applicazione	Database/Ruolo	Ruolo/Account
Versioni supportate di Microsoft SQL Server	Database operativo	db_datareader
Versioni supportate di Microsoft SQL Server	Database operativo	dwsync_user
Versioni supportate di Microsoft SQL Server	Database data warehouse	OpsMgrWriter
Versioni supportate di Microsoft SQL Server	Database data warehouse	db_owner
Operations Manager	Ruolo utente	Account amministratori sicurezza report di Operations Manager
Operations Manager	account RunAs	Account azione data warehouse
Operations Manager	account RunAs	Account lettore sincronizzazione configurazione data warehouse

Se si modifica la password per le credenziali immesse per l'account scrittura data warehouse, è necessario apportare le stesse modifiche alla password per gli account seguenti:

account RunAs denominato account azione data warehouse
account RunAs denominato account lettore sincronizzazione configurazione data warehouse

Account lettore dati

Questo account viene utilizzato per distribuire report, definire quale utente utilizza SQL Server Reporting Services per eseguire le query nel data warehouse per reporting e per collegare l'account del pool di applicazioni IIS di SQL Server Reporting Services al server di gestione. Questo account viene aggiunto al profilo utente amministratore report.

Le credenziali fornite per l'account diventano un membro dei ruoli in base all'applicazione, come descritto nella tabella seguente.