Gestire account e profili RunAs
I flussi di lavoro di System Center Operations Manager, ad esempio regole, attività, monitoraggi e individuazioni, richiedono credenziali per l'esecuzione in un agente o in un computer di destinazione. Per impostazione predefinita, i flussi di lavoro utilizzano l'account azione predefinito per l'agente o il computer. Le credenziali per l'account azione predefinito vengono configurate quando è installato Operations Manager.
Quando un flusso di lavoro richiede diritti e privilegi che l'account azione predefinito non può fornire, il flusso di lavoro può essere scritto per usare un profilo RunAs. Un profilo RunAs può avere più account RunAs associati. Gli account RunAs consentono di specificare le credenziali necessarie per computer specifici. Più flussi di lavoro possono utilizzare lo stesso profilo RunAs. Nella seguente immagine viene illustrata la relazione tra i flussi di lavoro, i profili RunAs e gli account RunAs.
Nell'immagine, tre flussi di lavoro utilizzano lo stesso profilo RunAs. Il profilo RunAs dispone di tre account RunAs associati. In questo esempio, ciascun flusso di lavoro che utilizza il profilo RunAs viene eseguito sul computer A utilizzando le credenziali per l'account RunAs 1, sul computer B e C utilizzando le credenziali per l'account RunAs 2 e sul computer D utilizzando le credenziali per l'account RunAs 3.
I profili RunAs sono definiti nel Management Pack dall'autore del Management Pack. Un profilo RunAs viene utilizzato ogni volta che il relativo Management Pack padre è attivo. Ad esempio, il Management Pack di SQL Server 2014 contiene il profilo RunAs DI SQL, pertanto il profilo RunAs SQL sarà attivo in tutti i server che eseguono SQL Server 2014 monitorati dal Management Pack di SQL Server 2014. Il profilo RunAs è un'associazione di uno o più account RunAs e degli oggetti gestiti a cui tali account vanno applicati.
In alcuni casi, il profilo RunAs viene importato in Operations Manager quando viene importato il Management Pack che lo contiene. In altri casi, potrebbe essere necessario creare il profilo manualmente. In tutti i casi, i profili RunAs devono essere associati manualmente a un account RunAs.
Un account RunAs contiene un singolo set di credenziali, archiviato nel database operativo di Operations Manager. Ogni account RunAs dispone di una classificazione di sicurezza (superiore o inferiore) che controlla la modalità di distribuzione delle credenziali da utilizzare. Se si sceglie la distribuzione più sicura delle credenziali, è necessario configurare il mapping dei computer a cui vengono distribuite le credenziali.
Disabilitare gli account RunAs
Con Operations Manager 2022, gli amministratori possono gestire le credenziali degli utenti necessarie per eseguire le attività nella console di Operations Manager.
Nelle versioni precedenti, per impostazione predefinita, gli utenti con autorizzazioni limitate hanno l'opzione Usa l'opzione Account RunAs predefinita abilitata. Gli amministratori possono ora disabilitare questa opzione. Se disabilitato, tutti gli utenti non amministratori dovranno fornire le credenziali per eseguire le attività tramite la console o PowerShell start-SCOMTask.
Per disabilitare l'opzione, gli amministratori devono passare a Impostazioni>Esecuzione>varie attività e quindi selezionare Disabilitato.
È possibile avere più gruppi di gestione connessi tra loro e visualizzare avvisi di gruppi di gestione diversi in una singola console operatore.
Gli utenti possono anche eseguire attività nei computer negli altri gruppi di gestione. Le impostazioni saranno effettive dal gruppo di gestione da cui è in esecuzione la console operatore o la sessione di PowerShell.
Ad esempio, se il gruppo di gestione 1 (MG1) ha l'opzione Abilitato e gruppo di gestione 2 (MG2) ha questa opzione come Disabilitato, gli utenti possono eseguire l'attività da una console in MG1 senza credenziali, indipendentemente dal fatto che l'oggetto di destinazione sia in MG1 o MG2.
Analogamente, se un utente esegue un'attività da PowerShell in MG2, saranno necessarie credenziali per l'attività se la destinazione è in MG1.
Passaggi successivi
Distribuzione e destinazione per account e profili RunAs
Questo articolo illustra la differenza tra distribuzione e destinazione, le opzioni per la distribuzione degli account RunAs e le opzioni per la selezione di destinazioni per i profili RunAs.
Come creare un account RunAs e associarlo a un profilo RunAs
Questo articolo illustra come creare un account RunAs, come modificare un account RunAs esistente e come configurare un profilo RunAs per l'uso di un account RunAs.
Come creare un nuovo account azione
Questo articolo illustra come creare un nuovo account azione RunAs che verrà usato dai server di gestione nel gruppo di gestione.