Orchestrator Service Accounts
Gepubliceerd: maart 2016
Is van toepassing op: System Center 2012 SP1 - Orchestrator, System Center 2012 - Orchestrator, System Center 2012 R2 Orchestrator
Voor de services in de volgende tabel zijn serviceaccounts vereist. U moet deze accounts maken voordat u de onderdelen installeert die er gebruik van maken. Hieronder vindt u informatie voor elk account.
| Server | Service |
|---|---|
| Managementserver | Orchestrator Management Service Orchestrator Runbook Server Monitor-service |
| Runbookserver | Orchestrator Runbook Service |
Orchestrator Management Service-account
Orchestrator Management Service wordt geïnstalleerd op de managementserver. Het serviceaccount ervan wordt opgegeven tijdens de installatie van Orchestrator. Als u de managementserver en de runbookserver op hetzelfde moment op dezelfde computer hebt geïnstalleerd, is dit het account dat door Management Server Service en Runbook Server Service op elke computer wordt gebruikt voor de toegang tot systeemresources. Als u de runbookserver hebt geïnstalleerd nadat u de managementserver al had geïnstalleerd, of als u de runbookserver hebt geïnstalleerd op een andere computer, kunt u verschillende accounts gebruiken.
Orchestrator Management Service is verantwoordelijk voor het beheer van de Orchestration-database, de communicatie met de Runbook Designers en de communicatie met Deployment Manager.
Het account dat wordt gebruikt voor Orchestrator Management Service, kan een lokaal account op de managementserver zijn als de database lokaal is geïnstalleerd of als u gebruikmaakt van SQL Server-verificatie voor de communicatie met de database (hoewel dit niet wordt aanbevolen). Het is echter mogelijk dat deze configuratie de toegang tot andere netwerkbronnen niet toestaat. Als de database op een andere server staat, moet het account worden toegevoegd aan het Active Directory-domein, zodat het toegang heeft tot de databaseserver, of u moet gebruikmaken van SQL Server-verificatie. Gebruik die laatste optie als de databaseserver zich in een ander domein dan de managementserver bevindt.
Dit serviceaccount hoeft geen beheerderscaccount of een domeinbeheerdersaccount te zijn. Merk echter op dat voor Deployment Manager beheerdersrechten nodig zijn.
Het serviceaccount voor Management Server Service moet de volgende machtigingen hebben:
Machtiging voor aanmelding bij de managementserver als een service. Deze machtiging wordt automatisch verleend tijdens het installatieproces.
Lid van de rol Microsoft.SystemCenter.Orchestrator.Admins in de Orchestration-database. Het account wordt automatisch toegevoegd aan deze rol tijdens het installatieproces.
Orchestrator Runbook Server Monitor-serviceaccount
Runbook Server Monitor wordt op de managementserver geïnstalleerd en is verantwoordelijk voor de bewaking van de status van runbookservers. Het maakt gebruik van hetzelfde account als Orchestrator Management Service en vereist dezelfde machtigingen.
Orchestrator Runbook Service-account
Runbook Server Service wordt geïnstalleerd op elke runbookserver. Als u de managementserver en de runbookserver op hetzelfde moment op dezelfde computer hebt geïnstalleerd, is dit het account dat door Management Server Service en Runbook Server Service op elke computer wordt gebruikt voor de toegang tot systeemresources. Als u de runbookserver hebt geïnstalleerd nadat u de managementserver al had geïnstalleerd, of als u de runbookserver hebt geïnstalleerd op een andere computer, kunt u verschillende accounts gebruiken. De service is verantwoordelijk voor de uitvoering van runbooks en voor de communicatie met de Orchestration-database.
Standaard worden alle activiteiten in een runbook uitgevoerd onder het serviceaccount van de runbookserver waarop ze worden uitgevoerd. Sommige activiteiten kunnen andere referenties opgeven, die al naar gelang de behoefte kunnen worden gebruikt voor afzonderlijke acties. Omdat runbookactiviteiten toegang hebben tot resources op andere computers, moet het account dat voor Orchestrator Runbook Service wordt gebruikt, bij voorkeur een Active Directory-domeinaccount zijn, zodat het toegang kan krijgen tot deze externe resources.
Het account voor Orchestrator Runbook Service moet de volgende machtigingen hebben:
Machtiging voor aanmelding bij de runbookserver als een service.
Afhankelijk van de resources waartoe de activiteiten in uw runbooks toegang hebben, zijn voor het serviceaccount mogelijk aanvullende referenties op externe computers vereist. Specifieke activiteiten kunnen ook worden geconfigureerd met andere referenties, als het serviceaccount geen toegang heeft tot bepaalde resources.