Run As-accounts en -profielen
Belangrijk
Deze versie van Operations Manager heeft het einde van de ondersteuning bereikt. U wordt aangeraden een upgrade uit te voeren naar Operations Manager 2022.
Uitvoeren als-accounts bepalen welke referenties worden gebruikt voor bepaalde acties die worden uitgevoerd door de Operations Manager-agent. Deze accounts worden centraal beheerd via de Operations-console en worden toegewezen aan verschillende Uitvoeren als-profielen. Als een Uitvoeren als-profiel niet is toegewezen aan een bepaalde actie, wordt dit uitgevoerd onder het account Standaardactie. In een omgeving met beperkte bevoegdheden heeft het standaardaccount wellicht niet de vereiste machtigingen voor een bepaalde actie, en kan een Uitvoeren als-profiel worden gebruikt omdat dit wel over het juiste machtigingsniveau beschikt. Management packs kunnen Uitvoeren als-profielen en Uitvoeren als-accounts installeren om gewenste acties uit te voeren. Als dit het geval is, moet naar hun documentatie worden verwezen voor elke vereiste configuratie.
Standaard Uitvoeren als-accounts
De volgende tabel bevat de standaard Uitvoeren als-accounts die tijdens de installatie door Operations Manager zijn gemaakt.
| Naam | Beschrijving | Referentie |
|---|---|---|
| Domain\ManagementServerActionAccount | Het gebruikersaccount waaronder alle regels standaard worden uitgevoerd op beheerservers. | Domeinaccount dat als actie-account van de beheerserver is opgegeven tijdens de installatie. |
| Actie-account van lokaal systeem | Ingebouwd systeemaccount dat dient als actie-account | Lokaal systeemaccount van Windows |
| APM-account | APM-account (Application Performance Monitoring) dat wordt gebruikt om sleutels te verschaffen voor het coderen van beveiligde informatie die tijdens bewaking van de toepassing is verzameld. Dit account wordt automatisch gemaakt zodra u uw eerste .NET-prestatiemeter hebt gemaakt. | Versleuteld binair account |
| Actie-account van datawarehouse | Wordt gebruikt voor verificatie bij SQL Server die als host fungeert voor de OperationsManagerDW-database. | Domeinaccount dat tijdens de installatie is opgegeven als het datawarehouse-schrijfaccount. |
| Implementatie-account voor datawarehouse-rapport | Wordt gebruikt voor verificatie tussen de beheerserver en SQL Server die als host fungeert voor Operations Manager Reporting Services. | Domeinaccount dat tijdens de installatie is opgegeven als het gegevenslezer-account. |
| Windows-account van lokaal systeem | Ingebouwd SYSTEM-account dat door het actie-account van de agent wordt gebruikt | Lokaal systeemaccount van Windows |
| Windows-account van netwerkservice | Ingebouwd netwerkserviceaccount. | Windows NetworkService-account |
Standaard Uitvoeren als-profielen
De volgende tabel bevat de Uitvoeren als-profielen die tijdens de installatie door Operations Manager zijn gemaakt.
Notitie
Als het Uitvoeren als-account leeg wordt gelaten voor een bepaald profiel, wordt het standaardactieaccount (het actie-account van de beheerserver of het actie-account van de agent, afhankelijk van de locatie van de actie) gebruikt.
| Naam | Beschrijving | Run As-account |
|---|---|---|
| Account voor de toewijzing van agenten via Active Directory | Account waarmee een Active Directory-module voor de toewijzing van agenten toewijzingsinstellingen publiceert naar Active Directory. | Windows-account van lokaal systeem |
| Account voor automatisch agentbeheer | Dit account wordt gebruikt om automatisch agentfouten te diagnosticeren. | Geen |
| Actieaccount voor clientbewaking | Indien opgegeven, gebruikt door Operations Manager om alle clientbewakingsmodules uit te voeren. Indien niet opgegeven, wordt door Operations Manager het standaardactie-account gebruikt. | Geen |
| Account verbonden beheergroep | Het account dat door het Operations Manager-management pack wordt gebruikt voor het bewaken van de status van de verbinding met de verbonden beheergroepen. | Geen |
| Datawarehouse-account | Als dit account is opgegeven, wordt het in plaats van het standaardactie-account gebruikt voor de uitvoering van alle verzamelings- en synchronisatieregels voor datawarehouses. Als dit account niet wordt overschreven door het Data Warehouse SQL Server Authentication-account, wordt dit account gebruikt door verzamelings- en synchronisatieregels om verbinding te maken met de Data Warehouse-databases met geïntegreerde Windows-verificatie. | Geen |
| Implementatie-account voor datawarehouse-rapport | Dit account wordt door procedures voor de automatische implementatie van datawarehouse-rapporten gebruikt om verschillende bewerkingen gerelateerd aan rapportimplementaties uit te voeren. | Implementatie-account voor datawarehouse-rapport |
| Account voor SQL Server-verificatie voor datawarehouse | Indien opgegeven, worden deze aanmeldingsnaam en dit wachtwoord gebruikt door verzamelings- en synchronisatieregels om verbinding te maken met de Data Warehouse databases met behulp van SQL Server verificatie. | Account voor SQL Server-verificatie voor datawarehouse |
| Account MPUpdate-actie | Dit account wordt gebruikt door de MPUpdate-melder. | Geen |
| Meldingsaccount | Windows-account dat wordt gebruikt door meldingsregels. Gebruik het e-mailadres van dit account als het afzenderadres voor e-mail- en chatberichten. | Geen |
| Operationele databaseaccount | Dit account wordt gebruikt voor het lezen en schrijven van gegevens in de Operations Manager-database. | Geen |
| Account voor controle met uitgebreide bevoegdheden | Dit profiel wordt gebruikt voor bewakingstaken die alleen kunnen worden uitgevoerd wanneer men over uitgebreide bevoegdheden beschikt voor een systeem. Bijvoorbeeld bewakingstaken die Local System- of Local Administrator-bevoegdheden vereisen. De standaardwaarde voor dit profiel is Local System, tenzij deze speciaal voor een doelsysteem wordt overschreven. | Geen |
| Account voor SQL Server-verificatie voor rapportage-SDK | Indien opgegeven, worden deze aanmeldingsnaam en dit wachtwoord gebruikt door de SDK-service om verbinding te maken met de Data Warehouse databases met behulp van SQL Server verificatie. | Account voor SQL Server-verificatie voor rapportage-SDK |
| Gereserveerd | Dit profiel is gereserveerd en mag niet worden gebruikt. | Geen |
| Account Waarschuwingsabonnement valideren | Account dat wordt gebruikt door de module voor het valideren van waarschuwingsabonnementen en die valideert dat waarschuwingsabonnementen binnen het bereik vallen. Dit profiel vereist beheerdersrechten. | Windows-account van lokaal systeem |
| SNMP-bewakingsaccount | Dit account wordt gebruikt voor SNMP-bewaking. | Geen |
| SNMPv3-bewakingsccount | Dit account wordt gebruikt voor SNMPv3-bewaking. | Geen |
| UNIX/Linux-actieaccount | Dit account wordt gebruikt voor UNIX- en Linux-toegang met beperkte bevoegdheden. | Geen |
| Account voor UNIX/Linux-agentonderhoud | Dit account wordt gebruikt voor bevoegde onderhoudsbewerkingen voor UNIX- en Linux-agents. Zonder dit account werken agentonderhoudsbewerkingen niet. | Geen |
| Gemachtigd UNIX/Linux-account | Dit account wordt gebruikt voor toegang tot beveiligde bronnen en acties voor UNIX en Linux waarvoor uitgebreide bevoegdheden vereist zijn. Zonder dit account werken sommige regels, diagnostische gegevens en herstelbewerkingen niet. | Geen |
| Actieaccount van Windows-cluster | Dit profiel wordt gebruikt voor alle vormen van detectie en bewaking van Windows-clusteronderdelen. Dit profiel is standaard ingesteld op gebruikte actieaccounts, tenzij het wordt ingevuld door de gebruiker. | Geen |
| WS-Management-actieaccount | Dit profiel wordt gebruikt voor toegang tot WS-Management. | Geen |
Distributie en doelen instellen
Een Uitvoeren als-profiel werkt alleen goed als zowel de distributie als de doelen van Uitvoeren als-accounts op de juiste manier zijn geconfigureerd.
Als u een Run As-profiel configureert, selecteert u de Run As-accounts die u aan het Run As-profiel wilt koppelen. Nadat u deze koppeling hebt gemaakt, kunt u de klasse, de groep of het object opgeven waarvoor het Uitvoeren als-account moet worden gebruikt voor het uitvoeren van taken, regels, monitors en detecties op de klasse, de groep of het object.
Distributie is een kenmerk van een Uitvoeren als-account en u kunt opgeven welke computers de referenties voor het Uitvoeren als-account ontvangen. U kunt ervoor kiezen de referenties van het Run As-account te distribueren naar alle door agents beheerde computers of alleen naar bepaalde computers.
Voorbeeld van Uitvoeren als-account: fysieke computer ABC host twee exemplaren van Microsoft SQL Server: exemplaar X en exemplaar Y. Elk exemplaar gebruikt een andere set referenties voor het sa-account. U maakt een Uitvoeren als-account met de sa-referenties voor instantie X, en u maakt een ander Uitvoeren als-account met de sa-referenties voor instantie Y. Als u het SQL Server Uitvoeren als-profiel configureert, koppelt u beide Uitvoeren als-accountreferenties (bijvoorbeeld X en Y) aan het profiel en geeft u op dat de Uitvoeren als-accountreferenties voor instantie X moeten worden gebruikt voor SQL Server-instantie X en dat de Uitvoeren als-accountreferenties voor instantie Y moeten worden gebruikt voor SQL Server-instantie Y. Vervolgens moet u ook elke set Uitvoeren als-accountreferenties zodanig configureren dat ze naar de fysieke computer ABC worden gedistribueerd.
Voorbeeld van de distributie van een Uitvoeren als-account: SQL Server1 en SQL Server2 zijn twee verschillende fysieke computers. SQL Server1 gebruikt de referentieset Gebruikersnaam1 en Wachtwoord1 voor het SQL-sa-account. SQL Server2 gebruikt de referentieset Gebruikersnaam2 en Wachtwoord2 voor het SQL-sa-account. Het management pack voor SQL heeft een enkel SQ Uitvoeren als-profiel dat wordt gebruikt voor alle SQL-Servers. U kunt vervolgens één Uitvoeren als-account definiëren voor gebruikersnaam1 set referenties en een ander Uitvoeren als-account voor Gebruikersnaam2 set referenties. Beide Uitvoeren als-accounts kunnen worden gekoppeld aan een Uitvoeren als-account van SQL Server en kunnen worden geconfigureerd om te worden gedistribueerd naar de juiste computers. Dat wil gezegd dat UserName1 wordt gedistribueerd naar SQL Server1 en UserName2 wordt gedistribueerd naar SQL Server2. Accountgegevens die wordt verzonden tussen de beheerserver en de opgegeven computer, worden versleuteld.
De beveiliging van Uitvoeren als-accounts
In System Center Operations Manager worden de referenties van het Uitvoeren als-account alleen gedistribueerd naar computers die u opgeeft (de veiligere optie). Als Operations Manager het Uitvoeren als-account automatisch zou distribueren op basis van detectie, zou er een beveiligingsrisico ontstaan in uw omgeving, zoals wordt geïllustreerd in het volgende voorbeeld. Daarom is er geen optie voor automatische distributie opgenomen in Operations Manager.
Operations Manager identificeert een computer bijvoorbeeld als host van SQL Server 2016 op basis van de aanwezigheid van een registersleutel. Het is mogelijk om dezelfde registersleutel te maken op een computer waarop niet daadwerkelijk een exemplaar van SQL Server 2016 wordt uitgevoerd. Als Operations Manager de referenties automatisch zou distribueren naar alle door agents beheerde computers die zijn geïdentificeerd als SQL Server 2016-computers, zouden de referenties naar de bedriegende SQL Server worden verzonden en zouden ze beschikbaar zijn voor iedereen met beheerdersrechten op die server.
Wanneer u een Uitvoeren als-account maakt met Operations Manager, wordt u gevraagd om te kiezen of het Uitvoeren als-account op een minder veilige of veiligere manier moet worden behandeld. Een hoger beveiligingsniveau betekent dat u als u het Uitvoeren als-account aan een Uitvoeren als-profiel koppelt, de specifieke computernamen moet opgeven waarnaar u de Uitvoeren als-referenties wilt distribueren. Door de doelcomputers positief te identificeren, kunt u het hierboven beschreven bedriegersscenario voorkomen. Als u de minder veilige optie kiest, hoeft u geen specifieke computers op te geven en worden de referenties gedistribueerd naar alle door agent beheerde computers.
Notitie
De referenties die u voor het Uitvoeren als-account selecteert, moeten ten minste lokale aanmeldingsrechten hebben, anders mislukt de module.