Uitvoeren als-gebruikersaccounts en -profielen
Run As-accounts bepalen welke referenties worden gebruikt voor bepaalde acties die door de Operations Manager-agent worden uitgevoerd. Deze accounts worden centraal beheerd via de Operations-console en toegewezen aan verschillende Run As-profielen. Als een Uitvoeren als-profiel niet is toegewezen aan een bepaalde actie, wordt dit uitgevoerd onder het standaardactieaccount. In een omgeving met beperkte bevoegdheden heeft het standaardaccount mogelijk niet de vereiste machtigingen voor een bepaalde actie, en kan een Run As-profiel worden gebruikt om deze bevoegdheid te verlenen. Managementpacks kunnen 'Run As'-profielen en 'Run As'-accounts installeren om vereiste acties te ondersteunen. Als dat het geval is, moet naar de bijbehorende documentatie worden verwezen voor een vereiste configuratie.
Standaard "Run As"-accounts
De volgende tabel bevat de standaard Uitvoeren als-accounts die door Operations Manager tijdens de installatie zijn aangemaakt.
| Naam | Beschrijving | Geloofsbrief |
|---|---|---|
| Domain\ManagementServerActionAccount | Het gebruikersaccount waaronder alle regels standaard worden uitgevoerd op beheerservers. | Domeinaccount dat is opgegeven als het actie-account van de beheerserver tijdens de installatie. |
| Actie-account voor lokaal systeem | Ingebouwd systeemaccount dat wordt gebruikt als actieaccount. | Lokaal Windows-systeemaccount |
| APM-account | Application Performance Monitoring-account dat wordt gebruikt om sleutels te bieden voor het versleutelen van beveiligde gegevens die tijdens de bewaking van de toepassing zijn verzameld. Dit account wordt automatisch gemaakt zodra u uw eerste .NET-prestatiemeter maakt. | Versleuteld binair account |
| Actie-account voor datawarehouse | Wordt gebruikt voor verificatie met SQL Server die als host fungeert voor de OperationsManagerDW-database. | Domeinaccount opgegeven tijdens de installatie als het Schrijfaccount voor het Data Warehouse. |
| Account voor implementatie van datawarehouserapport | Wordt gebruikt voor verificatie tussen de beheerserver en SQL Server die als host fungeert voor Operations Manager Reporting Services. | Domeinaccount dat is opgegeven tijdens de installatie als het Data Reader-account. |
| Windows-account voor lokaal systeem | Ingebouwd SYSTEEM-account dat wordt gebruikt door het actieaccount van de agent. | Lokaal Windows-systeemaccount |
| Windows-account voor netwerkservice | Ingebouwd netwerkserviceaccount. | Windows Netwerkservice-account |
Standaard Uitvoeren als profielen
De volgende tabel bevat de Uitvoeren als-profielen die tijdens de installatie door Operations Manager zijn gemaakt.
Notitie
Als het Run As-account leeg blijft voor een specifiek profiel, wordt het standaardactieaccount (het actie-account van de beheerserver of het actie-account van de agent, afhankelijk van de locatie van de actie) gebruikt.
| Naam | Beschrijving | Uitvoeren als account |
|---|---|---|
| Account voor agenttoewijzing op basis van Active Directory | Account dat wordt gebruikt door de toewijzingsmodule die is gebaseerd op Active Directory voor het publiceren van toewijzingsinstellingen naar Active Directory. | Windows-account voor lokaal systeem |
| Account voor automatisch agentbeheer | Dit account wordt gebruikt om agentfouten automatisch te diagnosticeren. | Geen |
| Account voor bewaking van cliëntacties | Indien opgegeven, gebruikt door Operations Manager om alle clientbewakingsmodules uit te voeren. Als dit niet is opgegeven, gebruikt Operations Manager het standaardactieaccount. | Geen |
| Account voor aangesloten beheergroep | Account dat wordt gebruikt door het Operations Manager-management pack om de verbindingsstatus met de verbonden beheergroepen te bewaken. | Geen |
| Datawarehouse-account | Indien opgegeven, wordt dit account gebruikt om alle verzamelings- en synchronisatieregels voor datawarehouses uit te voeren in plaats van het standaardactieaccount. Als dit account niet wordt overschreven door het SQL Server-verificatieaccount van Data Warehouse, wordt dit account gebruikt door verzamelings- en synchronisatieregels om verbinding te maken met de Data Warehouse-databases met behulp van geïntegreerde Windows-verificatie. | Geen |
| Implementatieaccount voor rapporten van het datawarehouse | Dit account wordt gebruikt door procedures voor automatische implementatie van datawarehouse-rapporten voor het uitvoeren van verschillende rapportimplementatiebewerkingen. | Implementatieaccount voor datawarehouserapporten |
| Sql Server-verificatieaccount voor Data Warehouse | Indien opgegeven, wordt deze aanmeldingsnaam en -wachtwoord gebruikt door verzamelings- en synchronisatieregels om verbinding te maken met de Data Warehouse-databases met behulp van SQL Server-verificatie. | Sql Server-verificatieaccount voor Data Warehouse |
| MPUpdate-actieaccount | Dit account wordt gebruikt door de MPUpdate-notifier. | Geen |
| Notificatieaccount | Windows-account dat door meldingsregels wordt gebruikt. Gebruik het e-mailadres van dit account als het e-mailadres en het chatbericht Van. | Geen |
| Operationeel database-account | Dit account wordt gebruikt voor het lezen en schrijven van gegevens naar de Operations Manager-database. | Geen |
| Geprivilegieerde monitoringaccount | Dit profiel wordt gebruikt voor bewaking, dat alleen kan worden uitgevoerd met een hoog bevoegdheidsniveau voor een systeem; Bijvoorbeeld bewaking waarvoor lokale systeem- of lokale beheerdersmachtigingen zijn vereist. Dit profiel wordt standaard ingesteld op Lokaal systeem, tenzij dit specifiek wordt overschreven voor een doelsysteem. | Geen |
| Rapportage SDK SQL Server-verificatieaccount | Indien opgegeven, wordt deze aanmeldingsnaam en -wachtwoord door de SDK-service gebruikt om verbinding te maken met de Data Warehouse-databases met behulp van SQL Server-verificatie. | SDK voor rapportage sql server-verificatieaccount |
| Gereserveerd | Dit profiel is gereserveerd en mag niet worden gebruikt. | Geen |
| Account voor waarschuwingsabonnement valideren | Account gebruikt door de module 'valideren waarschuwingsabonnement', die verifieert dat meldingsabonnementen de juiste reikwijdte hebben. Dit profiel heeft beheerdersrechten nodig. | Windows-account voor lokaal systeem |
| SNMP-bewakingsaccount | Dit account wordt gebruikt voor SNMP-bewaking. | Geen |
| SNMPv3-bewakingsaccount | Dit account wordt gebruikt voor SNMPv3-bewaking. | Geen |
| Actie-account voor UNIX/Linux | THis-account wordt gebruikt voor UNIX- en Linux-toegang met lage bevoegdheden. | Geen |
| Onderhoudsaccount voor UNIX-/Linux-agent | Dit account wordt gebruikt voor bevoegde onderhoudsbewerkingen voor UNIX- en Linux-agents. Zonder dit account werken agentonderhoudsbewerkingen niet. | Geen |
| Bevoorrecht account voor UNIX/Linux | Dit account wordt gebruikt voor toegang tot beveiligde UNIX- en Linux-resources en -acties waarvoor hoge bevoegdheden zijn vereist. Zonder dit account werken sommige regels, diagnostische gegevens en herstelbewerkingen niet. | Geen |
| Actie-account voor Windows-cluster | Dit profiel wordt gebruikt voor alle detectie en bewaking van Windows-clusteronderdelen. Dit profiel wordt standaard gebruikt voor actieaccounts, tenzij het door de gebruiker wordt ingevuld. | Geen |
| actie-account voor WS-Management | Dit profiel wordt gebruikt voor WS-Management toegang. | Geen |
Inzicht in distributie en targeting
Zowel Run As-accountdistributie als Run As-accountrichting moeten correct zijn geconfigureerd om het Run As-profiel goed te laten werken.
Wanneer u een Run As-profiel configureert, selecteert u de Run As-accounts die u wilt koppelen aan het Run As-profiel. Nadat u deze koppeling hebt gemaakt, kunt u de klasse, groep of het object opgeven waarvoor het Uitvoeren als-account moet worden gebruikt voor het uitvoeren van taken, regels, monitors en ontdekkingen.
Distributie is een kenmerk van een Uitvoeren als-account en u kunt opgeven welke computers de Referenties van het Uitvoeren als-account ontvangen. U kunt ervoor kiezen om de referenties van het 'Run As-account' te verdelen naar elke agent-beheerde computer of alleen naar geselecteerde computers.
Voorbeeld van het richten van een 'Uitvoeren als'-account: Fysieke computer ABC host twee exemplaren van Microsoft SQL Server: exemplaar X en exemplaar Y. Elk exemplaar gebruikt een andere set inloggegevens voor het sa-account. U maakt een 'Uitvoeren als'-account met de sa-referenties voor exemplaar X en een ander 'Uitvoeren als'-account met de sa-referenties voor exemplaar Y. Wanneer u het 'Uitvoeren als'-profiel van SQL Server configureert, koppelt u beide 'Uitvoeren als'-accountreferenties, bijvoorbeeld die van X en Y, aan het profiel. U specificeert dat de referenties van het 'Uitvoeren als'-account voor exemplaar X moeten worden gebruikt voor SQL Server-exemplaar X, en dat de referenties van 'Uitvoeren als'-account voor exemplaar Y moeten worden gebruikt voor SQL Server-exemplaar Y. Vervolgens moet u ook elk afzonderlijk set referenties van het 'Uitvoeren als'-account configureren om te worden verspreid naar fysieke computer ABC.
Voorbeeld van Uitvoeren als-accountdistributie: SQL Server1 en SQL Server2 zijn twee verschillende fysieke computers. SQL Server1 maakt gebruik van de set referenties UserName1 en Password1 voor het SQL sa-account. SQL Server2 maakt gebruik van de set referenties UserName2 en Password2 voor het SQL sa-account. Het SQL-management pack heeft één SQL Run As-profiel dat wordt gebruikt voor alle SQL-servers. Vervolgens kunt u één Run As-account definiëren voor de referentieset van UserName1 en een ander Run As-account voor de referentieset van UserName2. Beide Run As-accounts kunnen worden gekoppeld aan het ene SQL Server Run As-profiel en kunnen worden geconfigureerd om naar de juiste computers te distribueren. Dat wil gezegd: UserName1 wordt gedistribueerd naar SQL Server1 en UserName2 wordt gedistribueerd naar SQL Server2. Accountgegevens die worden verzonden tussen de beheerserver en de aangewezen computer, worden versleuteld.
Beveiliging voor Run As-accounts
In System Center Operations Manager worden de inloggegevens van het Uitvoeren als-account alleen verspreid naar computers die u opgeeft (de veiligere optie). Als Operations Manager het Uitvoeren-als-account automatisch heeft gedistribueerd op basis van detectie, wordt er een beveiligingsrisico in uw omgeving geïntroduceerd, zoals geïllustreerd in het volgende voorbeeld. Daarom is er geen automatische distributieoptie opgenomen in Operations Manager.
Operations Manager identificeert bijvoorbeeld een computer als host voor SQL Server 2016 op basis van de aanwezigheid van een registersleutel. Het is mogelijk om dezelfde registersleutel te maken op een computer waarop geen exemplaar van SQL Server 2016 wordt uitgevoerd. Als Operations Manager de referenties automatisch zou distribueren naar alle door agents beheerde computers die zijn geïdentificeerd als SQL Server 2016-computers, zouden de referenties naar de imposter SQL Server worden verzonden en zouden ze beschikbaar zijn voor iedereen met beheerdersrechten op die server.
Wanneer u een Uitvoeren als-account maakt met Operations Manager, wordt u gevraagd om te kiezen of het Uitvoeren als-account moet worden behandeld op een minder veilige of meer veilige manier. 'Veiliger' betekent dat wanneer u het Uitvoeren als-account koppelt aan een Uitvoeren als-profiel, u de specifieke computernamen moet opgeven waarnaar u de Run As-referenties wilt distribueren. Door de doelcomputers positief te identificeren, kunt u het spoofingscenario voorkomen dat eerder is beschreven. Als u de minder veilige optie kiest, hoeft u geen specifieke computers op te geven en worden de referenties gedistribueerd naar alle door agents beheerde computers.
Notitie
De referenties die u voor het Uitvoeren als-account selecteert, moeten minimaal lokale aanmeldingsrechten hebben; anders mislukt de module.