Konta i profile Uruchom jako
Konta Uruchom jako definiują poświadczenia używane dla określonych akcji wykonywanych przez agenta programu Operations Manager. Te konta są centralnie zarządzane za pośrednictwem konsoli Operacje i przypisane do różnych profilów Uruchom jako. Jeśli profil Uruchom jako nie jest przypisany do określonej akcji, zostanie on przeprowadzony na domyślnym koncie działania. W środowisku o niskich uprawnieniach domyślne konto może nie mieć wymaganych uprawnień dla określonej akcji, a profil Uruchom jako może służyć do udostępniania tego urzędu. Pakiety administracyjne mogą instalować profile Uruchom jako i konta Uruchom jako w celu obsługi wymaganych akcji. Jeśli tak, należy odwołać się do dokumentacji dla każdej wymaganej konfiguracji.
Domyślne konta Uruchom jako
W poniższej tabeli wymieniono domyślne konta Uruchom jako utworzone przez program Operations Manager podczas instalacji.
| Nazwa/nazwisko | opis | Referencja |
|---|---|---|
| Domain\ManagementServerActionAccount | Konto użytkownika, na którym wszystkie reguły są domyślnie uruchamiane na serwerach zarządzania. | Konto domeny określone jako konto działania serwera zarządzania podczas instalacji. |
| Konto działania systemu lokalnego | Wbudowane konto systemowe używane jako konto działania. | Konto systemu Lokalnego systemu Windows |
| Konto APM | Konto aplikacji monitor wydajności używane do udostępniania kluczy do szyfrowania bezpiecznych informacji zebranych z aplikacji podczas monitorowania. To konto jest tworzone automatycznie po utworzeniu pierwszego monitor wydajności platformy .NET. | Zaszyfrowane konto binarne |
| Konto działania magazynu danych | Służy do uwierzytelniania za pomocą programu SQL Server hostowania bazy danych OperationsManagerDW. | Konto domeny określone podczas instalacji jako konto zapisu magazynu danych. |
| Konto wdrażania raportów magazynu danych | Służy do uwierzytelniania między serwerem zarządzania i programem SQL Server hostujący usługi Operations Manager Reporting Services. | Konto domeny określone podczas instalacji jako konto czytnika danych. |
| Konto systemu Windows lokalnego | Wbudowane konto SYSTEMOWE używane przez konto działania agenta. | Konto systemu Lokalnego systemu Windows |
| Konto usługi sieciowej systemu Windows | Wbudowane konto usługi sieciowej. | Konto usługi sieciowej systemu Windows |
Domyślne profile Uruchom jako
W poniższej tabeli wymieniono profile Uruchom jako utworzone przez program Operations Manager podczas instalacji.
Uwaga
Jeśli konto Uruchom jako pozostanie puste dla określonego profilu, zostanie użyte domyślne konto działania (konto działania serwera zarządzania lub konto działania agenta w zależności od lokalizacji akcji).
| Nazwa/nazwisko | opis | Konto Uruchom jako |
|---|---|---|
| Konto przypisania agenta opartego na usłudze Active Directory | Konto używane przez moduł przypisywania agenta opartego na usłudze Active Directory do publikowania ustawień przypisania w usłudze Active Directory. | Konto systemu Windows lokalnego |
| Konto automatycznego zarządzania agentami | To konto służy do automatycznego diagnozowania błędów agenta. | Brak |
| Konto działania monitorowania klienta | Jeśli zostanie określony, używany przez program Operations Manager do uruchamiania wszystkich modułów monitorowania klienta. Jeśli nie zostanie określony, program Operations Manager używa domyślnego konta działania. | Brak |
| Połączone konto grupy zarządzania | Konto używane przez pakiet administracyjny programu Operations Manager do monitorowania kondycji połączenia z połączonymi grupami zarządzania. | Brak |
| Konto magazynu danych | Jeśli zostanie określone, to konto jest używane do uruchamiania wszystkich reguł zbierania i synchronizacji magazynu danych zamiast domyślnego konta działania. Jeśli to konto nie jest zastępowane przez konto uwierzytelniania programu SQL Server usługi Data Warehouse, to konto jest używane przez reguły zbierania i synchronizacji do łączenia się z bazami danych magazynu danych przy użyciu zintegrowanego uwierzytelniania systemu Windows. | Brak |
| Konto wdrażania raportów magazynu danych | To konto jest używane przez procedury automatycznego wdrażania raportów magazynu danych do wykonywania różnych operacji związanych z wdrażaniem raportów. | Konto wdrażania raportów magazynu danych |
| Konto uwierzytelniania programu SQL Server magazynu danych | Jeśli zostanie określona, ta nazwa logowania i hasło są używane przez reguły zbierania i synchronizacji w celu nawiązania połączenia z bazami danych magazynu danych przy użyciu uwierzytelniania programu SQL Server. | Konto uwierzytelniania programu SQL Server magazynu danych |
| Konto działania programu MPUpdate | To konto jest używane przez powiadomienie MPUpdate. | Brak |
| Konto powiadomień | Konto systemu Windows używane przez reguły powiadomień. Użyj adresu e-mail tego konta jako adresu e-mail i wiadomości błyskawicznej "Od". | Brak |
| Konto operacyjnej bazy danych | To konto służy do odczytywania i zapisywania informacji w bazie danych programu Operations Manager. | Brak |
| Uprzywilejowane konto monitorowania | Ten profil jest używany do monitorowania, które można wykonać tylko z wysokim poziomem uprawnień do systemu; na przykład monitorowanie, które wymaga uprawnień systemu lokalnego lub administratora lokalnego. Ten profil domyślnie ma wartość System lokalny, chyba że specjalnie zostanie zastąpiony dla systemu docelowego. | Brak |
| Konto uwierzytelniania programu SQL Server dla zestawu SDK raportowania | Jeśli zostanie określona, ta nazwa logowania i hasło są używane przez usługę SDK do łączenia się z bazami danych magazynu danych przy użyciu uwierzytelniania programu SQL Server. | Konto uwierzytelniania programu SQL Server dla zestawu SDK raportowania |
| Zarezerwowana | Ten profil jest zarezerwowany i nie może być używany. | Brak |
| Weryfikowanie konta subskrypcji alertu | Konto używane przez moduł subskrypcji weryfikowania alertów, który sprawdza, czy subskrypcje powiadomień są w zakresie. Ten profil wymaga uprawnień administratora. | Konto systemu Windows lokalnego |
| Konto monitorowania SNMP | To konto jest używane do monitorowania SNMP. | Brak |
| Konto monitorowania SNMPv3 | To konto jest używane do monitorowania SNMPv3. | Brak |
| Konto działania systemu UNIX/Linux | Konto THis jest używane do uzyskiwania dostępu do systemów UNIX i Linux o niskim poziomie uprawnień. | Brak |
| Konto konserwacji agenta systemu UNIX/Linux | To konto jest używane na potrzeby uprzywilejowanych operacji konserwacji dla agentów systemów UNIX i Linux. Bez tego konta operacje konserwacji agenta nie działają. | Brak |
| Uprzywilejowane konto systemu UNIX/Linux | To konto służy do uzyskiwania dostępu do chronionych zasobów systemów UNIX i Linux oraz akcji wymagających wysokich uprawnień. Bez tego konta niektóre reguły, diagnostyka i odzyskiwanie nie działają. | Brak |
| Konto działania klastra systemu Windows | Ten profil jest używany do odnajdywania i monitorowania składników klastra systemu Windows. Ten profil domyślnie używa kont akcji, chyba że zostanie on wypełniony przez użytkownika. | Brak |
| Konto działania zarządzania usługami WS | Ten profil jest używany do uzyskiwania dostępu do usługi WS-Management. | Brak |
Omówienie dystrybucji i określania wartości docelowych
Aby profil Uruchom jako działał prawidłowo, zarówno dystrybucja konta Uruchom jako, jak i konto Uruchom jako muszą być poprawnie skonfigurowane.
Podczas konfigurowania profilu Uruchom jako należy wybrać konta Uruchom jako, które chcesz skojarzyć z profilem Uruchom jako. Po utworzeniu tego skojarzenia można określić klasę, grupę lub obiekt, dla którego konto Uruchom jako ma być używane do uruchamiania zadań, reguł, monitorów i odnajdywania.
Dystrybucja jest atrybutem konta Uruchom jako i można określić, które komputery otrzymują poświadczenia konta Uruchom jako. Możesz dystrybuować poświadczenia konta Uruchom jako do każdego komputera zarządzanego przez agenta lub tylko do wybranych komputerów.
Przykład określania wartości docelowej konta Uruchom jako: komputer fizyczny ABC hostuje dwa wystąpienia programu Microsoft SQL Server: wystąpienie X i wystąpienie Y. Każde wystąpienie używa innego zestawu poświadczeń dla konta sa. Utworzysz konto Uruchom jako z poświadczeniami sa na przykład X i utworzysz inne konto Uruchom jako z poświadczeniami sa na przykład Y. Podczas konfigurowania profilu Uruchom jako programu SQL Server należy skojarzyć zarówno poświadczenia konta Uruchom jako — na przykład X i Y — z profilem i określić, że poświadczenia konta Uruchom jako X mają być używane dla wystąpienia programu SQL Server X i że poświadczenia konta Uruchom jako Y mają być używane dla wystąpienia programu SQL Server Y. Następnie należy również skonfigurować każdy zestaw poświadczeń konta Uruchom jako, które mają być dystrybuowane do komputera fizycznego ABC.
Przykład dystrybucji konta Uruchom jako: SQL Server1 i SQL Server2 to dwa różne komputery fizyczne. Program SQL Server1 używa zestawu poświadczeń UserName1 i Password1 dla konta programu SQL sa. Program SQL Server2 używa zestawu poświadczeń UserName2 i Password2 dla konta programu SQL sa. Pakiet administracyjny SQL ma jeden profil Uruchom jako SQL, który jest używany dla wszystkich serwerów SQL. Następnie można zdefiniować jedno konto Uruchom jako dla zestawu poświadczeń UserName1 i inne konto Uruchom jako dla zestawu poświadczeń UserName2. Oba te konta Uruchom jako można skojarzyć z jednym profilem Uruchom jako programu SQL Server i można je skonfigurować tak, aby były dystrybuowane na odpowiednich komputerach. Oznacza to, że nazwa_użytkownika1 jest dystrybuowana do programu SQL Server1, a nazwa_użytkownika2 jest dystrybuowana do programu SQL Server2. Informacje o koncie wysyłane między serwerem zarządzania a wyznaczonym komputerem są szyfrowane.
Zabezpieczenia konta Uruchom jako
W programie System Center Operations Manager poświadczenia konta Uruchom jako są dystrybuowane tylko do określonych komputerów (opcja bezpieczniejsza). Jeśli program Operations Manager automatycznie dystrybuował konto Uruchom jako zgodnie z odnajdywaniem, w środowisku zostanie wprowadzone zagrożenie bezpieczeństwa, jak pokazano w poniższym przykładzie. Dlatego opcja automatycznej dystrybucji nie została uwzględniona w programie Operations Manager.
Na przykład program Operations Manager identyfikuje komputer jako hostowanie programu SQL Server 2016 na podstawie obecności klucza rejestru. Istnieje możliwość utworzenia tego samego klucza rejestru na komputerze, na którym faktycznie nie jest uruchomione wystąpienie programu SQL Server 2016. Jeśli program Operations Manager miał automatycznie dystrybuować poświadczenia do wszystkich komputerów zarządzanych przez agenta, które zostały zidentyfikowane jako komputery z programem SQL Server 2016, poświadczenia zostaną wysłane do imposterowego programu SQL Server i będą one dostępne dla wszystkich osób z uprawnieniami administratora na tym serwerze.
Podczas tworzenia konta Uruchom jako przy użyciu programu Operations Manager zostanie wyświetlony monit o wybranie, czy konto Uruchom jako powinno być traktowane w sposób mniej bezpieczny, czy bardziej bezpieczny. "Bezpieczniejszy" oznacza, że po skojarzeniu konta Uruchom jako z profilem Uruchom jako należy podać określone nazwy komputerów, do których mają być dystrybuowane poświadczenia Uruchom jako. Dzięki pozytywnej identyfikacji komputerów docelowych można zapobiec scenariuszowi fałszowania, który został opisany wcześniej. Jeśli wybierzesz mniej bezpieczną opcję, nie będzie trzeba podawać żadnych określonych komputerów, a poświadczenia będą dystrybuowane do wszystkich komputerów zarządzanych przez agentów.
Uwaga
Poświadczenia wybrane dla konta Uruchom jako muszą mieć co najmniej prawa logowania lokalnego; w przeciwnym razie moduł zakończy się niepowodzeniem.