Distribuição e segmentação para contas e perfis Executar como
As contas Executar como são associadas a perfis Executar como para fornecer as credenciais necessárias para fluxos de trabalho que usam o perfil Executar como para uma execução com êxito. A distribuição e o direcionamento de contas Executar como deve ser configurado corretamente para que o perfil Executar como funcione corretamente.
Ao configurar um perfil Executar como, selecione as contas de Executar como que deseja associar a esse perfil. Ao criar essa associação, especifique a classe, o grupo ou o objeto em que a conta Executar como será usada para gerenciar, como mostrado na imagem a seguir. Isso estabelece o destino da conta Executar como.
A distribuição é um atributo da conta Executar como em que você especifica quais computadores receberão as credenciais da conta Executar como. Você pode optar por distribuir as credenciais da conta Executar como a todos os computadores gerenciados por agentes ou apenas aos computadores selecionados.
Exemplo de segmentação e distribuição de contas Executar como:
O computador físico ABC hospeda duas instâncias do Microsoft SQL Server, a X e a Y. Cada instância usa um conjunto diferente de credenciais para a conta sa . Crie uma conta Executar como com as credenciais sa para a instância X e uma conta Executar como diferente com as credenciais sa para a instância Y. Ao configurar o perfil Executar como do SQL Server, você associa as credenciais da conta Executar como das instâncias X e Y ao perfil e especifica que as credenciais da instância X da conta Executar como precisam ser usadas para a instância X do SQL Server e que as credenciais da instância Y da conta Executar como precisam ser usadas para a instância Y do SQL Server. Em seguida, você configura as duas contas Executar como a serem distribuídas ao computador físico ABC.
Selecionando um destino para uma conta Executar como
Como mostrado na imagem anterior, suas opções para selecionar um destino para uma conta Executar como são Todos os objetos de destino e Uma classe, grupo ou objeto selecionado.
Ao selecionar Todos os objetos de destino, o perfil Executar como usará essa conta Executar como para todos os objetos dos fluxos de trabalho que usam o perfil Executar como.
Ao selecionar Uma classe, grupo ou objeto selecionado, você poderá limitar o uso da conta Executar como à classe, grupo ou objeto que especificar.
Observação
As credenciais da conta Executar como devem ser distribuídas pelos sistemas gerenciados por agente específicos com os quais a credencial Executar como deve ser autenticada antes de configurar o perfil Executar como.
Comparando distribuições mais seguras e menos seguras
O Operations Manager distribui as credenciais da conta Executar como para todos os computadores gerenciados por agente (a opção menos segura) ou apenas para os computadores especificados por você (a opção mais segura). Se o Operations Manager automaticamente distribuir a conta Executar como de acordo com a descoberta, um risco de segurança será introduzido no ambiente, como ilustrado no seguinte exemplo. É por isso que uma opção de distribuição automática não foi incluída no Operations Manager.
Por exemplo, o Operations Manager identifica um computador como hospedando o SQL Server 2014 com base na presença de uma chave do Registro. É possível criar essa mesma chave do Registro em um computador que não esteja realmente executando uma instância do SQL Server 2014. Se o Operations Manager distribuísse automaticamente as credenciais para todos os computadores gerenciados por agente que foram identificados como computadores do SQL Server 2014, as credenciais seriam enviadas para o SQL Server impostor e estariam disponíveis para alguém com direitos de administrador nesse servidor.
Quando uma conta Executar como é criada, é perguntado se essa conta deve ser tratada de forma Menos segura ou Mais segura . Mais seguro significa que quando a conta Executar como é associada a um perfil Executar como, você precisa fornecer os nomes de computador específicos aos quais deseja distribuir as credenciais de Executar como. Ao identificar positivamente os computadores de destino, você pode impedir o cenário de falsificação que foi descrito antes. Se você escolher a opção menos segura, não será preciso fornecer nenhum computador específico, e as credenciais serão distribuídas aos computadores gerenciados por todos os agentes.
Observação
O Operations Manager realizará testes para validar as credenciais Executar como, incluindo se as credenciais podem ser usadas para fazer logon localmente no computador. Se a conta não tiver o direito de efetuar logon localmente, um alerta será gerado.
Próximas etapas
- Para entender como criar uma conta Executar como, como modificar uma conta Executar como existente e como configurar um perfil Executar como para usar uma conta Executar como, consulte Como criar uma conta Executar como e associar a um perfil Executar como.