Compartilhar via


Gerenciar contas e perfis Executar como

Os fluxos de trabalho do System Center Operations Manager, como regras, tarefas, monitores e descobertas, exigem credenciais para serem executados em um agente ou computador de destino. Por padrão, os fluxos de trabalho usam a conta de ação padrão para o agente ou o computador. As credenciais da conta de ação padrão são configuradas quando o Operations Manager é instalado.

Quando um fluxo de trabalho requer direitos e privilégios que a conta de ação padrão não pode fornecer, o fluxo de trabalho pode ser gravado para usar um perfil Executar como. Um perfil Executar como pode ter várias contas Executar associadas a ele. As contas Executar como permitem especificar as credenciais necessárias para cada computador. Vários fluxos de trabalho podem usar o mesmo perfil Executar como. A imagem a seguir ilustra o relacionamento entre fluxos de trabalho, perfis Executar como e contas Executar como.

Ilustração mostrando que os fluxos de trabalho usam o perfil Executar como para usar a conta Executar como.

Na imagem, três fluxos de trabalho usam o mesmo perfil Executar como. O perfil Executar como tem três contas Executar como associadas. Neste exemplo, cada fluxo de trabalho que usa o perfil Executar como será executado no computador A usando as credenciais da conta Executar como 1; nos computadores B e C usando as credenciais da conta Executar como 2, e no computador D usando as credenciais da conta Executar como 3.

Os perfis Executar são definidos nos pacotes de gerenciamento pelo autor. Um perfil Executar como é usado sempre que seu pacote de gerenciamento pai está ativo. Por exemplo, o pacote de gerenciamento do SQL Server 2014 contém o perfil Executar como do SQL, portanto, o perfil Executar como do SQL estaria ativo em todos os servidores que executam o SQL Server 2014 que são monitorados pelo pacote de gerenciamento do SQL Server 2014. O perfil Executar como é uma associação de uma ou mais contas Executar como e dos objetos gerenciados aos quais as contas Executar como devem ser aplicadas.

Em alguns casos, o perfil Executar como é importado no Operations Manager durante a importação do pacote de gerenciamento que o contém. Em outros casos, pode ser necessário criá-lo manualmente. Em todos os casos, os perfis Executar como devem ser manualmente associados a uma conta Executar como.

Uma conta Executar como contém um único conjunto de credenciais, que são armazenadas no banco de dados operacional do Operations Manager. Cada conta Executar como tem uma classificação de segurança (mais ou menos segura) que controla como as credenciais são distribuídas para uso. Se você escolher uma distribuição de credenciais mais segura, precisará configurar o mapeamento dos computadores aos quais as credenciais serão distribuídas.

Desabilitar contas Executar como

Com o Operations Manager 2022, os administradores podem gerenciar as credenciais dos usuários necessárias para executar as tarefas no console do Operations Manager.

Em versões anteriores, por padrão, os usuários com permissões limitadas têm a opção Usar a conta Executar como predefinida habilitada. Os administradores agora podem desabilitar essa opção. Quando desabilitado, todos os usuários não administradores precisarão fornecer as credenciais para executar as tarefas usando o console ou o cmd do PowerShell Start-SCOMTask.

Para desabilitar a opção, os administradores devem acessar Configurações>Execução de Tarefas Diversas>e selecionar Desabilitado.

Captura de tela mostrando o perfil Desativar Executar como da execução de tarefas.

Você pode ter vários grupos de gerenciamento conectados entre si e ver alertas de diferentes grupos de gerenciamento em um único console de operações.

Os usuários também podem executar tarefas em computadores nos outros grupos de gerenciamento. As configurações serão efetivas no grupo de gerenciamento do qual o console de operações/sessão do PowerShell está sendo executado.

Por exemplo, se o MG1 (grupo de gerenciamento 1) tiver a opção como Habilitada e o MG2 (grupo de gerenciamento 2) tiver essa opção como Desabilitada, os usuários poderão executar a tarefa em um console no MG1 sem credenciais, independentemente de o objeto de destino ser MG1 ou MG2.

Da mesma forma, se um usuário estiver executando uma tarefa do PowerShell no MG2, ele precisará de credenciais para a tarefa se o destino estiver no MG1.

Próximas etapas