Contas de serviço, usuário e segurança
Durante a configuração e as operações diárias do Operations Manager, você será solicitado a fornecer credenciais para várias contas. Este artigo fornece informações sobre cada uma dessas contas, incluindo as contas SDK e Config Service, Instalação do agente, Gravação do Data Warehouse e Leitor de dados.
Observação
A instalação do Operations Manager provisiona todas as permissões SQL necessárias.
Se você usar contas de domínio e seu GPO (Objeto de Política de Grupo) de domínio tiver a política de expiração de senha padrão definida conforme necessário, você precisará alterar as senhas nas contas de serviço de acordo com o agendamento, usar contas do sistema ou configurar as contas para que as senhas nunca expirem.
Contas de ação
No System Center Operations Manager, os servidores de gerenciamento, os servidores de gateway e os agentes executam um processo chamado MonitoringHost.exe. MonitoringHost.exe é usado para realizar atividades de monitoramento, como executar um monitor ou executar uma tarefa. Os outros exemplos das ações que MonitoringHost.exe executa incluem:
- Monitoramento e coleta de dados do log de eventos do Windows
- Monitoramento e coleta de dados do contador de desempenho do Windows
- Monitoramento e coleta de dados do WMI (Instrumentação de Gerenciamento do Windows)
- Executar ações como scripts ou lotes
A conta na qual um processo MonitoringHost.exe é executado é denominada a conta de ação. MonitoringHost.exe é o processo que executa essas ações usando as credenciais especificadas na conta de ação. Uma nova instância de MonitoringHost.exe é criada para cada conta. A conta de ação para o processo de MonitoringHost.exe em execução em um agente é chamada de Conta de Ação do Agente. A conta de ação usada pelo processo de MonitoringHost.exe em um servidor de gerenciamento é chamada de conta de ação do servidor de gerenciamento. A conta de ação usada pelo processo de MonitoringHost.exe em um servidor de gateway é chamada de Conta de Ação do Servidor de Gateway. Em todos os servidores de gerenciamento no grupo de gerenciamento, recomendamos que você conceda à conta direitos administrativos locais, a menos que o acesso com privilégios mínimos seja exigido pela política de segurança de TI da sua organização.
A menos que uma ação tenha sido associada a um perfil Executar como, as credenciais usadas para executar a ação serão aquelas definidas para a conta de ação. Para obter mais informações sobre Contas Executar como e Perfis Executar como, consulte a seção Contas Executar como. Quando um agente executa ações como a conta de ação padrão e/ou a conta Executar como, uma nova instância de MonitoringHost.exe é criada para cada conta.
Ao instalar o Operations Manager, você tem a opção de especificar uma conta de domínio ou usar LocalSystem. A abordagem mais segura é especificar uma conta de domínio, que permite selecionar um usuário com o mínimo de privilégios necessários para seu ambiente.
Você pode usar uma conta de privilégios mínimos para a conta de ação do agente. Em computadores que executam o Windows Server 2008 R2 ou superior, a conta deve ter os seguintes privilégios mínimos:
- Membro de um grupo Usuários local
- Membro de um grupo Usuários de Monitor de Desempenho local
- Permissão Permitir logon localmente (SetInteractiveLogonRight) (não aplicável ao Operations Manager 2019 e versões posteriores).
Observação
Os privilégios mínimos descritos acima são os privilégios mais baixos que o Operations Manager suporta para a conta de ação. Outras contas Executar como podem ter privilégios mais baixos. Os privilégios reais necessários para a conta de Ação e as contas Executar como dependerão de quais pacotes de gerenciamento estão sendo executados no computador e de como eles estão configurados. Para obter mais informações sobre quais privilégios específicos são necessários, consulte o guia do pacote de gerenciamento apropriado.
A conta de domínio especificada para a conta de ação pode receber a permissão Fazer logon como serviço (SeServiceLogonRight) ou Fazer logon como lote (SeBatchLogonRight) se sua política de segurança não permitir que uma conta de serviço receba uma sessão de logon interativa, como quando a autenticação de cartão inteligente é necessária. Modifique o valor do Registro HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\System Center\Health Service:
A conta de domínio especificada para a conta de ação recebe a permissão Fazer logon como serviço (SeServiceLogonRight). Para alterar o tipo de logon do serviço de integridade, modifique o valor do Registro HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\System Center\Health Service:
- Nome: Tipo de Logon do Processo de Trabalho
- Tipo: REG_DWORD
- Valores: quatro (4) – Fazer logon como lote, dois (2) – Permitir logon localmente e cinco (5) – Fazer logon como serviço. O valor padrão é 2.
- Valores: quatro (4) – Fazer logon como lote, dois (2) – Permitir logon localmente e cinco (5) – Fazer logon como serviço. O valor padrão é 5.
Gerencie de forma centralizada usando a Política de Grupo copiando o arquivo ADMX healthservice.admx
de um servidor de gerenciamento ou um sistema gerenciado por agente localizado na pasta C:\Windows\PolicyDefinitions
e definindo a configuração Tipo de Logon da Conta de Ação de Monitoramento na pasta Computer Configuration\Administrative Templates\System Center - Operations Manager
. Para obter mais informações sobre como trabalhar com arquivos ADMX de Diretiva de Grupo, consulte Gerenciando arquivos ADMX de Diretiva de Grupo.
Serviço de Configuração do System Center e conta do Serviço de Acesso a Dados do System Center
O serviço de Configuração do System Center e a conta de serviço de Acesso a Dados do System Center são usados pelos serviços de Acesso a Dados do System Center e Configuração de Gerenciamento do System Center para atualizar informações no banco de dados Operacional. As credenciais usadas para a conta de ação serão atribuídas à função sdk_user no banco de dados Operacional.
A conta deve ser um Usuário de Domínio ou LocalSystem. A conta usada para a conta do SDK e do Config Service deve receber direitos administrativos locais em todos os servidores de gerenciamento no grupo de gerenciamento. Não há suporte para o uso da conta de usuário local. Para aumentar a segurança, recomendamos que você use uma conta de usuário de domínio e é uma conta diferente daquela usada para a Conta de Ação do Servidor de Gerenciamento. A conta LocalSystem é a conta de privilégio mais alto em um computador Windows, ainda maior do que o administrador local. Quando um serviço é executado no contexto de LocalSystem, o serviço tem controle total dos recursos locais do computador e a identidade do computador é usada ao autenticar e acessar recursos remotos. Usar a conta LocalSystem é um risco de segurança porque não respeita o princípio do privilégio mínimo. Devido aos direitos necessários na instância do SQL Server que hospeda o banco de dados do Operations Manager, uma conta de domínio com permissões de privilégios mínimos é necessária para evitar qualquer risco de segurança se o servidor de gerenciamento no grupo de gerenciamento estiver comprometido. As razões são:
- LocalSystem não tem senha
- Não tem seu próprio perfil
- Possui amplos privilégios no computador local
- Ele apresenta as credenciais do computador para computadores remotos
Observação
Se o banco de dados do Operations Manager estiver instalado em um computador separado do servidor de gerenciamento e LocalSystem estiver selecionado para a conta de serviço de Configuração e Acesso a Dados, a conta de computador do computador do servidor de gerenciamento receberá a função sdk_user no computador de banco de dados do Operations Manager.
Para obter mais informações, consulte sobre LocalSystem.
Conta de Gravação do Data Warehouse
A conta de Gravação do Data Warehouse é a conta usada para gravar dados do servidor de gerenciamento no data warehouse de Relatórios e lê dados do banco de dados do Operations Manager. A tabela a seguir descreve as funções e associações atribuídas à conta de usuário do domínio durante a instalação.
Aplicativo | Banco de dados/função | Função/conta |
---|---|---|
Microsoft SQL Server | OperationsManager | db_datareader |
Microsoft SQL Server | OperationsManager | dwsync_user |
Microsoft SQL Server | Gerente de OperaçõesDW | OpsMgrWriter |
Microsoft SQL Server | Gerente de OperaçõesDW | db_owner |
Operations Manager | Função de usuário | Administradores de Segurança de Relatório do Operations Manager |
Operations Manager | Conta Executar como | Conta de Ação do Data Warehouse |
Operations Manager | Conta Executar como | Conta do Leitor de Sincronização de Configuração do Data Warehouse |
Conta do Leitor de Dados
A conta do Leitor de Dados é usada para implantar relatórios, definir qual usuário o SQL Server Reporting Services usa para executar consultas no data warehouse de Relatórios e definir a conta do SQL Reporting Services para se conectar ao servidor de gerenciamento. Essa conta de usuário de domínio é adicionada ao Perfil de Usuário do Administrador de Relatório. A tabela a seguir descreve as funções e a associação atribuídas à conta durante a instalação.
Aplicativo | Banco de dados/função | Função/conta |
---|---|---|
Microsoft SQL Server | Instância de instalação do Reporting Services | Conta de Execução do Servidor de Relatório |
Microsoft SQL Server | Gerente de OperaçõesDW | OpsMgrReader |
Operations Manager | Função de usuário | Operadores de relatório do Operations Manager |
Operations Manager | Função de usuário | Administradores de Segurança de Relatório do Operations Manager |
Operations Manager | Conta Executar como | Conta de Implantação de Relatório do Data Warehouse |
Serviço Windows | SQL Server Reporting Services | Conta de logon |
Verifique se a conta que você planeja usar para a conta do Leitor de Dados recebeu o direito Fazer logon como serviço (para 2019 e posterior) ou Fazer logon como serviço e permitir logon localmente (para versão anterior), para cada servidor de gerenciamento e o SQL Server que hospeda a função de Servidor de Relatórios.
Conta de instalação do agente
Ao executar a implantação do agente baseada em descoberta, é necessária uma conta com privilégios de Administrador nos computadores de destino para a instalação do agente. A conta de ação do servidor de gerenciamento é a conta padrão da instalação do agente. Se a conta de ação do servidor de gerenciamento não tiver direitos de administrador, o operador deverá fornecer uma conta de usuário e uma senha com direitos administrativos nos computadores de destino. Essa conta é criptografada antes de ser usada e depois é descartada.
Conta de Ação de Notificação
A conta Ação de Notificação é a conta usada para criar e enviar notificações. Essas credenciais devem ter direitos suficientes para o servidor SMTP, o servidor de mensagens instantâneas ou o servidor SIP usado para notificações.