Partilhar via


Contas de serviço, usuário e segurança

Durante a configuração e as operações diárias do Operations Manager, você será solicitado a fornecer credenciais para várias contas. Este artigo fornece informações sobre cada uma dessas contas, incluindo as contas SDK e Config Service, Agent Installation, Data Warehouse Write e Data Reader.

Observação

A instalação do Operations Manager provisiona todas as permissões SQL necessárias.

Se você usar contas de domínio e seu GPO (Objeto de Diretiva de Grupo) de domínio tiver a política de expiração de senha padrão definida conforme necessário, será necessário alterar as senhas nas contas de serviço de acordo com a programação, usar contas do sistema ou configurar as contas para que as senhas nunca expirem.

Contas de ação

No System Center Operations Manager, todos os servidores de gerenciamento, servidores gateway e agentes executam um processo chamado MonitoringHost.exe. MonitoringHost.exe é usado para realizar atividades de monitoramento, como executar um monitor ou executar uma tarefa. Os outros exemplos das ações MonitoringHost.exe executa incluem:

  • Monitorando e coletando dados de log de eventos do Windows
  • Monitorando e coletando dados do contador de desempenho do Windows
  • Monitorando e coletando dados do WMI (Instrumentação de Gerenciamento do Windows)
  • Executar ações como scripts ou processos em lote

A conta sob a qual um processo de MonitoringHost.exe é executado é chamada de conta de ação. MonitoringHost.exe é o processo que executa essas ações usando as credenciais especificadas na conta de ação. Uma nova instância de MonitoringHost.exe é criada para cada conta. A conta de ação para o processo de MonitoringHost.exe em execução em um agente é chamada de Conta de Ação do Agente. A conta de ação usada pelo processo de MonitoringHost.exe em um servidor de gerenciamento é chamada de conta de Ação do Servidor de Gerenciamento. A conta de ação usada pelo processo de MonitoringHost.exe em um servidor gateway é chamada de Conta de Ação do Servidor Gateway. Em todos os servidores de gerenciamento do grupo de gerenciamento, recomendamos que você conceda à conta direitos administrativos locais, a menos que o acesso com privilégios mínimos seja exigido pela política de segurança de TI da sua organização.

A menos que uma ação tenha sido associada a um perfil Run As, as credenciais usadas para executar a ação serão aquelas definidas para a conta de ação. Para obter mais informações sobre contas Run As e perfis Run As, consulte a seção Contas Run As. Quando um agente executa ações como a conta de ação padrão e/ou conta Run As, uma nova instância de MonitoringHost.exe é criada para cada conta.

Ao instalar o Operations Manager, você tem a opção de especificar uma conta de domínio ou usar LocalSystem. A abordagem mais segura é especificar uma conta de domínio, o que permite selecionar um usuário com o mínimo de privilégios necessários para seu ambiente.

Você pode usar uma conta de privilégios mínimos para a conta de ação do agente. Em computadores que executam o Windows Server 2008 R2 ou superior, a conta deve ter os seguintes privilégios mínimos:

  • Membro do grupo de utilizadores local
  • Membro do grupo local Usuários do Monitor de Desempenho
  • Permissão para efetuar logon localmente (SetInteractiveLogonRight) (não se aplica ao Operations Manager 2019 e versões posteriores).

Observação

Os privilégios mínimos descritos acima são os privilégios mais baixos que o Operations Manager suporta para a conta de ação. Outras contas Run As podem ter privilégios mais baixos. Os privilégios reais necessários para a conta Action e as contas Run As dependerão de quais pacotes de gerenciamento estão sendo executados no computador e como eles estão configurados. Para obter mais informações sobre quais privilégios específicos são necessários, consulte o guia do pacote de gerenciamento apropriado.

A conta de domínio especificada para a conta de ação pode receber a permissão de Iniciar sessão como serviço (SeServiceLogonRight) ou Iniciar sessão como processamento em lote (SeBatchLogonRight), caso a sua política de segurança não permita que uma conta de serviço receba uma sessão de início de sessão interativa, como quando é necessária a autenticação por cartão inteligente. Modifique o valor do Registo HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\System Center\Health Service:

A conta de domínio especificada para a conta de ação recebe a permissão "Fazer logon como um serviço" (SeServiceLogonRight). Para alterar o tipo de início de sessão para o serviço de saúde, modifique o valor do registo HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\System Center\Health Service:

  • Nome: Tipo de logon do processo de trabalho
  • Tipo: REG_DWORD
  • Valores: Quatro (4) - Iniciar sessão em lote, Dois (2) - Permitir iniciar sessão localmente e Cinco (5) - Iniciar sessão como serviço. O valor padrão é 2.
  • Valores: Quatro (4) - Iniciar sessão como lote, Dois (2) - Permitir iniciar sessão localmente e Cinco (5) - Iniciar sessão como serviço. O valor padrão é 5.

Você pode gerenciar centralmente a configuração usando a Diretiva de Grupo copiando o arquivo ADMX healthservice.admx de um servidor de gerenciamento ou sistema gerido por agente, localizado na pasta C:\Windows\PolicyDefinitions, e configurando a definição Tipo de Logon da Conta de Ação de Monitoramento na pasta Computer Configuration\Administrative Templates\System Center - Operations Manager. Para obter mais informações sobre como trabalhar com arquivos ADMX de Diretiva de Grupo, consulte Gerenciando arquivos ADMX de Diretiva de Grupo.

Serviço de Configuração do System Center e conta do Serviço de Acesso a Dados do System Center

O serviço Configuração do System Center e a conta de serviço do System Center Data Access são usados pelos serviços de Acesso a Dados do System Center e Configuração de Gerenciamento do System Center para atualizar informações no banco de dados Operacional. As credenciais usadas para a conta de ação serão atribuídas à função sdk_user no banco de dados operacional.

A conta deve ser um utilizador de domínio ou LocalSystem. A conta usada para o SDK e o Config Service deve receber direitos administrativos locais em todos os servidores de gestão no grupo de gestão. Não há suporte para o uso da conta de Usuário Local. Para maior segurança, recomendamos que você use uma conta de usuário de domínio, e é uma conta diferente daquela usada para a Conta de Ação do Servidor de Gerenciamento. A conta LocalSystem é a conta de maior privilégio em um computador Windows, ainda maior do que o Administrador local. Quando um serviço é executado sob o contexto de LocalSystem, o serviço tem controle total dos recursos locais do computador e a identidade do computador é usada ao autenticar e acessar recursos remotos. Usar a conta LocalSystem é um risco de segurança porque não honra o princípio do menor privilégio. Devido aos direitos exigidos na instância do SQL Server que hospeda o banco de dados do Operations Manager, uma conta de domínio com permissões de privilégios mínimos é necessária para evitar qualquer risco de segurança se o servidor de gerenciamento no grupo de gerenciamento for comprometido. As razões são:

  • LocalSystem não tem senha
  • Não tem perfil próprio
  • Tem amplos privilégios no computador local
  • Ele apresenta as credenciais do computador para computadores remotos

Observação

Se o banco de dados do Operations Manager estiver instalado em um computador separado do servidor de gerenciamento e LocalSystem estiver selecionado para a conta de serviço de Acesso a Dados e Configuração, a conta de computador do computador do servidor de gerenciamento receberá a função sdk_user no computador do banco de dados do Operations Manager.

Para obter mais informações, consulte sobre LocalSystem.

Conta de escrita do Armazém de Dados

A conta de escrita do Data Warehouse é utilizada para gravar dados do servidor de gestão no data warehouse de relatórios e para ler dados da base de dados do Operations Manager. A tabela a seguir descreve as funções e a associação atribuídas à conta de usuário do domínio durante a instalação.

Aplicação Base de dados/função Função/conta
Servidor Microsoft SQL Gerente de Operações db_datareader
Servidor Microsoft SQL Gerente de Operações dwsync_user
Servidor Microsoft SQL OperationsManagerDW OpsMgrWriter
Servidor Microsoft SQL OperationsManagerDW Proprietário da Base de Dados (db_owner)
Gerente de Operações Função do usuário Relatório de Administradores de Segurança do Operations Manager
Gerente de Operações Conta Executar Como Conta de ação do Data Warehouse
Gerente de Operações Conta Executar Como Conta do Leitor de Sincronização de Configuração do Data Warehouse

Conta do Leitor de Dados

A conta do Leitor de Dados é usada para implantar relatórios, definir qual usuário o SQL Server Reporting Services usa para executar consultas no data warehouse de Relatórios e definir a conta do SQL Reporting Services para se conectar ao servidor de gerenciamento. Essa conta de usuário de domínio é adicionada ao Perfil de Usuário do Administrador de Relatórios. A tabela a seguir descreve as funções e a associação atribuídas à conta durante a instalação.

Aplicação Base de dados/função Função/conta
Servidor Microsoft SQL Instância de instalação do Reporting Services Conta de execução do servidor de relatório
Servidor Microsoft SQL GestorOperacionalDW OpsMgrReader
Gerente de Operações Função do usuário Operadores de Relatórios do Gestor de Operações
Gerente de Operações Função do usuário Relatório de Administradores de Segurança do Operations Manager
Gerente de Operações Conta Executar Como Conta de implementação de relatórios do Data Warehouse
Serviço Windows SQL Server Reporting Services Conta de login

Verifique se a conta que o utilizador planeia usar para a conta do Leitor de Dados recebeu o direito de início de sessão como Serviço (para 2019 e posterior) ou o direito de início de sessão como Serviço e Permitir início de sessão local (para versões anteriores), para cada servidor de gestão e o SQL Server que hospeda a função de Servidor de Relatórios.

Conta para instalação de agente

Ao executar a implantação do agente baseado em descoberta, é necessária uma conta com privilégios de Administrador nos computadores destinados à instalação do agente. A conta de ação do servidor de gerenciamento é a conta padrão para a instalação do agente. Se a conta de ação do servidor de gerenciamento não tiver direitos de administrador, o operador deverá fornecer uma conta de usuário e senha com direitos administrativos nos computadores de destino. Essa conta é criptografada antes de ser usada e, em seguida, descartada.

Conta para ações de notificação

A conta Ação de Notificação é a conta usada para criar e enviar notificações. Essas credenciais devem ter direitos suficientes para o servidor SMTP, o servidor de mensagens instantâneas ou o servidor SIP usado para notificações.