Contas de serviço, usuário e segurança
Durante a configuração e as operações diárias do Operations Manager, você será solicitado a fornecer credenciais para várias contas. Este artigo fornece informações sobre cada uma dessas contas, incluindo as contas SDK e Config Service, Agent Installation, Data Warehouse Write e Data Reader.
Observação
A instalação do Operations Manager provisiona todas as permissões SQL necessárias.
Se você usar contas de domínio e seu GPO (Objeto de Diretiva de Grupo) de domínio tiver a política de expiração de senha padrão definida conforme necessário, será necessário alterar as senhas nas contas de serviço de acordo com a programação, usar contas do sistema ou configurar as contas para que as senhas nunca expirem.
Contas de ação
No System Center Operations Manager, todos os servidores de gerenciamento, servidores gateway e agentes executam um processo chamado MonitoringHost.exe. MonitoringHost.exe é usado para realizar atividades de monitoramento, como executar um monitor ou executar uma tarefa. Os outros exemplos das ações MonitoringHost.exe executa incluem:
- Monitorando e coletando dados de log de eventos do Windows
- Monitorando e coletando dados do contador de desempenho do Windows
- Monitorando e coletando dados do WMI (Instrumentação de Gerenciamento do Windows)
- Executar ações como scripts ou processos em lote
A conta sob a qual um processo de MonitoringHost.exe é executado é chamada de conta de ação. MonitoringHost.exe é o processo que executa essas ações usando as credenciais especificadas na conta de ação. Uma nova instância de MonitoringHost.exe é criada para cada conta. A conta de ação para o processo de MonitoringHost.exe em execução em um agente é chamada de Conta de Ação do Agente. A conta de ação usada pelo processo de MonitoringHost.exe em um servidor de gerenciamento é chamada de conta de Ação do Servidor de Gerenciamento. A conta de ação usada pelo processo de MonitoringHost.exe em um servidor gateway é chamada de Conta de Ação do Servidor Gateway. Em todos os servidores de gerenciamento do grupo de gerenciamento, recomendamos que você conceda à conta direitos administrativos locais, a menos que o acesso com privilégios mínimos seja exigido pela política de segurança de TI da sua organização.
A menos que uma ação tenha sido associada a um perfil Run As, as credenciais usadas para executar a ação serão aquelas definidas para a conta de ação. Para obter mais informações sobre contas Run As e perfis Run As, consulte a seção Contas Run As. Quando um agente executa ações como a conta de ação padrão e/ou conta Run As, uma nova instância de MonitoringHost.exe é criada para cada conta.
Ao instalar o Operations Manager, você tem a opção de especificar uma conta de domínio ou usar LocalSystem. A abordagem mais segura é especificar uma conta de domínio, o que permite selecionar um usuário com o mínimo de privilégios necessários para seu ambiente.
Você pode usar uma conta de privilégios mínimos para a conta de ação do agente. Em computadores que executam o Windows Server 2008 R2 ou superior, a conta deve ter os seguintes privilégios mínimos:
- Membro do grupo de utilizadores local
- Membro do grupo local Usuários do Monitor de Desempenho
- Permissão para efetuar logon localmente (SetInteractiveLogonRight) (não se aplica ao Operations Manager 2019 e versões posteriores).
Observação
Os privilégios mínimos descritos acima são os privilégios mais baixos que o Operations Manager suporta para a conta de ação. Outras contas Run As podem ter privilégios mais baixos. Os privilégios reais necessários para a conta Action e as contas Run As dependerão de quais pacotes de gerenciamento estão sendo executados no computador e como eles estão configurados. Para obter mais informações sobre quais privilégios específicos são necessários, consulte o guia do pacote de gerenciamento apropriado.
A conta de domínio especificada para a conta de ação pode receber a permissão de Iniciar sessão como serviço (SeServiceLogonRight) ou Iniciar sessão como processamento em lote (SeBatchLogonRight), caso a sua política de segurança não permita que uma conta de serviço receba uma sessão de início de sessão interativa, como quando é necessária a autenticação por cartão inteligente. Modifique o valor do Registo HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\System Center\Health Service:
A conta de domínio especificada para a conta de ação recebe a permissão "Fazer logon como um serviço" (SeServiceLogonRight). Para alterar o tipo de início de sessão para o serviço de saúde, modifique o valor do registo HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\System Center\Health Service:
- Nome: Tipo de logon do processo de trabalho
- Tipo: REG_DWORD
- Valores: Quatro (4) - Iniciar sessão em lote, Dois (2) - Permitir iniciar sessão localmente e Cinco (5) - Iniciar sessão como serviço. O valor padrão é 2.
- Valores: Quatro (4) - Iniciar sessão como lote, Dois (2) - Permitir iniciar sessão localmente e Cinco (5) - Iniciar sessão como serviço. O valor padrão é 5.
Você pode gerenciar centralmente a configuração usando a Diretiva de Grupo copiando o arquivo ADMX healthservice.admx de um servidor de gerenciamento ou sistema gerido por agente, localizado na pasta C:\Windows\PolicyDefinitions, e configurando a definição Tipo de Logon da Conta de Ação de Monitoramento na pasta Computer Configuration\Administrative Templates\System Center - Operations Manager. Para obter mais informações sobre como trabalhar com arquivos ADMX de Diretiva de Grupo, consulte Gerenciando arquivos ADMX de Diretiva de Grupo.
Serviço de Configuração do System Center e conta do Serviço de Acesso a Dados do System Center
O serviço Configuração do System Center e a conta de serviço do System Center Data Access são usados pelos serviços de Acesso a Dados do System Center e Configuração de Gerenciamento do System Center para atualizar informações no banco de dados Operacional. As credenciais usadas para a conta de ação serão atribuídas à função sdk_user no banco de dados operacional.
A conta deve ser um utilizador de domínio ou LocalSystem. A conta usada para o SDK e o Config Service deve receber direitos administrativos locais em todos os servidores de gestão no grupo de gestão. Não há suporte para o uso da conta de Usuário Local. Para maior segurança, recomendamos que você use uma conta de usuário de domínio, e é uma conta diferente daquela usada para a Conta de Ação do Servidor de Gerenciamento. A conta LocalSystem é a conta de maior privilégio em um computador Windows, ainda maior do que o Administrador local. Quando um serviço é executado sob o contexto de LocalSystem, o serviço tem controle total dos recursos locais do computador e a identidade do computador é usada ao autenticar e acessar recursos remotos. Usar a conta LocalSystem é um risco de segurança porque não honra o princípio do menor privilégio. Devido aos direitos exigidos na instância do SQL Server que hospeda o banco de dados do Operations Manager, uma conta de domínio com permissões de privilégios mínimos é necessária para evitar qualquer risco de segurança se o servidor de gerenciamento no grupo de gerenciamento for comprometido. As razões são:
- LocalSystem não tem senha
- Não tem perfil próprio
- Tem amplos privilégios no computador local
- Ele apresenta as credenciais do computador para computadores remotos
Observação
Se o banco de dados do Operations Manager estiver instalado em um computador separado do servidor de gerenciamento e LocalSystem estiver selecionado para a conta de serviço de Acesso a Dados e Configuração, a conta de computador do computador do servidor de gerenciamento receberá a função sdk_user no computador do banco de dados do Operations Manager.
Para obter mais informações, consulte sobre LocalSystem.
Conta de escrita do Armazém de Dados
A conta de escrita do Data Warehouse é utilizada para gravar dados do servidor de gestão no data warehouse de relatórios e para ler dados da base de dados do Operations Manager. A tabela a seguir descreve as funções e a associação atribuídas à conta de usuário do domínio durante a instalação.
| Aplicação | Base de dados/função | Função/conta |
|---|---|---|
| Servidor Microsoft SQL | Gerente de Operações | db_datareader |
| Servidor Microsoft SQL | Gerente de Operações | dwsync_user |
| Servidor Microsoft SQL | OperationsManagerDW | OpsMgrWriter |
| Servidor Microsoft SQL | OperationsManagerDW | Proprietário da Base de Dados (db_owner) |
| Gerente de Operações | Função do usuário | Relatório de Administradores de Segurança do Operations Manager |
| Gerente de Operações | Conta Executar Como | Conta de ação do Data Warehouse |
| Gerente de Operações | Conta Executar Como | Conta do Leitor de Sincronização de Configuração do Data Warehouse |
Conta do Leitor de Dados
A conta do Leitor de Dados é usada para implantar relatórios, definir qual usuário o SQL Server Reporting Services usa para executar consultas no data warehouse de Relatórios e definir a conta do SQL Reporting Services para se conectar ao servidor de gerenciamento. Essa conta de usuário de domínio é adicionada ao Perfil de Usuário do Administrador de Relatórios. A tabela a seguir descreve as funções e a associação atribuídas à conta durante a instalação.
| Aplicação | Base de dados/função | Função/conta |
|---|---|---|
| Servidor Microsoft SQL | Instância de instalação do Reporting Services | Conta de execução do servidor de relatório |
| Servidor Microsoft SQL | GestorOperacionalDW | OpsMgrReader |
| Gerente de Operações | Função do usuário | Operadores de Relatórios do Gestor de Operações |
| Gerente de Operações | Função do usuário | Relatório de Administradores de Segurança do Operations Manager |
| Gerente de Operações | Conta Executar Como | Conta de implementação de relatórios do Data Warehouse |
| Serviço Windows | SQL Server Reporting Services | Conta de login |
Verifique se a conta que o utilizador planeia usar para a conta do Leitor de Dados recebeu o direito de início de sessão como Serviço (para 2019 e posterior) ou o direito de início de sessão como Serviço e Permitir início de sessão local (para versões anteriores), para cada servidor de gestão e o SQL Server que hospeda a função de Servidor de Relatórios.
Conta para instalação de agente
Ao executar a implantação do agente baseado em descoberta, é necessária uma conta com privilégios de Administrador nos computadores destinados à instalação do agente. A conta de ação do servidor de gerenciamento é a conta padrão para a instalação do agente. Se a conta de ação do servidor de gerenciamento não tiver direitos de administrador, o operador deverá fornecer uma conta de usuário e senha com direitos administrativos nos computadores de destino. Essa conta é criptografada antes de ser usada e, em seguida, descartada.
Conta para ações de notificação
A conta Ação de Notificação é a conta usada para criar e enviar notificações. Essas credenciais devem ter direitos suficientes para o servidor SMTP, o servidor de mensagens instantâneas ou o servidor SIP usado para notificações.