Contas e Perfis Run As
Importante
Esta versão do Operations Manager chegou ao fim do suporte. Recomendamos que atualize para o Operations Manager 2022.
As contas Run As definem as credenciais que são utilizadas para determinadas ações executadas pelo agente do Operations Manager. Estas contas são geridas centralmente através da consola de Operações e atribuídas a perfis Run As diferentes. Se um perfil Run As não estiver atribuído a uma determinada ação, este será executado na conta de Ação Predefinida. Num ambiente de baixo privilégio, a conta predefinida poderá não ter as permissões necessárias para uma ação específica, e um perfil Run As pode ser utilizado para fornecer esta autoridade. Os pacotes de gestão podem instalar perfis Run As e contas Run As para suportar ações necessárias. Se for o caso, a respetiva documentação deve ser referenciada para qualquer configuração necessária.
Contas Run As predefinidas
A tabela seguinte lista as contas Run As predefinidas criadas pelo Operations Manager durante a configuração.
| Nome | Descrição | Credencial |
|---|---|---|
| Domain\ManagementServerActionAccount | A conta de utilizador na qual todas as regras são executadas por predefinição nos servidores de gestão. | A conta de domínio especificada como conta de Ação do Servidor de Gestão durante a configuração. |
| Conta de Ação do Sistema Local | A Conta System Incorporada é utilizada como uma conta de ação. | Conta de Sistema Local do Windows |
| Conta APM | A conta de Monitorização do Desempenho de Aplicações utilizada para fornecer chaves de encriptação para informações seguras recolhidas da aplicação durante a monitorização. Esta conta é criada automaticamente depois de criar o seu primeiro Monitor de Desempenho .NET. | Conta binária encriptada |
| Conta de Ação do Armazém de Dados | É utilizada para autenticar com o SQL Server que aloja a base de dados OperationsManagerDW. | A conta de domínio especificada durante a configuração como a conta de Conta de Escrita do Armazém de Dados. |
| Conta de Implementação de Relatórios do Armazém de Dados | É utilizada para autenticar entre o servidor de gestão e o SQL Server que aloja os Serviços de Relatórios do Operations Manager. | A conta de domínio especificada durante a configuração como a conta de Leitor de Dados. |
| Conta Windows de Sistema Local | Conta SYSTEM Incorporada utilizada pela conta de ação do agente. | Conta de Sistema Local do Windows |
| Conta Windows de Serviço de Rede | Conta de serviço de Rede incorporada. | Conta NetworkService do Windows |
Perfis Run As predefinidos
A tabela seguinte lista os perfis Run As criados pelo Operations Manager durante a configuração.
Nota
Se a conta Run As for deixada em branco para um perfil específico, é utilizada a conta de Ação Predefinida (a conta de Ação do Servidor de Gestão ou a conta de Ação do Agente consoante a localização da ação).
| Nome | Descrição | Conta Run As |
|---|---|---|
| Conta de Atribuição de Agente Baseada no Active Directory | A conta utilizada pelo módulo de atribuição de agente baseado no Active Directory para publicar definições de atribuição no Active Directory. | Conta Windows de Sistema Local |
| Conta de Gestão Automática do Agente | Esta conta é utilizada para diagnosticar automaticamente falhas do agente. | Nenhuma |
| Conta de Ação de Monitorização de Cliente | Se especificado, utilizado pelo Operations Manager para executar todos os módulos de monitorização de cliente. Se não for especificada, o Operations Manager utiliza a conta de ação predefinida. | Nenhuma |
| Conta do Grupo de Gestão Ligado | A conta utilizada pelo pacote de gestão do Operations Manager para monitorizar o estado de funcionamento da ligação para os grupos de gestão ligados. | Nenhuma |
| Conta do Armazém de Dados | Se especificado, esta conta é utilizada para executar todas as regras de sincronização e recolha do Armazém de Dados em vez da conta de ação predefinida. Se esta conta não for substituída pela conta de Autenticação do Data Warehouse SQL Server, esta conta é utilizada pelas regras de recolha e sincronização para ligar às bases de dados Data Warehouse através da autenticação integrada do Windows. | Nenhuma |
| Conta de Implementação de Relatórios do Armazém de Dados | Esta conta é utilizada por procedimentos de implementação automática de relatórios do Armazém de Dados para executar várias operações relacionadas com a implementação de relatórios. | Conta de Implementação de Relatórios do Armazém de Dados |
| Conta de Autenticação do SQL Server do Armazém de Dados | Se for especificado, este nome e palavra-passe de início de sessão são utilizados pelas regras de recolha e sincronização para ligar às bases de dados de Data Warehouse com SQL Server autenticação. | Conta de Autenticação do SQL Server do Armazém de Dados |
| Conta de Ação do MPUpdate | Esta conta é utilizada pelo notificador MPUpdate. | Nenhuma |
| Conta de Notificação | Conta do Windows utilizada pelas regras de notificação. Utilize o endereço de e-mail desta conta como o endereço "De" para e-mail e mensagens instantâneas. | Nenhuma |
| Conta da Base de Dados Operacional | Esta conta é utilizada para ler e escrever informações na base de dados do Operations Manager. | Nenhuma |
| Conta de Monitorização Privilegiada | Este perfil é utilizado para monitorizar o que só pode ser efetuado com um elevado nível de privilégio num sistema; por exemplo, qualquer monitorização que requeira permissões de Sistema Local ou de Administrador Local. Este perfil assume a predefinição Sistema Local, salvo se especificamente substituída para um sistema de destino. | Nenhuma |
| Conta de Autenticação de SDK SQL Server de Relatórios | Se for especificado, este nome e palavra-passe de início de sessão são utilizados pelo Serviço SDK para ligar às bases de dados Data Warehouse com SQL Server autenticação. | Conta de Autenticação de SDK SQL Server de Relatórios |
| Reservado | Este perfil está reservado e não pode ser utilizado. | Nenhuma |
| Conta de Subscrição de Alerta de Validação | A conta utilizada pelo módulo de subscrição de alerta de validação que confirma se as subscrições de notificação estão dentro dos limites. Este perfil necessita de direitos de administrador. | Conta Windows de Sistema Local |
| Conta de Monitorização SNMP | Esta conta é utilizada para monitorização SNMP. | Nenhuma |
| Conta de Monitorização de SNMPv3 | Esta conta é utilizada para monitorização SNMPv3. | Nenhuma |
| Conta de Ação do UNIX/Linux | Esta conta é utilizada para acessos com baixo privilégio ao UNIX e ao Linux. | Nenhuma |
| Conta de Manutenção de Agente do UNIX/Linux | Esta conta é utilizada para operações de manutenção com privilégios, para agentes do UNIX e do Linux. Sem esta conta, as operações de manutenção do agente não funcionam. | Nenhuma |
| Conta com Privilégios do UNIX/Linux | Esta conta é utilizada para aceder a recursos protegidos do UNIX e do Linux e para executar ações que exigem privilégios elevados. Sem esta conta, algumas regras, diagnósticos e recuperações não funcionam. | Nenhuma |
| Conta de Ação de Cluster do Windows | Este perfil é utilizado para todas as ações de deteção e monitorização dos componentes de Cluster do Windows. Este perfil é predefinido para utilizar contas de ação, a menos que seja preenchido pelo utilizador. | Nenhuma |
| Conta de Ação da Gestão WS | Este perfil é utilizado para o acesso à Gestão WS. | Nenhuma |
Noções sobre distribuição e filtragem
A distribuição de conta Run As e a filtragem de Conta Run As devem estar corretamente configuradas para que o perfil Run As funcione corretamente.
Quando configurar um perfil Run As, selecione as contas Run As que pretende associar a esse perfil. Depois de criar essa associação, pode especificar a classe, o grupo ou o objeto no qual a conta Run As deve ser utilizada para executar tarefas, regras, monitores e deteções.
A distribuição é um atributo de uma conta Run As e pode especificar quais os computadores que recebem as credenciais da conta Run As. Pode escolher distribuir as credenciais da conta Run As para todos os computadores geridos pelo agente ou apenas para computadores selecionados.
Exemplo de segmentação de conta Run As: o computador físico ABC aloja duas instâncias do Microsoft SQL Server: a instância X e a instância Y. Cada instância utiliza um conjunto diferente de credenciais para a conta sa. Uma conta Run As é criada com as credenciais sa da instância X, e uma conta Run As diferente é criada com as credenciais sa da instância Y. Quando o perfil Run As do SQL Server é configurado, são associadas ambas as credenciais da conta Run As - — por exemplo, X e Y — ao perfil, especificando que as credenciais da instância X da conta Run As serão utilizadas pela instância X do SQL Server e que as credenciais Y da conta Run As serão utilizadas pela instância Y do SQL Server. Depois, cada conjunto de credenciais da conta Run As também tem de ser configurado para ser distribuído para o computador físico ABC.
Exemplo de distribuição da conta Run As: SQL Server1 e SQL Server2 são dois computadores físicos diferentes. O SQL Server1 utiliza o conjunto de credenciais UserName1 e Password1 para a conta sa do SQL. O SQL Server2 utiliza o conjunto de credenciais UserName2 e Password2 para a conta sa do SQL. O pacote de gestão do SQL tem um único perfil Run As do SQL, que é utilizado para todos os servidores do SQL Server. Em seguida, pode definir uma conta Run As para o conjunto de credenciais UserName1 e outra conta Run As para o conjunto de credenciais UserName2. Ambas as contas Run As podem ser associadas a um perfil Run As do SQL Server e podem ser configuradas para serem distribuídas para os computadores adequados. Ou seja, UserName1 é distribuído para o SQL Server1 e UserName2 é distribuído para o SQL Server2. As informações de conta enviadas entre o servidor de gestão e o computador designado são encriptadas.
Segurança de conta Run As
No System Center Operations Manager, as credenciais da conta Run As são distribuídas apenas para computadores que especificar (a opção mais segura). Se o Operations Manager distribuiu automaticamente a conta Run As de acordo com a deteção, será introduzido um risco de segurança no seu ambiente, conforme ilustrado no exemplo seguinte. É por isso que uma opção de distribuição automática não foi incluída no Operations Manager.
Por exemplo, o Operations Manager identifica que um computador tem alojado o SQL Server 2016, com base na presença de uma chave de registo. É possível criar essa mesma chave de registo num computador que não esteja a executar uma instância do SQL Server 2016. Se o Operations Manager distribuísse automaticamente as credenciais por todos os computadores geridos pelo agente identificados como computadores SQL Server 2016, as credenciais seriam enviadas para o SQL Server impostor e ficariam disponíveis a qualquer pessoa com direitos de administrador nesse servidor.
Quando cria uma conta Run As com o Operations Manager, é-lhe pedido para escolher se a conta Run As deve ser tratada de forma menos segura ou mais segura. Mais segura significa que, quando associa a conta Run As a um perfil Run As, terá que fornecer os nomes específicos dos computadores onde pretende que as credenciais Run As sejam distribuídas. Ao identificar positivamente os computadores de destino, pode impedir o cenário de Ocultação (spoofing) que foi descrito anteriormente. Se escolher a opção menos segura, não terá de fornecer computadores específicos e as credenciais serão distribuídas para todos os computadores geridos pelo agente.
Nota
As credenciais que selecionar para a Conta Run As têm de ter, no mínimo, direitos de início de sessão localmente; caso contrário, o módulo irá falhar.