Распределение и назначение учетных записей запуска от имени и профилей

Учетные записи запуска от имени связаны с профилями запуска от имени и служат для предоставления необходимых учетных данных для успешного выполнения рабочих процессов, использующих профили запуска от имени. Для надлежащей работы профилей запуска от имени атрибуты распространения и определения целевых объектов учетных записей запуска от имени должны быть правильно настроены.

При настройке профиля запуска от имени выберите учетную запись запуска от имени, которую требуется связать с профилем. При создании связывания указывается класс, группа или объект, который учетная запись запуска от имени будет использовать для управления, как отражено на следующем рисунке. С помощью этого действия устанавливается целевой объект учетной записи запуска от имени.

Распространение является атрибутом учетной записи запуска от имени, в котором указываются компьютеры, получающие учетные данные запуска от имени. Можно выбрать вариант распространения учетных данных на все управляемые агентами компьютеры либо только на выбранные компьютеры.

Пример целевой и распределения учетной записи запуска от имени:

На физическом компьютере ABC размещены два экземпляра Microsoft SQL Server, экземпляр X и экземпляр Y. Для каждого экземпляра используются различные наборы учетных данных для учетной записи sa . Создается учетная запись запуска от имени с учетными данными sa для экземпляра X и другая учетная запись запуска от имени с учетными данными sa для экземпляра Y. При настройке профиля запуска от имени SQL Server, связываются учетные данные запуска от имени для экземпляров X и Y с профилем и указывается, что учетные данные запуска от имени экземпляра X будут использоваться экземпляром X SQL Server, а учетные данные запуска от имени Y — экземпляром Y SQL Server. Затем настраивается распространение обеих учетных записей запуска от имени на физический компьютер ABC.

Выбор целевого объекта для учетной записи запуска от имени

Как показано на предыдущем рисунке, имеются следующие варианты выбора целевого объекта для учетной записи запуска от имени: Все целевые объекты и Выбранный класс, группа или объект.

При выборе варианта Все целевые объектыпрофиль запуска от имени будет использовать учетную запись запуска от имени для всех объектов рабочего процесса, который использует профиль запуска от имени.

При выборе варианта Выбранный класс, группа или объектможно ограничить использование учетной записи запуска от имени указанным классом, группой или объектом.

Примечание.

Учетные данные учетной записи запуска от имени должны распространяться в определенных системах, управляемых агентом, учетные данные запуска от имени должны выполнять проверку подлинности перед настройкой профиля запуска от имени.

Сравнение более безопасного и менее безопасного распределения

Operations Manager распределяет учетные данные учетной записи запуска от имени на все управляемые агентом компьютеры (менее безопасный параметр) или только на указанные компьютеры (более безопасный параметр). Если Operations Manager автоматически распространяет учетную запись запуска от имени в соответствии с обнаружением устройств, то может возникнуть угроза безопасности среды, как показано в следующем примере. Именно поэтому вариант автоматического распространения не был включен в Operations Manager.

Например, Operations Manager определяет компьютер как размещение SQL Server 2014 на основе наличия раздела реестра. Этот же раздел реестра можно создать на компьютере, на котором фактически не выполняется экземпляр SQL Server 2014. Если Operations Manager будет автоматически распределять учетные данные на все управляемые агентом компьютеры, которые были определены как компьютеры SQL Server 2014, учетные данные будут отправлены в неизвимый SQL Server, и они будут доступны кому-то с правами администратора на этом сервере.

При создании учетной записи запуска от имени запрашивается выбор последующего варианта ее использования — Менее безопасное или Более безопасное . Более безопасный вариант означает, что при связывании учетной записи запуска от имени с профилем запуска от имени необходимо предоставить имена определенных компьютеров, на которые требуется распространить учетные данные запуска от имени. Определяя целевые компьютеры, вы предотвращаете описанный выше сценарий подмены. При выборе менее безопасного варианта необязательно предоставлять имена никаких компьютеров, учетные данные будут распространяться на все управляемые агентами компьютеры.

Примечание.

Operations Manager выполняет проверки учетных данных запуска от имени, включая проверку возможности их использования для локального входа на компьютер. Если учетная запись не обладает правами локального входа на компьютер, будет создано предупреждение.

Следующие шаги

• Чтобы понять, как создать учетную запись запуска от имени, изменить существующую учетную запись запуска от имени и настроить профиль запуска от имени, чтобы использовать учетную запись запуска от имени, см. инструкции по созданию учетной записи запуска от имени и связыванию с профилем запуска от имени.