Управление учетными записями и профилями запуска от имени

Рабочие процессы System Center Operations Manager, такие как правила, задачи, мониторы и обнаружения, требуют учетных данных для выполнения на целевом агенте или компьютере. По умолчанию рабочие процессы используют учетную запись действия по умолчанию для агента или компьютера. Учетные данные для учетной записи действия по умолчанию настраиваются при установке Operations Manager.

Если рабочий процесс требует прав и привилегий, которые не удается предоставить учетной записи действия по умолчанию, рабочий процесс можно записать для использования профиля запуска от имени. С профилем запуска от имени можно связать несколько учетных записей запуска от имени. Учетные записи запуска от имени позволяют указывать необходимые учетные данные для конкретных компьютеров. Один профиль запуска от имени может использоваться несколькими рабочими процессами. На следующем рисунке иллюстрируется взаимосвязь между рабочими процессами, профилями запуска от имени и учетными записями запуска от имени.

На рисунке один профиль запуска от имени используется тремя рабочими процессами. С профилем запуска от имени связано три учетных записи запуска от имени. В данном примере каждый рабочий процесс, использующий профиль запуска от имени, будет запускаться на компьютере A с помощью учетных данных для учетной записи запуска от имени 1, на компьютерах B и C с помощью учетных данных для учетной записи запуска от имени 2, и на компьютере D с помощью учетных данных учетной записи запуска от имени 3.

Профили запуска от имени определяются в пакетах управления разработчиком пакета управления. Профиль запуска от имени используется везде, где действует его родительский пакет управления. Например, пакет управления SQL Server 2014 содержит профиль запуска от имени SQL, поэтому профиль запуска от имени SQL будет активным на всех серверах под управлением SQL Server 2014, отслеживаемых пакетом управления SQL Server 2014. Профиль запуска от имени представляет собой связь одной или нескольких учетных записей запуска от имени и управляемых объектов, к которым должны применяться эти учетные записи запуска от имени.

В некоторых ситуациях профиль запуска от имени импортируется в Operations Manager при импорте пакета управления, который содержит этот профиль. В других ситуациях может потребоваться создать его вручную. Во всех ситуациях профили запуска от имени необходимо вручную связывать с учетными записями запуска от имени.

Учетная запись запуска от имени содержит один набор учетных данных, хранящихся в операционной базе данных Operations Manager. Каждая учетная запись запуска от имени имеет категорию защиты (с большей или меньшей степенью безопасности), которая управляет порядком распределения этих учетных данных для использования. Если выбирается более безопасное распределение учетных данных, то необходимо настроить сопоставление компьютеров, на которые распределяются эти учетные данные.

Отключение учетных записей запуска от имени

С помощью Operations Manager 2022 администраторы могут управлять учетными данными пользователей, необходимыми для выполнения задач в консоли Operations Manager.

В более ранних выпусках по умолчанию для пользователей с ограниченными разрешениями был включен параметр Использовать предварительно заданную учетную запись запуска от имени. Теперь администраторы могут отключить этот параметр. При отключении все пользователи, не являющиеся администраторами, должны предоставить учетные данные для выполнения задач с помощью консоли или powerShell cmd Start-SCOMTask.

Чтобы отключить этот параметр, администраторы должны перейти к разделу "Параметры>выполнения других>задач", а затем нажмите кнопку "Отключено".

Вы можете подключить несколько групп управления друг к другу и просматривать оповещения из разных групп управления в одной консоли операций.

Пользователи также могут выполнять задачи на компьютерах в других группах управления. Параметры будут эффективны из группы управления, из которой выполняется сеанс операционной консоли или PowerShell.

Например, если для группы управления 1 (MG1) параметр имеет значение Включено, а для группы управления 2 (MG2) этот параметр имеет значение Отключено, то пользователи могут запускать задачу из консоли в MG1 без учетных данных независимо от того, находится ли целевой объект в MG1 или в MG2.

Аналогично, если пользователь выполняет задачу из PowerShell в MG2, ему понадобятся учетные данные для задачи, если целевой объект находится в MG1.

Следующие шаги

• Распределение и назначение для учетных записей и профилей запуска от имени

  В этой статье объясняется различие между распределением и целевым назначением, параметрами распространения учетных записей запуска от имени и параметрами выбора целевых объектов для профилей запуска от имени.

• Создание учетной записи запуска от имени и связывание с профилем запуска от имени

  В этой статье объясняется, как создать учетную запись запуска от имени, как изменить существующую учетную запись запуска от имени и как настроить профиль запуска от имени для использования учетной записи запуска от имени.

• Создание учетной записи действия

  В этой статье объясняется, как создать новую учетную запись действия запуска от имени, которая будет использоваться серверами управления в группе управления.