Управление учетными записями и профилями запуска от имени

Рабочие процессы System Center Operations Manager, такие как правила, задачи, мониторы и обнаружения, требуют учетных данных для выполнения на целевом агенте или компьютере. По умолчанию рабочие процессы используют учетную запись действия по умолчанию для агента или компьютера. Учетные данные для учетной записи действия по умолчанию настраиваются при установке Operations Manager.

Если рабочий процесс требует прав и привилегий, которые не удается предоставить учетной записи действия по умолчанию, можно настроить рабочий процесс для использования профиля Run As. С профилем запуска от имени можно связать несколько учетных записей запуска от имени. Учетные записи для запуска от имени позволяют указывать необходимые учетные данные для конкретных компьютеров. Один профиль запуска от имени может использоваться несколькими рабочими процессами. На следующем рисунке иллюстрируется взаимосвязь между рабочими процессами, профилями "Выполнить как" и учетными записями "Выполнить как".

На рисунке три рабочих процесса используют один и тот же профиль выполнения от имени. Профиль запуска от имени включает три связанные с ним учетные записи. В данном примере каждый рабочий процесс, использующий профиль запуска от имени, будет запускаться на компьютере A с помощью учетных данных для учетной записи запуска от имени 1, на компьютерах B и C с помощью учетных данных для учетной записи запуска от имени 2, и на компьютере D с помощью учетных данных учетной записи запуска от имени 3.

Профили "Запуск от имени" определяются в пакетах управления автором пакета управления. Профиль запуска от имени используется везде, где активен его родительский пакет управления. Например, пакет управления SQL Server 2014 содержит профиль запуска от имени SQL, поэтому профиль запуска от имени SQL будет активным на всех серверах под управлением SQL Server 2014, отслеживаемых пакетом управления SQL Server 2014. Профиль запуска от имени представляет собой связь одной или нескольких учетных записей запуска от имени и управляемых объектов, к которым должны применяться эти учетные записи запуска от имени.

В некоторых случаях профиль «Запуск от имени» импортируется в Operations Manager при импорте пакета управления, который содержит этот профиль. В других ситуациях может потребоваться создать его вручную. Во всех случаях профили "Запуск от имени" должны быть вручную связаны с учетной записью "Запуск от имени".

Учетная запись запуска от имени содержит один набор учетных данных, хранящихся в операционной базе данных Operations Manager. Каждая учетная запись Run As имеет категорию безопасности (более безопасная или менее безопасная), которая управляет распространением этих учетных данных для использования. Если выбирается более безопасное распределение учетных данных, то необходимо настроить сопоставление компьютеров, на которые распределяются эти учетные данные.

Отключить учетные записи для запуска от имени

С помощью Operations Manager 2022 администраторы могут управлять учетными данными пользователей, необходимыми для выполнения задач в консоли Operations Manager.

По умолчанию в более ранних выпусках у пользователей с ограниченными разрешениями была включена опция Использовать предварительно заданную учетную запись для запуска. Теперь администраторы могут отключить этот параметр. При отключении все пользователи, не являющиеся администраторами, должны предоставить учетные данные для выполнения задач с помощью консоли или powerShell cmd Start-SCOMTask.

Чтобы отключить этот параметр, администраторы должны перейти к разделу "Параметры>выполнения других>задач", а затем нажмите кнопку "Отключено".

Вы можете подключить несколько групп управления друг к другу и просматривать оповещения из разных групп управления в одной консоли операций.

Пользователи также могут выполнять задачи на компьютерах в других группах управления. Параметры вступят в силу для группы управления, в которой выполняется сеанс операционной консоли или PowerShell.

Например, если для группы управления 1 (MG1) параметр имеет значение Включено, а для группы управления 2 (MG2) этот параметр имеет значение Отключено, то пользователи могут запускать задачу из консоли в MG1 без учетных данных независимо от того, находится ли целевой объект в MG1 или в MG2.

Аналогично, если пользователь выполняет задачу из PowerShell в MG2, ему понадобятся учетные данные для задачи, если целевой объект находится в MG1.

Следующие шаги

• Распределение и назначение учетных записей и профилей с правами запуска

  В этой статье объясняется различие между распределением и целевым назначением, параметрами распространения учетных записей запуска от имени и параметрами выбора целевых объектов для профилей запуска от имени.

• Создание учетной записи с правами администратора и ассоциация с профилем с правами администратора

  В этой статье объясняется, как создать учетную запись запуска от имени, как изменить существующую учетную запись запуска от имени и как настроить профиль запуска от имени для использования учетной записи запуска от имени.

• Как создать новую учетную запись действий

  В этой статье объясняется, как создать новую учетную запись действия от имени пользователя, которая будет использоваться серверами управления для группы управления.