Учетные записи и профили запуска от имени
Run As учетные записи определяют учетные данные, которые используются для определенных действий, выполняемых агентом Operations Manager. Эти учетные записи централизованно управляются через консоль операций и назначаются различным профилям Run As. Если профиль запуска от имени не назначен определенному действию, оно выполняется под учетной записью, назначенной для действий по умолчанию. В среде с низким уровнем привилегий учетная запись по умолчанию может не иметь необходимых разрешений для определенного действия, а профиль "Запуск от имени" можно использовать для предоставления этих прав. Пакеты управления могут устанавливать профили запуска от имени и учетные записи запуска от имени для поддержки необходимых действий. В этом случае их документация должна ссылаться на любую необходимую конфигурацию.
Учетные записи запуска по умолчанию
В следующей таблице перечислены учетные записи запуска от имени по умолчанию, созданные Operations Manager во время установки.
| Имя | Описание | Подтверждение компетенции |
|---|---|---|
| Домен\СерверУправленияДействиемАккаунта | Учетная запись пользователя, в которой все правила выполняются по умолчанию на серверах управления. | Учетная запись домена, указанная в качестве учетной записи действия сервера управления во время установки. |
| Учетная запись действия локальной системы | Встроенная системная учетная запись, используемая в качестве учетной записи для выполнения действий. | Учетная запись локальной системы Windows |
| Учетная запись APM | Учетная запись мониторинга производительности приложений, используемая для предоставления ключей шифрования защищенной информации, собранной из приложения во время мониторинга. Эта учетная запись создается автоматически после того как вы создадите первый монитор производительности .NET. | Зашифрованная двоичная учетная запись |
| Учетная запись для действий в хранилище данных | Используется для проверки подлинности с помощью SQL Server, в котором размещена база данных OperationsManagerDW. | Учетная запись домена, указанная во время настройки в качестве учетной записи записи хранилища данных. |
| Учетная запись для развертывания отчетов в хранилище данных | Используется для проверки подлинности между сервером управления и SQL Server, где размещаются службы Operations Manager Reporting Services. | Учетная запись домена, указанная во время установки в качестве учетной записи чтения данных. |
| Учетная запись Локальной системы Windows | Встроенная учетная запись SYSTEM, используемая учетной записью действия агента. | Учетная запись локальной системы Windows |
| Учетная запись Windows сетевой службы | Встроенная учетная запись сетевой службы. | Учетная запись Windows NetworkService |
Профили запуска от имени по умолчанию
В следующей таблице перечислены профили Run As, созданные Operations Manager во время установки.
Примечание.
Если учетная запись "Запуск от имени" остается пустой для конкретного профиля, используется учетная запись действия по умолчанию (учетная запись действия сервера управления или учетная запись действия агента, в зависимости от места выполнения действия).
| Имя | Описание | учетная запись входа от имени |
|---|---|---|
| Учетная запись назначения агента на основе Active Directory | Учетная запись, используемая модулем на базе Active Directory для назначения агента, для публикации параметров назначения в Active Directory. | Учетная запись Локальной системы Windows |
| Учетная запись автоматического управления агентами | Эта учетная запись используется для автоматической диагностики сбоев агента. | нет |
| Учетная запись действия мониторинга клиента | Если указано, используется менеджером операций для запуска всех модулей мониторинга клиентов. Если это не указано, Operations Manager использует учетную запись действия по умолчанию. | нет |
| Учетная запись подключенной группы управления | Учетная запись, используемая пакетом управления Operations Manager для мониторинга работоспособности подключения к подключенным группам управления. | нет |
| Учетная запись хранилища данных | Если задано, эта учетная запись используется для выполнения всех правил сбора и синхронизации хранилища данных вместо учетной записи действия по умолчанию. Если эта учетная запись не переопределяется учетной записью проверки подлинности SQL Server хранилища данных, эта учетная запись используется правилами сбора и синхронизации для подключения к базам данных хранилища данных с помощью интегрированной проверки подлинности Windows. | нет |
| Учетная запись для размещения отчетов в хранилище данных | Эта учетная запись используется процедурами автоматического развертывания отчетов в хранилище данных для выполнения различных операций, связанных с развертыванием отчетов. | Учетная запись для развертывания отчетов в хранилище данных |
| Учетная запись проверки подлинности SQL Server для хранилища данных | Если задано, это имя входа и пароль используются правилами сбора и синхронизации для подключения к базам данных хранилища данных с помощью проверки подлинности SQL Server. | Учетная запись проверки подлинности SQL Server для хранилища данных |
| Учетная запись для действий MPUpdate | Эта учетная запись используется уведомителем MPUpdate. | нет |
| Учетная запись уведомлений | Учетная запись Windows, используемая правилами уведомлений. Используйте адрес электронной почты этой учетной записи в качестве адреса отправителя в электронной почте и мгновенных сообщениях «From». | нет |
| Учетная запись операционной базы данных | Эта учетная запись используется для чтения и записи сведений в базу данных Operations Manager. | нет |
| Учетная запись привилегированного мониторинга | Этот профиль используется для мониторинга, который может выполняться только с высоким уровнем привилегий в системе; Например, мониторинг, требующий разрешений локальной системы или локального администратора. Этот профиль используется по умолчанию для локальной системы, если его специально не переопределить для целевой системы. | нет |
| Учетная запись аутентификации SQL Server SDK для отчетности | Если указано, это имя входа и пароль используются службой SDK для подключения к базам данных хранилища данных с помощью проверки подлинности SQL Server. | Учетная запись проверки подлинности SQL Server пакета SDK для отчетов |
| Зарезервировано | Этот профиль зарезервирован и не должен использоваться. | нет |
| Проверка учетной записи подписки оповещений | Учетная запись, используемая модулем проверки подписок на оповещения, который проверяет, находятся ли подписки на уведомления в рамках области действия. Для этого профиля требуются права администратора. | Учетная запись Локальной системы Windows |
| Учетная запись мониторинга SNMP | Эта учетная запись используется для мониторинга SNMP. | нет |
| Учетная запись мониторинга SNMPv3 | Эта учетная запись используется для мониторинга SNMPv3. | нет |
| Учетная запись для операций UNIX/Linux | Учетная запись THis используется для доступа к UNIX и Linux с низким уровнем привилегий. | нет |
| Учетная запись агента поддержки UNIX/Linux | Эта учетная запись используется для операций с привилегированным обслуживанием для агентов UNIX и Linux. Без этой учетной записи операции обслуживания агента не работают. | нет |
| Привилегированная учетная запись UNIX/Linux | Эта учетная запись используется для доступа к защищенным ресурсам UNIX и Linux и действиям, которым требуются высокие привилегии. Без этой учетной записи некоторые правила, диагностика и восстановление не работают. | нет |
| Учетная запись действий кластера Windows | Этот профиль используется для обнаружения и мониторинга компонентов кластера Windows. Этот профиль по умолчанию использует уже использованные учетные записи действий, если его не заполнит пользователь. | нет |
| Учетная запись для действий WS-Management | Этот профиль используется для доступа к WS-Management. | нет |
Понять распределение и таргетинг
Распределение учетной записи от имени и таргетирование учетной записи от имени должны быть правильно настроены для корректной работы профиля учетной записи от имени.
При настройке профиля запуска от имени выберите учетную запись запуска от имени, которую требуется связать с профилем. После создания этой связи можно указать класс, группу или объект, для которого учетная запись 'Запуск от имени' используется для выполнения задач, правил, мониторов и поиска.
Распределение — это атрибут учетной записи запуска от имени, и вы можете указать, какие компьютеры получают учетные данные учетной записи запуска от имени. Можно выбрать вариант распространения учетных данных Run As на все компьютеры, управляемые агентами, либо только на выбранные компьютеры.
Пример целевой учетной записи Run As: Физический компьютер ABC размещает два экземпляра Microsoft SQL Server: экземпляр X и экземпляр Y. Каждый экземпляр использует другой набор учетных данных для учетной записи sa. Вы создаете учетную запись запуска от имени с учетными данными sa для экземпляра X и другую учетную запись запуска от имени с учетными данными sa для экземпляра Y. При настройке профиля запуска от имени SQL Server вы связываете учетные данные обеих учетных записей запуска от имени — например, X и Y — с профилем, указывая, что учетные данные учетной записи запуска экземпляра X используются для экземпляра SQL Server X, а учетные данные учетной записи Y — для экземпляра SQL Server Y. Затем необходимо также настроить каждый набор учетных данных учетной записи запуска от имени для распространения на физический компьютер ABC.
Пример распространения учетной записи Run As: SQL Server1 и SQL Server2 — два разных физических компьютера. SQL Server1 использует набор учетных данных UserName1 и Password1 для учетной записи SA SQL. SQL Server2 использует набор учетных данных UserName2 и Password2 для учетной записи SQL sa. Пакет управления SQL содержит один профиль Run As, используемый для всех серверов SQL. Затем можно определить одну учетную запись запуска от имени для набора учетных данных UserName1 и другую учетную запись запуска от имени для набора учетных данных UserName2. Обе эти учетные записи запуска от имени могут быть связаны с одним профилем запуска от имени SQL Server и могут быть настроены для распространения на соответствующие компьютеры. То есть UserName1 распространяется на SQL Server1, а Имя_пользователя2 распространяется на SQL Server2. Сведения об учетной записи, отправляемые между сервером управления и назначенным компьютером, шифруются.
Безопасность учётной записи выполнения от имени
В System Center Operations Manager учетные данные учетной записи запуска от имени распределяются только на указанные компьютеры (более безопасный параметр). Если Operations Manager автоматически распределяет учетную запись Run As на основе обнаруженных данных, в вашей среде будет введена угроза безопасности, как показано в следующем примере. Поэтому параметр автоматического распространения не был включен в Operations Manager.
Например, Operations Manager определяет компьютер как хост SQL Server 2016 на основе наличия ключа реестра. Этот же раздел реестра можно создать на компьютере, на котором на самом деле не выполняется экземпляр SQL Server 2016. Если Operations Manager автоматически распределит учетные данные по всем управляемым агентом компьютерам, которые были определены как компьютеры SQL Server 2016, учетные данные будут отправлены на ложный SQL Server и станут доступны всем пользователям с правами администратора на этом сервере.
При создании учетной записи запуска от имени с помощью Operations Manager вам будет предложено выбрать, следует ли обрабатывать учетную запись запуска от имени в менее безопасном или более безопасном режиме. "Более безопасный" означает, что при связывании учетной записи запуска от имени с профилем запуска от имени необходимо указать определенные имена компьютеров, в которых должны распространяться учетные данные запуска от имени. Точно определив целевые компьютеры, вы можете предотвратить описанный ранее сценарий подмены. Если выбрать менее безопасный вариант, вам не придется предоставлять определенные компьютеры, а учетные данные будут распространяться на все управляемые агентом компьютеры.
Примечание.
Учетные данные, которые вы выбираете для учетной записи запуска от имени, должны иметь как минимум права на локальный вход; иначе модуль не сможет работать.