Учетные записи и профили запуска от имени
Учетные записи запуска от имени определяют, какие учетные данные используются для определенных действий, выполняемых агентом Operations Manager. Эти учетные записи централизованно управляются с помощью консоли управления и назначаются разным профилям запуска от имени. Если профиль запуска от имени не назначен определенному действию, он выполняется в учетной записи действия по умолчанию. В среде с низким уровнем привилегий учетная запись по умолчанию может не иметь необходимых разрешений для определенного действия, а профиль запуска от имени можно использовать для предоставления этого центра. Пакеты управления могут устанавливать профили запуска от имени и учетные записи запуска от имени для поддержки необходимых действий. В этом случае их документация должна ссылаться на любую необходимую конфигурацию.
Учетные записи запуска от имени по умолчанию
В следующей таблице перечислены учетные записи запуска от имени по умолчанию, созданные Operations Manager во время установки.
| Имя | Описание | Подтверждение компетенции |
|---|---|---|
| Domain\ManagementServerActionAccount | Учетная запись пользователя, в которой все правила выполняются по умолчанию на серверах управления. | Учетная запись домена, указанная в качестве учетной записи действия сервера управления во время установки. |
| Учетная запись действия локальной системы | Встроенная системная учетная запись, используемая в качестве учетной записи действия. | Учетная запись локальной системы Windows |
| Учетная запись APM | Учетная запись Монитор производительности приложения, используемая для предоставления ключей для шифрования защищенных данных, собранных из приложения во время мониторинга. Эта учетная запись автоматически создается после создания первого Монитор производительности .NET. | Зашифрованная двоичная учетная запись |
| Учетная запись действия хранилища данных | Используется для проверки подлинности с помощью SQL Server, в котором размещена база данных OperationsManagerDW. | Учетная запись домена, указанная во время настройки в качестве учетной записи записи хранилища данных. |
| Учетная запись развертывания отчетов хранилища данных | Используется для проверки подлинности между сервером управления и SQL Server, где размещаются службы Operations Manager Reporting Services. | Учетная запись домена, указанная во время установки в качестве учетной записи чтения данных. |
| Учетная запись Локальной системы Windows | Встроенная учетная запись SYSTEM, используемая учетной записью действия агента. | Учетная запись локальной системы Windows |
| Учетная запись Windows сетевой службы | Встроенная учетная запись сетевой службы. | Учетная запись Windows NetworkService |
Профили запуска от имени по умолчанию
В следующей таблице перечислены профили запуска от имени, созданные Operations Manager во время установки.
Примечание.
Если учетная запись запуска от имени остается пустой для определенного профиля, используется учетная запись действия по умолчанию (учетная запись действия сервера управления или учетная запись действия агента в зависимости от расположения действия).
| Имя | Описание | учетная запись запуска от имени |
|---|---|---|
| Учетная запись назначения агента на основе Active Directory | Учетная запись, используемая модулем назначения агента На основе Active Directory для публикации параметров назначения в Active Directory. | Учетная запись Локальной системы Windows |
| Учетная запись автоматического управления агентами | Эта учетная запись используется для автоматической диагностики сбоев агента. | нет |
| Учетная запись действия мониторинга клиента | Если задано, используется Operations Manager для запуска всех модулей мониторинга клиентов. Если это не указано, Operations Manager использует учетную запись действия по умолчанию. | нет |
| Учетная запись подключенной группы управления | Учетная запись, используемая пакетом управления Operations Manager для мониторинга работоспособности подключения к подключенным группам управления. | нет |
| Учетная запись хранилища данных | Если задано, эта учетная запись используется для выполнения всех правил сбора и синхронизации хранилища данных вместо учетной записи действия по умолчанию. Если эта учетная запись не переопределяется учетной записью проверки подлинности SQL Server хранилища данных, эта учетная запись используется правилами сбора и синхронизации для подключения к базам данных хранилища данных с помощью интегрированной проверки подлинности Windows. | нет |
| Учетная запись развертывания отчетов хранилища данных | Эта учетная запись используется процедурами автоматического развертывания отчета хранилища данных для выполнения различных операций развертывания отчетов. | Учетная запись развертывания отчетов хранилища данных |
| Учетная запись проверки подлинности SQL Server для хранилища данных | Если задано, это имя входа и пароль используются правилами сбора и синхронизации для подключения к базам данных хранилища данных с помощью проверки подлинности SQL Server. | Учетная запись проверки подлинности SQL Server для хранилища данных |
| Учетная запись действия MPUpdate | Эта учетная запись используется опификатором MPUpdate. | нет |
| Учетная запись уведомлений | Учетная запись Windows, используемая правилами уведомлений. Используйте адрес электронной почты этой учетной записи в качестве адреса электронной почты и мгновенного сообщения From. | нет |
| Учетная запись рабочей базы данных | Эта учетная запись используется для чтения и записи сведений в базу данных Operations Manager. | нет |
| Учетная запись привилегированного мониторинга | Этот профиль используется для мониторинга, который может выполняться только с высоким уровнем привилегий в системе; Например, мониторинг, требующий разрешений локальной системы или локального администратора. Этот профиль по умолчанию используется для локальной системы, если не переопределяется для целевой системы. | нет |
| Учетная запись проверки подлинности SQL Server пакета SDK для отчетов | Если указано, это имя входа и пароль используются службой SDK для подключения к базам данных хранилища данных с помощью проверки подлинности SQL Server. | Учетная запись проверки подлинности SQL Server пакета SDK для отчетов |
| Зарезервировано | Этот профиль зарезервирован и не должен использоваться. | нет |
| Проверка учетной записи подписки оповещений | Учетная запись, используемая модулем подписки проверки оповещений, которая проверяет, что подписки на уведомления находятся в области. Для этого профиля требуются права администратора. | Учетная запись Локальной системы Windows |
| Учетная запись мониторинга SNMP | Эта учетная запись используется для мониторинга SNMP. | нет |
| Учетная запись мониторинга SNMPv3 | Эта учетная запись используется для мониторинга SNMPv3. | нет |
| Учетная запись действия UNIX/Linux | Учетная запись THis используется для доступа к UNIX и Linux с низким уровнем привилегий. | нет |
| Учетная запись обслуживания агента UNIX/Linux | Эта учетная запись используется для операций с привилегированным обслуживанием для агентов UNIX и Linux. Без этой учетной записи операции обслуживания агента не работают. | нет |
| Привилегированная учетная запись UNIX/Linux | Эта учетная запись используется для доступа к защищенным ресурсам UNIX и Linux и действиям, которым требуются высокие привилегии. Без этой учетной записи некоторые правила, диагностика и восстановление не работают. | нет |
| Учетная запись действия кластера Windows | Этот профиль используется для всех компонентов кластера Windows и обнаружения и мониторинга. Этот профиль по умолчанию использует учетные записи действий, если он не заполняется пользователем. | нет |
| Учетная запись действия WS-Management | Этот профиль используется для доступа WS-Management. | нет |
Общие сведения о распределении и целевых объектах
Распределение учетных записей запуска от имени и назначение учетной записи запуска от имени должно быть правильно настроено для правильной работы профиля запуска от имени.
При настройке профиля запуска от имени выберите учетную запись запуска от имени, которую требуется связать с профилем. После создания этой связи можно указать класс, группу или объект, для которого учетная запись запуска от имени будет использоваться для выполнения задач, правил, мониторов и обнаружения.
Распределение — это атрибут учетной записи запуска от имени, и вы можете указать, какие компьютеры получают учетные данные учетной записи запуска от имени. Можно выбрать вариант распространения учетных данных на все управляемые агентами компьютеры либо только на выбранные компьютеры.
Пример целевой учетной записи запуска от имени: физический компьютер ABC размещает два экземпляра Microsoft SQL Server: экземпляр X и экземпляр Y. Каждый экземпляр использует другой набор учетных данных для учетной записи sa. Вы создаете учетную запись запуска от имени с учетными данными sa для экземпляра X и создаете другую учетную запись запуска от имени с учетными данными sa, например Y. При настройке профиля запуска от имени SQL Server необходимо связать учетные данные учетной записи запуска от имени (например, X и Y) с профилем и указать, что учетные данные экземпляра учетной записи запуска от имени будут использоваться для экземпляра X экземпляра SQL Server X и учетные данные учетной записи запуска от имени должны использоваться для экземпляра SQL Server Y. Затем необходимо также настроить каждый набор учетных данных учетной записи запуска от имени для распространения на физический компьютер ABC.
Пример распространения учетной записи запуска от имени: SQL Server1 и SQL Server2 — два разных физических компьютера. SQL Server1 использует набор учетных данных UserName1 и Password1 для учетной записи SA SQL. SQL Server2 использует набор учетных данных UserName2 и Password2 для учетной записи sa SQL. Пакет управления SQL содержит один профиль запуска от имени SQL, используемый для всех серверов SQL Server. Затем можно определить одну учетную запись запуска от имени для набора учетных данных UserName1 и другую учетную запись запуска от имени для набора учетных данных UserName2. Обе эти учетные записи запуска от имени могут быть связаны с одним профилем запуска от имени SQL Server и могут быть настроены для распространения на соответствующие компьютеры. То есть UserName1 распространяется на SQL Server1, а Имя_пользователя2 распространяется на SQL Server2. Сведения об учетной записи, отправляемые между сервером управления и назначенным компьютером, шифруются.
Безопасность учетной записи запуска от имени
В System Center Operations Manager учетные данные учетной записи запуска от имени распределяются только на указанные компьютеры (более безопасный параметр). Если Operations Manager автоматически распределяет учетную запись запуска от имени в соответствии с обнаружением, в вашей среде будет введен риск безопасности, как показано в следующем примере. Поэтому параметр автоматического распространения не был включен в Operations Manager.
Например, Operations Manager определяет компьютер как размещение SQL Server 2016 на основе наличия раздела реестра. Этот же раздел реестра можно создать на компьютере, на котором фактически не выполняется экземпляр SQL Server 2016. Если Operations Manager будет автоматически распространять учетные данные на все управляемые агентом компьютеры, которые были определены как компьютеры SQL Server 2016, учетные данные будут отправлены в неизвимый SQL Server, и они будут доступны всем пользователям с правами администратора на этом сервере.
При создании учетной записи запуска от имени с помощью Operations Manager вам будет предложено выбрать, следует ли обрабатывать учетную запись запуска от имени в менее безопасном или более безопасном режиме. "Более безопасный" означает, что при связывании учетной записи запуска от имени с профилем запуска от имени необходимо указать определенные имена компьютеров, в которых должны распространяться учетные данные запуска от имени. Определяя целевые компьютеры, вы предотвращаете описанный выше сценарий подмены. Если выбрать менее безопасный вариант, вам не придется предоставлять определенные компьютеры, а учетные данные будут распространяться на все управляемые агентом компьютеры.
Примечание.
Учетные данные, которые вы выбираете для учетной записи запуска от имени, должны иметь как минимум права входа в систему локально; В противном случае модуль завершится ошибкой.