Kontoinformation för Operations Manager
Gäller för: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager
Under installationen och driften av System Center 2012 – Operations Manager ombeds du att uppge autentiseringsuppgifter för flera konton. I det här avsnittet hittar du information om de olika kontona och hur du kan ändra autentiseringsuppgifterna eller lösenorden för kontona efter en distribution.
Åtgärdskonton
Tjänstkonton
Konto för agentinstallation
Konto för informationslagerskrivning
Dataläsarkonto
Åtgärdskonton
Hanteringsservern, gateway-servern och agenten i Operations Manager innehåller alla en process med namnet MonitoringHost.exe. Den används för att utföra övervakningsaktiviteter, till exempel köra en övervakning eller en uppgift. Om till exempel en agent prenumererar på händelseloggen för att läsa händelser, är det MonitoringHost.exe som kör de aktiviteterna. Det konto som körs av MonitoringHost.exe kallas för åtgärdskonto. Åtgärdskontot för MonitoringHost.exe som körs på en agent kallas åtgärdskonto för agent. Åtgärdskontot för MonitoringHost.exe som används på en hanteringsserver kallas för åtgärdskonto för hanteringsserver. Åtgärdskontot för MonitoringHost.exe som används på en gateway-server kallas för åtgärdskonto för gateway-server.
När du verifierar eller ändrar standardåtgärdskontot måste du se till att det konto du använder för standardåtgärdskontot är konfigurerat som Roll-medlem i databasrollen ConfigServiceMonitoringUsers.
Verifiera åtgärdskontot
-
Gå till den server som är värd för den använda databasen, öppna SQL Server Management Studio och anslut till den lokala servern.
-
Expandera Databaser och expandera sedan den använda databasen vars standardvärde är OperationsManager.
-
Expandera Säkerhet, Roller och Databasroller.
-
Kontrollera att rollen ConfigServiceMonitoringUsers är med på listan.
-
Om rollen inte står med på listan högerklickar du på Databasroller och lägger till den.
Åtgärdskonto för agent
Såvida ingen åtgärd har kopplats till en Kör som-profil är autentiseringsuppgifterna som används för åtgärden desamma som angetts för åtgärdskontot. Mer information om Kör som-profilen finns i Managing Run As Accounts and Profiles (Hantera Kör som-konton och profiler). Några exempel på åtgärder:
Övervakning och insamling av Windows händelseloggdata
Övervakning och insamling av data från Windows prestandaräknare
Övervakning och insamling av data från WMI (Windows Management Instrumentation)
Köra åtgärder som skript eller batchfiler
MonitoringHost.exe är den process som kör de här åtgärderna med hjälp av de autentiseringsuppgifter som angetts i åtgärdskontot. För varje konto skapas en ny instans av MonitoringHost.exe.
Använda ett lågprivilegierat konto
När du installerar Operations Manager kan du välja ett av två alternativ för åtgärdskontot:
Lokalt system
Domän eller lokalt konto
Det vanligaste sättet är att ange ett domänkonto och sedan välja en användare med den minsta uppsättningen privilegier som krävs för miljön.
Standardåtgärdskontot måste ha minst följande behörigheter:
Medlem i gruppen för lokala användare
Medlem i den lokala gruppen Prestandaövervakningsanvändare
Tillåt behörighet för lokal inloggning (SetInteractiveLogonRight)
Här ovan beskrivs de behörigheter som är nödvändiga för åtgärdskontot i Operations Manager Andra Kör som-konton kan ha lägre privilegier. De privilegier som krävs för Kör som-konton beror på vilka hanteringspaket som körs på datorn och hur de är konfigurerade. Mer information om vilka autentiseringsuppgifter som krävs finns i respektive hanteringspaketguide.
Tänk på följande när du väljer autentiseringsuppgifter för agentåtgärdskontot:
Ett lågprivilegierat konto är allt som behövs för agenter som övervakar domänkontrollanter.
För att kunna använda ett domänkonto måste du uppdatera lösenordet så att det följer principerna för lösenordets giltighetstid.
Du måste stoppa och sedan starta hanteringstjänsten för System Center om åtgärdskontot är konfigurerat för användning av ett lågprivilegierat konto och det kontot lades till i de begärda grupperna medan System Center Management-tjänsten kördes.
Konto för meddelandeåtgärd
Kontot för meddelandeåtgärd är ett Kör som-konto som användaren skapar för att konfigurera meddelanden. Detta är det åtgärdskonto som används för att skapa och skicka meddelanden. Se till att de autentiseringsuppgifter du använder för det här kontot har behörighet för SMTP-servern, snabbmeddelandeservern eller den SIP-server som ska användas för meddelanden.
Om du ändrar lösenordet för autentiseringsuppgifterna som du angav för meddelandeåtgärdskontot, måste du göra samma lösenordsändringar för Kör som-kontot.
Hantera autentiseringsuppgifter för åtgärdskontot
Operations Manager fastställer giltighetstiden för lösenordet för det konto du väljer, och skickar en avisering 14 dagar innan kontot går ut. När du ändrar lösenordet i Active Directory kan du ändra lösenordet för åtgärdskontot i Operations Manager på fliken Konto på sidan Egenskaper för Kör som-konto. Mer information om hur du hanterar autentiseringsuppgifter för åtgärdskontot finns i Så här ändrar du autentiseringsuppgifterna för Åtgärdskontot.
Tjänstkonton
Autentiseringsuppgifterna för kontot för System Center-tjänsten för konfiguration och System Center-tjänsten för dataåtkomst används av System Center-tjänsten för dataåtkomst och System Center Management-tjänsten för konfiguration för att uppdatera och läsa information i den använda databasen. Operations Manager ser till att autentiseringsuppgifterna som används för kontot för dataåtkomsttjänsten tilldelas rollen sdk_user i databasen som används. Kontot för System Center-tjänsten för konfiguration och System Center-tjänsten för dataåtkomst kan konfigureras som antingen ett lokalt systemkonto eller ett domänkonto. Det finns inte stöd för lokala användarkonton.
Om hanteringsservern och den använda databasen ligger på olika datorer måste kontot för System Center-tjänsten för konfiguration och System Center-tjänsten för dataåtkomst ändras till ett domänkonto. För bättre säkerhet rekommenderar vi att du använder ett annat konto än det som används för åtgärdskontot för hanteringsservern. Information om hur du ändrar kontona finns i Så här ändra autentiseringsuppgifter för System Center Management-konfigurationstjänsten och dataåtkomsttjänsten i System Center.
Konto för agentinstallation
När du implementerar identifieringsbaserad agentdistribution måste du använda ett konto med administratörsrättigheter. Det här kontot används för att installera agenten på datorn, och det måste därför motsvara en lokal administratör på alla datorer som du distribuerar agenter till. Åtgärdskontot för hanteringsservern är standardkontot för agentinstallation. Om åtgärdskontot för hanteringsservern inte har administratörsrättigheter väljer du Använd annat konto och anger ett konto med administratörsrättigheter. Kontot krypteras innan det används och förkastas sedan.
Konto för informationslagerskrivning
Kontot för informationslagerskrivning skriver data från hanteringsservern till rapportinformationslagret och läser data från den använda databasen. De autentiseringsuppgifter du anger för kontot blir rollmedlem beroende på program, vilket beskrivs i följande tabell.
.jpeg "System_CAPS_note"){kind=icon} Information |
|---|
Mer information om konfigurationer som stöds för System Center 2012 – Operations Manager finns i Supported Configurations for System Center 2012 – Operations Manager (Konfigurationer som stöds för System Center 2012 – Operations Manager). |
Program |
Dabas/roll |
Roll/konto |
|---|---|---|
Microsoft SQL Server-versioner som stöds |
Använd databas |
db_datareader |
Microsoft SQL Server-versioner som stöds |
Använd databas |
dwsync_user |
Microsoft SQL Server-versioner som stöds |
Informationslagerdatabas |
OpsMgrWriter |
Microsoft SQL Server-versioner som stöds |
Informationslagerdatabas |
db_owner |
Operations Manager |
Användarroll |
Konto för säkerhetsadministratörer för Operations Manager-rapport |
Operations Manager |
Kör som-konto |
Åtgärdskonto för informationslager |
Operations Manager |
Kör som-konto |
Dataläsarkonto för synkronisering av informationslagerkonfiguration |
Om du ändrar lösenordet för autentiseringsuppgifterna som du angav för kontot för informationslagerskrivning måste du göra samma lösenordsändringar för följande konton:
Kör som-konto med namnet Åtgärdskonto för informationslager
Kör som-konto med namnet Dataläsarkonto för synkronisering av informationslagerkonfiguration
Dataläsarkonto
Det här kontot används för att distribuera rapporter, definiera vilken användare som SQL Server Reporting Services använder för att köra frågor mot rapportinformationslagret och för att ansluta SQL Server Reporting Services IIS-programpoolkonto till hanteringsservern. Kontot läggs till i användarprofilen Rapportadministratör.
De autentiseringsuppgifter du anger för kontot blir rollmedlem beroende på program, vilket beskrivs i följande tabell.
| Information |
|---|
Mer information om konfigurationer som stöds för System Center 2012 – Operations Manager finns i Supported Configurations for System Center 2012 – Operations Manager (Konfigurationer som stöds för System Center 2012 – Operations Manager). |
Program |
Dabas/roll |
Roll/konto |
|---|---|---|
Microsoft SQL Server-versioner som stöds |
Instans av rapportserverinstallation |
Körningskonto för rapportserver |
Microsoft SQL Server-versioner som stöds |
Informationslagerdatabas |
OpsMgrReader |
System Center 2012 – Operations Manager |
Användarroll |
Säkerhetsadministratörer för Operations Manager-rapport |
System Center 2012 – Operations Manager |
Användarroll |
Rapportoperatörer för Operations Manager |
System Center 2012 – Operations Manager |
Kör som-konto |
Konto för distribution av informationslagerrapporter |
IIS (Internet Information Services) |
Programpool |
ReportServer$ Om du ändrar lösenordet för autentiseringsuppgifterna som du angav för dataläsarkontot måste du göra samma lösenordsändringar för följande konton:
|