Operations Manager 帐户信息
适用对象:System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager
在安装和操作 System Center 2012 – Operations Manager 过程中,会请求你提供一些帐户的凭据。 本部分提供有关各个帐户以及如何在部署之后更改帐户的凭据或密码的信息。
操作帐户
服务帐户
代理安装帐户
数据仓库写帐户
数据读取器帐户
操作帐户
Operations Manager 管理服务器、网关服务器和代理都包含一个名为 MonitoringHost.exe 的进程。 MonitoringHost.exe 用于完成监视活动,如运行监视器或任务。 例如,当代理订阅事件日志以读取事件时,正是 MonitoringHost.exe 进程运行这些活动。 MonitoringHost.exe 进程的运行方式帐户叫做操作帐户。 在代理上运行的 MonitoringHost.exe 进程的操作帐户叫做代理操作帐户。 管理服务器上 MonitoringHost.exe 进程使用的操作帐户叫做管理服务器操作帐户。 网关服务器上 MonitoringHost.exe 进程使用的操作帐户叫做网关服务器操作帐户。
当你验证或更改默认操作帐户时,必须确保将用作默认操作帐户的帐户配置为“ConfigServiceMonitoringUsers”数据库角色的“角色”成员。
验证操作帐户
-
在托管操作数据库的服务器上,打开 SQL Server Management Studio 并连接到本地服务器。
-
展开“数据库”,然后展开操作数据库,默认情况下,此操作数据库为“OperationsManager”。
-
依次展开“安全”、“角色”和“数据库角色”。
-
验证是否列出了“ConfigServiceMonitoringUsers”角色。
-
如果未列出此角色,则可以右键单击“数据库角色”以添加此角色。
代理操作帐户
除非操作已与运行方式配置文件关联,否则,用于执行操作的凭据是为操作帐户定义的凭据。 有关运行方式配置文件的详细信息,请参阅 Managing Run As Accounts and Profiles(管理运行方式帐户和配置文件)。 某些操作示例包括以下各项:
监视和收集 Windows 事件日志数据
监视和收集 Windows 性能计数器数据
监视和收集 Windows 管理规范 (WMI) 数据
运行操作,如脚本或批处理文件
MonitoringHost.exe 是使用操作帐户中指定的凭据运行这些操作的进程。 系统会为每个帐户创建 MonitoringHost.exe 的新实例。
使用低特权帐户
安装 Operations Manager 时,可以在分配操作帐户过程中选择以下两个选项之一:
本地系统
域或本地帐户
常见方法是指定一个域帐户,以便允许你选择对你的环境具有必需的最少特权的用户。
默认操作帐户必须具有以下最低权限:
本地用户组的成员
本地性能监视器用户组的成员
“允许本地登录”权限 (SetInteractiveLogonRight)
以上描述的最小特权是指 Operations Manager 对操作帐户支持的最低特权。 其他运行方式帐户的特权可以更低。 运行方式帐户所需的实际特权取决于计算机上运行的管理包及其配置方式。 有关所需的特定凭据的详细信息,请参阅合适的管理包指南。
在为代理操作帐户选择凭据时,请紧记以下注意事项:
用于监视域控制器的代理只需要低特权帐户。
使用域帐户要求你更新符合密码过期策略的密码。
如果已将操作帐户配置为使用低特权帐户,并且在运行 System Center Management 服务时已将此帐户添加到所需的组中,则必须先停止然后启动 System Center Management 服务。
通知操作帐户
通知操作帐户是用户创建的用于配置通知的运行方式帐户。 这是创建和发送通知时使用的操作帐户。 确保对此帐户使用的凭据对你用于通知的 SMTP 服务器、即时消息服务器或 SIP 服务器拥有足够的权限。
如果更改为通知操作帐户输入的凭据的密码,则必须为运行方式帐户进行相同的密码更改。
管理操作帐户凭据
对于你选择的帐户,Operations Manager 会确定密码到期日,并在帐户到期前 14 天生成警报。 当你更改 Active Directory 中的密码时,可以在“运行方式帐户属性”页上的“帐户”选项卡上更改 Operations Manager 中的操作帐户的密码。 有关管理操作帐户凭据的详细信息,请参阅如何更改凭据操作的帐户。
服务帐户
System Center Data Access 服务和 System Center Management Configuration 服务使用 System Center Configuration 服务和 System Center Data Access 服务帐户的凭据集更新和读取操作数据库中的信息。 Operations Manager 会确保将用于 Data Access Services (DAS) 服务帐户的凭据分配给操作数据库中的 Sdk_user 角色。 可以将 System Center Configuration 服务和 System Center Data Access 服务帐户配置为本地系统帐户或域帐户。 不支持本地用户帐户。
如果管理服务器和操作数据库位于不同的计算机上,则 System Center Configuration 服务和 System Center Data Access 帐户必须更改为域帐户。 为了提高安全性,我们建议你使用与管理服务器操作帐户不同的帐户。 要更改这些帐户,请参阅如何为系统中心配置管理服务和系统中心数据访问服务更改凭据。
代理安装帐户
在实施基于发现的代理部署时,系统会提示你使用具有管理员权限的帐户。 此帐户用于在计算机上安装代理,因此它必须是要部署代理的所有计算机上的本地管理员帐户。 管理服务器操作帐户是代理安装的默认帐户。 如果管理服务器操作帐户没有管理员权限,请选择“其他用户帐户”并键入具有管理员权限的帐户。 在使用之前加密此帐户,使用之后删除。
数据仓库写帐户
数据仓库写帐户将来自管理服务器的数据写入报表数据仓库,并读取操作数据库中的数据。 根据应用程序,为此帐户提供的凭据会成为角色的成员,如下表中所述。
.jpeg "System_CAPS_note"){kind=icon} 注意 |
|---|
有关 System Center 2012 – Operations Manager 的支持配置的信息,请参阅 System Center 2012 - Operations Manager 的支持配置。 |
应用程序 |
数据库/角色 |
角色/帐户 |
|---|---|---|
Microsoft SQL Server 的支持版本 |
操作数据库 |
db_datareader |
Microsoft SQL Server 的支持版本 |
操作数据库 |
dwsync_user |
Microsoft SQL Server 的支持版本 |
数据仓库数据库 |
OpsMgrWriter |
Microsoft SQL Server 的支持版本 |
数据仓库数据库 |
db_owner |
Operations Manager |
用户角色 |
Operations Manager 报表安全管理员帐户 |
Operations Manager |
运行方式帐户 |
数据仓库操作帐户 |
Operations Manager |
运行方式帐户 |
数据仓库配置同步读取器帐户 |
如果更改为数据仓库写帐户输入的凭据的密码,则必须为以下帐户进行相同的密码更改:
名为数据仓库操作帐户的运行方式帐户
名为数据仓库配置同步读取器帐户的运行方式帐户
数据读取器帐户
此帐户用于部署报表,定义 SQL Server Reporting Services 对报表数据仓库运行查询所使用的用户,以及让 SQL Server Reporting Services IIS 应用程序池帐户连接到管理服务器。 此帐户将添加到报表管理员用户配置文件中。
根据应用程序,为此帐户提供的凭据会成为角色的成员,如下表中所述。
| 注意 |
|---|
有关 System Center 2012 – Operations Manager 的支持配置的信息,请参阅 System Center 2012 - Operations Manager 的支持配置。 |
应用程序 |
数据库/角色 |
角色/帐户 |
|---|---|---|
Microsoft SQL Server 的支持版本 |
报表服务器安装实例 |
报表服务器执行帐户 |
Microsoft SQL Server 的支持版本 |
数据仓库数据库 |
OpsMgrReader |
System Center 2012 – Operations Manager |
用户角色 |
Operations Manager 报表安全管理员 |
System Center 2012 – Operations Manager |
用户角色 |
Operations Manager 报表操作员 |
System Center 2012 – Operations Manager |
运行方式帐户 |
数据仓库报表部署帐户 |
Internet Information Services (IIS) |
应用程序池 |
ReportServer$<实例> |
Windows 服务 |
SQL Server Reporting Services |
登录帐户 |
如果更改为数据读取器帐户输入的凭据的密码,则必须为以下帐户进行相同的密码更改:
报表服务器执行帐户
托管 SQL Server Reporting Services (SSRS) 的计算机上的 SQL Server Reporting Services 服务帐户
IIS ReportServer$<实例>; 应用程序池帐户
名为数据仓库报表部署帐户的运行方式帐户