共用方式為

執行身分帳戶和設定檔的散發與目標 (機器翻譯)

  • 發行項

執行身分帳戶會與執行身分設定檔建立關聯,以提供使用該執行身分設定檔的工作流程成功執行所需的認證。 您必須正確設定執行身分帳戶的散發和目標,執行身分設定檔才能正確運作。

當您設定執行身分設定檔時,會選取要與該執行身分設定檔相關聯的執行身分帳戶。 當您建立該關聯時,會指定將使用執行身分帳戶管理的類別、群組或物件,如下圖所示。 這會建立執行身分帳戶的目標。

選取執行身分配置檔和帳戶的目標

散發是執行身分帳戶的屬性,您可以在其中指定哪些電腦將接收執行身分帳戶認證。 您可以選擇將執行身分帳戶認證散發到每部代理程式管理的電腦,或只散發到選取的電腦。

執行身分帳戶的目標和散發範例:

實體電腦 ABC 裝載兩個 Microsoft SQL Server 執行個體,分別為執行個體 X 和執行個體 Y。每個執行個體使用 sa 帳戶的不同一組認證。 您使用執行個體 X 的 sa 認證建立執行身分帳戶,並使用執行個體 Y 的 sa 認證建立不同的執行身分帳戶。當您設定 SQL Server 執行身分設定檔時,會同時將執行個體 X 和 Y 的執行身分帳戶認證與該設定檔建立關聯,並指定執行身分帳戶執行個體 X 認證將用於 SQL Server 執行個體 X,以及執行身分帳戶 Y 認證將用於 SQL Server 執行個體 Y。接著,您設定這兩個執行身分帳戶散發到實體電腦 ABC。

選取執行身分帳戶的目標

如上圖所示,用來選取執行身分帳戶的目標的選項包括 [所有目標物件] 和 [選取的類別、群組或物件]

當您選取 [所有目標物件] 時,執行身分設定檔會針對使用執行身分設定檔的工作流程的所有物件,使用此執行身分帳戶。

當您選取 [選取的類別、群組或物件] 時,可以限制執行身分帳戶用於您指定的類別、群組或物件。

注意

執行身分帳戶認證必須散發執行身分認證之前,執行身分認證應該驗證的特定代理程式管理系統。

比較更安全且較不安全的散發

Operations Manager 會將執行身分帳戶認證散發到所有代理程式管理的計算機(較不安全的選項),或只散發到您指定的計算機(更安全的選項)。 如果 Operations Manager 根據探索自動散發執行身分帳戶,就會將風險引進您的環境,如下列範例所示。 這就是為什麼 Operations Manager 未包含自動散發選項的原因。

例如,Operations Manager 會根據登錄機碼的存在,將計算機識別為裝載 SQL Server 2014。 在實際未執行 SQL Server 2014 實例的電腦上,可以建立相同的登錄機碼。 如果 Operations Manager 自動將認證散發到已識別為 SQL Server 2014 計算機的所有代理程式受管理計算機,則認證會傳送至冒充 SQL Server,而且該伺服器上具有系統管理員許可權的人員可以使用認證。

當您建立執行身分帳戶時,系統會提示您選擇應以 [較不安全] 或 [較安全] 方式處理執行身分帳戶。 較安全是指當您將執行身分帳戶與執行身分設定檔建立關聯時,您必須提供要散發執行身分認證的目標特定電腦名稱。 藉由明確識別目的地電腦,您就可以防止前述的欺騙案例。 如果您選擇較不安全的選項,則不必提供任何特定電腦,認證將會散發到所有代理程式管理的電腦。

注意

Operations Manager 會執行測試來驗證執行身分認證,包括是否能夠使用認證來登入電腦本機。 如果帳戶沒有權限可以登入本機,就會產生警示。

下一步