服務、使用者和安全性帳戶
在 Operations Manager 的設定和每日作業期間,系統會要求您提供數個帳戶的認證。 本文提供每個帳戶的相關信息,包括 SDK 和設定服務、代理程式安裝、數據倉儲寫入和數據讀取器帳戶。
注意
Operations Manager 安裝會布建所有必要的 SQL 許可權。
如果您使用網域帳戶,且網域組策略物件 (GPO) 已視需要設定預設密碼到期原則,您必須根據排程變更服務帳戶上的密碼、使用系統帳戶,或設定帳戶,讓密碼永不過期。
動作帳戶
在 System Center Operations Manager 中,管理伺服器、閘道伺服器和代理程式都會執行稱為 MonitoringHost.exe 的程式。 MonitoringHost.exe可用來完成監視活動,例如執行監視或執行工作。 執行MonitoringHost.exe動作的其他範例包括:
- 監視與收集 Windows 事件記錄資料
- 監視與收集 Windows 效能計數器資料
- 監視與收集 Windows Management Instrumentation (WMI) 資料
- 執行動作,例如腳本或批次
MonitoringHost.exe 處理序執行所使用的帳戶稱為動作帳戶。 MonitoringHost.exe是使用動作帳戶中指定的認證來執行這些動作的程式。 系統會針對每個帳戶建立新的 MonitoringHost.exe 執行個體。 在代理程式上執行之MonitoringHost.exe程式的動作帳戶稱為代理程式動作帳戶。 管理伺服器上MonitoringHost.exe程式所使用的動作帳戶稱為管理伺服器動作帳戶。 閘道伺服器上的MonitoringHost.exe程式所使用的動作帳戶稱為閘道伺服器動作帳戶。 在管理群組中的所有管理伺服器上,建議您授與帳戶本機系統管理許可權,除非組織IT安全策略需要最低許可權存取權。
除非動作已與執行身分配置檔相關聯,否則用來執行動作的認證將會是您針對動作帳戶定義的認證。 如需執行身分帳戶和執行身分配置檔的詳細資訊,請參閱執行身分帳戶一節。 當代理程式以默認動作帳戶和/或執行身分帳戶執行動作時,會為每個帳戶建立新的MonitoringHost.exe實例。
當您安裝 Operations Manager 時,您可以選擇指定網域帳戶或使用 LocalSystem。 更安全的方法是指定網域帳戶,這可讓您選取具有環境所需最低許可權的使用者。
您可以針對代理程式的動作帳戶使用最低許可權帳戶。 在執行 Windows Server 2008 R2 或更高版本的電腦上,帳戶必須具有下列最低許可權:
- 本機 Users 群組的成員
- 本機 Performance Monitor Users 群組的成員
- 允許在本機登入 (SetInteractiveLogonRight) 許可權(不適用於 Operations Manager 2019 和更新版本)。
注意
上述最低許可權是 Operations Manager 針對動作帳戶支援的最低許可權。 其他執行身分帳戶可具備較低權限。 動作帳戶和執行身分帳戶所需的實際許可權將取決於計算機上執行的管理元件,以及其設定方式。 如需有關所需特定權限的詳細資訊,請參閱適當的管理組件指南。
針對動作帳戶指定的網域帳戶可以授與登入即服務 (SeServiceLogonRight) 或登入為 Batch (SeBatchLogonRight) 許可權,如果您的安全策略不允許將服務帳戶授與互動式登入會話,例如需要智慧卡驗證時。 修改登錄值HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\System Center\健全狀況服務:
針對動作帳戶指定的網域帳戶會以「以服務方式登入」許可權來授與。 若要變更健全狀況服務的登入類型,請修改登錄值 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\System Center\健全狀況服務:
- 名稱:背景工作進程登入類型
- 類型:REG_DWORD
- 值:四 (4) - 以批次登入、兩個 (2) - 允許在本機登入和五 (5) - 以服務登入。 預設值為 2。
- 值:4 (4) - 以 Batch 登入、2 (2) - 允許在本機登入,以及 5 (5) - 以服務登入。 預設值為 5。
您可以從位於資料夾中的管理伺服器或代理程式管理系統複製 ADMX 檔案healthservice.admx
,並在資料夾Computer Configuration\Administrative Templates\System Center - Operations Manager
C:\Windows\PolicyDefinitions
下設定 [監視動作帳戶登入類型] 設定,以集中管理設定。 如需使用組策略 ADMX 檔案的詳細資訊,請參閱 管理組策略 ADMX 檔案。
System Center 設定服務和 System Center 資料存取服務帳戶
System Center Data Access 和 System Center 管理組態服務會使用 System Center 設定服務和 System Center 數據存取服務帳戶來更新操作資料庫中的資訊。 動作帳戶所使用的認證將會指派給 Operational 資料庫中的sdk_user角色。
帳戶應該是網域使用者或LocalSystem。 用於 SDK 和設定服務帳戶的帳戶應該授與管理群組中所有管理伺服器上的本機系統管理許可權。 不支援使用本機用戶帳戶。 為了提高安全性,我們建議您使用網域用戶帳戶,而且與管理伺服器動作帳戶所使用的帳戶不同。 LocalSystem 帳戶是 Windows 電腦上的最高許可權帳戶,甚至高於本機系統管理員。 當服務在 LocalSystem 的內容下執行時,服務會完全控制電腦的本機資源,並在驗證和存取遠端資源時使用電腦的身分識別。 使用 LocalSystem 帳戶是安全性風險,因為它不接受最低許可權原則。 由於裝載 Operations Manager 資料庫之 SQL Server 實例上所需的許可權,因此,如果管理群組中的管理伺服器遭到入侵,則需要具有最低許可權許可權的網域帳戶,以避免任何安全性風險。 原因如下:
- LocalSystem 沒有密碼
- 它沒有自己的配置檔
- 它在本機計算機上具有廣泛的許可權
- 它會將電腦的認證呈現給遠端電腦
注意
如果 Operations Manager 資料庫安裝在與管理伺服器分開的電腦上,且已針對數據存取和設定服務帳戶選取 LocalSystem,則管理伺服器電腦的電腦帳戶會指派 Operations Manager 資料庫電腦上的sdk_user角色。
如需詳細資訊,請參閱 LocalSystem。
資料倉儲寫入帳戶
數據倉儲寫入帳戶是用來將數據從管理伺服器寫入報表數據倉儲的帳戶,它會從 Operations Manager 資料庫讀取數據。 下表說明在安裝期間指派給網域用戶帳戶的角色和成員資格。
申請 | 資料庫/角色 | 角色/帳戶 |
---|---|---|
Microsoft SQL Server | OperationsManager | db_datareader |
Microsoft SQL Server | OperationsManager | dwsync_user |
Microsoft SQL Server | OperationsManagerDW | OpsMgrWriter |
Microsoft SQL Server | OperationsManagerDW | db_owner |
Operations Manager | 使用者角色 | Operations Manager 報表安全性系統管理員 |
Operations Manager | 執行身分帳戶 | 資料倉儲動作帳戶 |
Operations Manager | 執行身分帳戶 | 資料倉儲設定同步處理讀取器帳戶 |
數據讀取器帳戶
數據讀取器帳戶可用來部署報表、定義 SQL Server Reporting Services 用來對報表數據倉儲執行查詢的使用者,以及定義 SQL 報告 Services 帳戶以連線到管理伺服器。 此網域用戶帳戶會新增至報表管理員使用者配置檔。 下表描述在安裝期間指派給帳戶的角色和成員資格。
申請 | 資料庫/角色 | 角色/帳戶 |
---|---|---|
Microsoft SQL Server | Reporting Services 安裝實例 | 報表伺服器執行帳戶 |
Microsoft SQL Server | OperationsManagerDW | OpsMgrReader |
Operations Manager | 使用者角色 | Operations Manager 報表運算符 |
Operations Manager | 使用者角色 | Operations Manager 報表安全性系統管理員 |
Operations Manager | 執行身分帳戶 | 資料倉儲報表部署帳戶 |
Windows 服務 | SQL Server Reporting Services | 登入帳戶 |
確認您打算用於數據讀取器的帳戶已獲授與登入即服務(2019 年及更新版本)或 [以服務登入] 和 [允許本機登入] (針對舊版),適用於每個管理伺服器,以及裝載報表伺服器角色的 SQL Server。
代理程式安裝帳戶
執行以探索為基礎的代理程式部署時,需要具有代理程式安裝目標計算機上的系統管理員許可權帳戶。 管理伺服器動作帳戶是代理程式安裝的預設帳戶。 如果管理伺服器動作帳戶沒有系統管理員許可權,操作員必須在目標計算機上提供具有系統管理許可權的使用者帳戶和密碼。 此帳戶在使用前會先經過加密,使用後即捨棄。
通知動作帳戶
通知動作帳戶是用來建立和傳送通知的帳戶。 這些認證必須有足夠的 SMTP 伺服器、立即訊息伺服器或用於通知的 SIP 伺服器許可權。