執行身分帳戶和配置檔
執行身分帳戶會定義哪些認證用於 Operations Manager 代理程式所執行的特定動作。 這些帳戶會透過 Operations 控制台集中管理,並指派給不同的執行身分配置檔。 如果未將執行身分配置檔指派給特定動作,則會在預設動作帳戶下執行。 在低許可權環境中,預設帳戶可能沒有特定動作的必要許可權,而執行身分配置檔可用來提供此授權單位。 管理元件可以安裝執行身分配置檔和執行身分帳戶,以支援必要的動作。 如果是,應該針對任何必要的設定參考其檔。
默認執行身分帳戶
下表列出 Operations Manager 在安裝期間建立的預設執行身分帳戶。
| 名稱 | 描述 | 認證 |
|---|---|---|
| Domain\ManagementServerActionAccount | 在管理伺服器上預設執行所有規則的用戶帳戶。 | 在安裝期間指定為管理伺服器動作帳戶的網域帳戶。 |
| 本機系統動作帳戶 | 用來作為動作帳戶的內建系統帳戶。 | Windows 本機系統帳戶 |
| APM 帳戶 | 應用程式 效能監視器 帳戶,用來為監視期間從應用程式收集的安全資訊提供密鑰。 一旦您建立第一個 .NET 效能監視器,就會自動建立此帳戶。 | 加密的二進位帳戶 |
| 數據倉儲動作帳戶 | 用來向裝載 OperationsManagerDW 資料庫的 SQL Server 進行驗證。 | 在設定期間指定為數據倉儲寫入帳戶的網域帳戶。 |
| 資料倉儲報表部署帳戶 | 用來在管理伺服器與裝載 Operations Manager Reporting Services 的 SQL Server 之間進行驗證。 | 在設定期間指定為數據讀取器帳戶的網域帳戶。 |
| 本機系統 Windows 帳戶 | 代理程式動作帳戶所使用的內建 SYSTEM 帳戶。 | Windows 本機系統帳戶 |
| 網路服務 Windows 帳戶 | 內建網路服務帳戶。 | Windows NetworkService 帳戶 |
默認執行身分配置檔
下表列出 Operations Manager 在安裝期間所建立的執行身分配置檔。
注意
如果特定配置檔的執行身分帳戶保留空白,則會使用預設動作帳戶(根據動作的位置使用管理伺服器動作帳戶或代理程式動作帳戶)。
| 名稱 | 描述 | 執行身分帳戶 |
|---|---|---|
| Active Directory 型代理程式指派帳戶 | Active Directory 型代理程式指派模組用來將指派設定發佈至 Active Directory 的帳戶。 | 本機系統 Windows 帳戶 |
| 自動代理程式管理帳戶 | 此帳戶可用來自動診斷代理程序失敗。 | 無 |
| 用戶端監視動作帳戶 | 如果指定,Operations Manager 會使用 來執行所有用戶端監視模組。 如果未指定,Operations Manager 會使用預設動作帳戶。 | 無 |
| 線上管理群組帳戶 | Operations Manager 管理元件用來監視連線管理群組連線健全狀況的帳戶。 | 無 |
| 數據倉儲帳戶 | 如果指定,此帳戶會用來執行所有數據倉儲集合和同步處理規則,而不是預設動作帳戶。 如果數據倉儲 SQL Server 驗證帳戶未覆寫此帳戶,此帳戶會由集合和同步處理規則使用,以使用 Windows 整合式驗證連線到數據倉儲資料庫。 | 無 |
| 資料倉儲報表部署帳戶 | 數據倉儲報表自動部署程式會使用此帳戶來執行各種報表部署相關作業。 | 資料倉儲報表部署帳戶 |
| 資料倉儲 SQL Server 驗證帳戶 | 如果指定,集合和同步處理規則會使用此登入名稱和密碼,以使用 SQL Server 驗證連線到數據倉儲資料庫。 | 資料倉儲 SQL Server 驗證帳戶 |
| MPUpdate 動作帳戶 | MPUpdate 通知程式會使用此帳戶。 | 無 |
| 通知帳戶 | 通知規則所使用的 Windows 帳戶。 使用此帳戶的電子郵件位址做為電子郵件和立即訊息 『From』 位址。 | 無 |
| 操作資料庫帳戶 | 此帳戶是用來讀取和寫入 Operations Manager 資料庫的資訊。 | 無 |
| 特殊許可權監視帳戶 | 此配置檔用於監視,這隻能以系統的高階許可權來完成;例如,需要本機系統或本機系統管理員許可權的監視。 除非特別覆寫目標系統,否則此配置文件預設為本機系統。 | 無 |
| Reporting SDK SQL Server 驗證帳戶 | 如果指定,SDK 服務會使用此登入名稱和密碼,以使用 SQL Server 驗證連線到數據倉儲資料庫。 | Reporting SDK SQL Server 驗證帳戶 |
| 已保留 | 此設定檔是保留的,不得使用。 | 無 |
| 驗證警示訂用帳戶帳戶帳戶 | 驗證警示訂用帳戶模組所使用的帳戶,可驗證通知訂用帳戶的範圍。 此配置檔需要系統管理員許可權。 | 本機系統 Windows 帳戶 |
| SNMP 監視帳戶 | 此帳戶用於SNMP監視。 | 無 |
| SNMPv3 監視帳戶 | 此帳戶用於 SNMPv3 監視。 | 無 |
| UNIX/Linux 動作帳戶 | THis 帳戶用於低許可權 UNIX 和 Linux 存取。 | 無 |
| UNIX/Linux 代理程式維護帳戶 | 此帳戶用於 UNIX 和 Linux 代理程式的特殊許可權維護作業。 如果沒有此帳戶,代理程式維護作業將無法運作。 | 無 |
| UNIX/Linux 特殊許可權帳戶 | 此帳戶用於存取受保護的 UNIX 和 Linux 資源和需要高許可權的動作。 如果沒有此帳戶,某些規則、診斷和復原將無法運作。 | 無 |
| Windows 叢集動作帳戶 | 此配置檔用於 Windows 叢集元件的所有探索和監視。 除非使用者填入此設定檔,否則此配置檔預設為使用的動作帳戶。 | 無 |
| WS 管理動作帳戶 | 此配置檔用於 WS-Management 存取。 | 無 |
瞭解散發和目標
執行身分帳戶散發和執行身分帳戶目標都必須正確設定,才能讓執行身分配置檔正常運作。
當您設定執行身分設定檔時,會選取要與該執行身分設定檔相關聯的執行身分帳戶。 建立該關聯之後,您可以指定要用來執行工作、規則、監視和探索執行身分帳戶的類別、群組或物件。
散發是執行身分帳戶的屬性,您可以指定哪些計算機會收到執行身分帳戶認證。 您可以選擇將執行身分帳戶認證散發到每部代理程式管理的電腦,或只散發到選取的電腦。
以執行身分帳戶為目標的範例:實體計算機 ABC 會裝載兩個 sql Server 實例Microsoft:實例 X 和實例 Y。每個實例都會針對sa帳戶使用不同的認證集。 您可以使用實例 X 的 sa 認證來建立執行身分帳戶,並使用實例 Y 的 sa 認證來建立不同的執行身分帳戶。當您設定 SQL Server 執行身分設定檔時,您會將執行身分帳戶認證關聯至配置檔,例如 X 和 Y,並指定將執行身分帳戶實例 X 認證用於 SQL Server 實例 X,而執行身分帳戶 Y 認證則用於 SQL Server 實例 Y。然後,您也必須將每組執行身分帳戶認證設定為散發至實體計算機 ABC。
執行身分帳戶散發的範例:SQL Server1 和 SQL Server2 是兩部不同的實體計算機。 SQL Server1 會針對 SQL sa 帳戶使用 UserName1 和 Password1 組認證。 SQL Server2 使用 SQL sa 帳戶的 UserName2 和 Password2 認證集。 SQL 管理元件具有用於所有 SQL Server 的單一 SQL 執行身分設定檔。 接著,您可以針對 UserName1 認證集定義一個執行身分帳戶,另一個用於 UserName2 認證的執行身分帳戶。 這兩個執行身分帳戶都可以與一個 SQL Server 執行身分配置文件相關聯,並可設定為散發至適當的電腦。 也就是說,UserName1 會散發至 SQL Server1,而 UserName2 則散發至 SQL Server2。 管理伺服器與指定計算機之間傳送的帳戶資訊會加密。
執行身分帳戶安全性
在 System Center Operations Manager 中,執行身分帳戶認證只會散發到您指定的電腦(更安全的選項)。 如果 Operations Manager 根據探索自動散發執行身分帳戶,安全性風險將會引入您的環境中,如下列範例所示。 這就是為什麼 Operations Manager 中未包含自動散發選項的原因。
例如,Operations Manager 會根據登錄機碼的存在,將計算機識別為裝載 SQL Server 2016。 在實際上未執行 SQL Server 2016 實例的電腦上,可以建立相同的登錄機碼。 如果 Operations Manager 自動將認證散發到所有已識別為 SQL Server 2016 計算機的代理程式受管理計算機,認證就會傳送至冒充 SQL Server,而且該伺服器上具有系統管理員許可權的任何人都可以使用認證。
當您使用 Operations Manager 建立執行身分帳戶時,系統會提示您選擇應以較不安全或更安全的方式處理執行身分帳戶。 「更安全」表示當您將執行身分帳戶與執行身分設定檔產生關聯時,您必須提供您想要散發執行身分認證的特定電腦名稱。 藉由明確識別目的地電腦,您就可以防止前述的欺騙案例。 如果您選擇較不安全的選項,則不需要提供任何特定計算機,而且認證會散發到所有代理程式管理的計算機。
注意
您為執行身分帳戶選取的認證至少必須具有登入本機許可權;否則,模組將會失敗。