執行身分帳戶和配置檔
執行身分帳戶會定義哪些認證用於 Operations Manager 代理程式所執行的特定動作。 這些帳戶會透過 Operations 控制台集中管理,並指派給不同的執行身分配置檔。 如果未將「以特定身分執行」設定配置到某個特定的動作,則會在「預設動作帳戶」下執行。 在低許可權環境中,預設帳戶可能沒有執行特定動作所需的許可權,可以使用「以其他使用者執行」配置檔來提供這些權限。 管理元件可以安裝執行身分配置檔和執行身分帳戶,以支援必要的動作。 如果是,應該參考其文件來進行任何所需的設定。
預設執行身分帳戶
以下表格列出 Operations Manager 在安裝期間建立的預設 Run As 帳戶。
| 名稱 | 描述 | 認證 |
|---|---|---|
| Domain\ManagementServerActionAccount | 在管理伺服器上預設執行所有規則的用戶帳戶。 | 在安裝期間指定為管理伺服器操作帳戶的網域帳戶。 |
| 本機系統操作帳戶 | 內建系統帳戶用作動作帳戶。 | Windows 本機系統帳戶 |
| APM 帳戶 | 應用程式 效能監視器 帳戶,用來為監視期間從應用程式收集的安全資訊提供密鑰。 一旦您建立第一個 .NET 效能監視器,就會自動建立此帳戶。 | 加密的二進位帳戶 |
| 資料倉儲操作帳戶 | 用來向裝載 OperationsManagerDW 資料庫的 SQL Server 進行驗證。 | 在設定期間指定為資料倉儲寫入帳戶的網域帳戶。 |
| 資料倉儲報表部署帳戶 | 用來在管理伺服器與裝載 Operations Manager Reporting Services 的 SQL Server 之間進行驗證。 | 在設定期間指定為資料讀取帳戶的網域帳戶。 |
| 本機系統 Windows 帳戶 | 內建 SYSTEM 帳戶,供代理程式動作帳戶使用。 | Windows 本機系統帳戶 |
| 網路服務 Windows 帳戶 | 內建網路服務帳戶。 | Windows NetworkService 帳戶 |
預設執行身份配置檔
下表列出 Operations Manager 在設定期間所建立的 Run As 配置檔。
注意
如果特定配置檔的「以...身份執行」帳戶留空,則會使用預設執行帳戶(依據動作位置,使用管理伺服器執行帳戶或代理執行帳戶)。
| 名稱 | 描述 | 執行身分帳戶 |
|---|---|---|
| Active Directory 型代理程式指派帳戶 | Active Directory 型代理程式指派模組用來將指派設定發佈至 Active Directory 的帳戶。 | 本機系統的 Windows 帳戶 |
| 自動代理管理帳戶 | 此帳戶可用來自動診斷代理故障。 | 無 |
| 用戶端監視動作帳戶 | 如果指定,Operations Manager 會使用 來執行所有用戶端監視模組。 如果未指定,Operations Manager 會使用預設動作帳戶。 | 無 |
| 連接管理群組帳戶 | Operations Manager 管理組件使用的帳戶,用於監視連接的管理群組的連線健全狀況。 | 無 |
| 數據倉儲帳戶 | 如果指定,此帳戶會用來執行所有數據倉儲集合和同步處理規則,而不是預設動作帳戶。 如果數據倉儲 SQL Server 驗證帳戶未覆蓋此帳戶,集合和同步處理規則會使用此帳戶,以使用 Windows 整合驗證連線到數據倉儲資料庫。 | 無 |
| 資料倉儲報表部署帳戶 | 數據倉儲報表自動部署程式會使用此帳戶來執行各種報表部署相關作業。 | 資料倉儲報表部署帳戶 |
| 資料倉儲 SQL Server 驗證帳戶 | 如果指定,集合和同步處理規則會使用此登入名稱和密碼,以使用 SQL Server 驗證連線到數據倉儲資料庫。 | 資料倉儲 SQL Server 驗證帳戶 |
| MPUpdate 操作帳號 | MPUpdate 通知程式會使用此帳戶。 | 無 |
| 通知帳戶 | 通知規則所使用的 Windows 帳戶。 使用此帳戶的電子郵件位址作為電子郵件和即時通訊的寄件者位址。 | 無 |
| 運營資料庫帳戶 | 此帳戶是用來讀取和寫入 Operations Manager 資料庫的資訊。 | 無 |
| 特權監控帳戶 | 此配置檔用於監視,這只能以系統中的高階權限來完成,例如,需要本機系統或本機管理員權限的監視。 預設情況下,此配置檔案為本機系統,除非針對目標系統進行特別覆寫。 | 無 |
| Reporting SDK SQL Server 身分驗證帳戶 | 如果指定,SDK 服務會使用此登入名稱和密碼,以使用 SQL Server 驗證連線到數據倉儲資料庫。 | 報告 SDK 使用於 SQL Server 的驗證帳戶 |
| 已保留 | 此設定檔是保留的,不得使用。 | 無 |
| 驗證警報訂閱帳戶 | 驗證警示訂閱模組所使用的帳戶,負責驗證通知訂閱是否在範圍內。 此配置檔需要系統管理員權限。 | Windows 本地系統帳戶 |
| SNMP 監視帳戶 | 此帳戶用於SNMP監視。 | 無 |
| SNMPv3 監視帳戶 | 此帳戶用於 SNMPv3 監視。 | 無 |
| UNIX/Linux 操作帳戶 | THis 帳戶用於低許可權 UNIX 和 Linux 存取。 | 無 |
| UNIX/Linux 代理程式維護帳戶 | 此帳戶用於 UNIX 和 Linux 代理程式的特殊許可權維護作業。 如果沒有此帳戶,代理程式維護作業將無法運作。 | 無 |
| UNIX/Linux 特殊許可權帳戶 | 此帳戶用於存取受保護的 UNIX 和 Linux 資源和需要高許可權的動作。 如果沒有此帳戶,某些規則、診斷和復原將無法運作。 | 無 |
| Windows 叢集動作帳戶 | 此設定檔用於 Windows 叢集元件的所有檢測和監控。 除非使用者填入此設定檔,否則此設定檔預設為已使用的操作帳戶。 | 無 |
| WS-Management 動作帳戶 | 此設定檔用於 WS-Management 存取。 | 無 |
瞭解分佈和鎖定
執行身分帳戶的分配和目標設置都必須正確配置,才能使執行身分配置檔正常運作。
當您設定執行身分設定檔時,會選取要與該執行身分設定檔相關聯的執行身分帳戶。 建立該關聯之後,您可以指定執行身分帳戶使用於執行工作、規則、監視和探索的類別、群組或物件。
部署是執行要求帳戶的屬性,您可以指定哪些電腦會收到執行要求帳戶憑證。 您可以選擇將執行帳戶認證散發到每部受代理程式管理的電腦,或只散發到選定的電腦。
以執行身分帳戶為目標的範例:物理計算機 ABC 裝載兩個 Microsoft SQL Server 實例:實例 X 和實例 Y。每個實例都使用不同的認證集來管理 sa帳戶。 您可以使用實例 X 的 sa 認證來建立執行身分帳戶,並使用實例 Y 的 sa 認證來建立不同的執行身分帳戶。當您設定 SQL Server 執行身分設定檔時,您會將執行身分帳戶認證關聯至配置檔,例如 X 和 Y,並指定將執行身分帳戶實例 X 認證用於 SQL Server 實例 X,而執行身分帳戶 Y 認證則用於 SQL Server 實例 Y。然後,您也必須將每組執行身分帳戶認證設定為散發至實體計算機 ABC。
執行身分帳戶散發的範例:SQL Server1 和 SQL Server2 是兩部不同的實體計算機。 SQL Server1 會針對 SQL sa 帳戶使用 UserName1 和 Password1 組認證。 SQL Server2 使用 SQL sa 帳戶的 UserName2 和 Password2 認證集。 SQL 管理元件具有用於所有 SQL Server 的單一 SQL 執行身分設定檔。 接著,您可以為 UserName1 的認證集定義一個執行身分帳戶,並為 UserName2 的認證集定義另一個執行身分帳戶。 這兩個執行身分帳戶都可以與一個 SQL Server 執行身分配置文件相關聯,並可設定為散發至適當的電腦。 也就是說,UserName1 會散發至 SQL Server1,而 UserName2 則散發至 SQL Server2。 管理伺服器與指定計算機之間傳送的帳戶資訊會加密。
執行為帳戶的安全性
在 System Center Operations Manager 中,Run As 帳戶憑證僅分配到您指定的電腦(更安全的選項)。 如果 Operations Manager 根據探索自動分配執行身分帳戶,安全性風險將會引入您的環境中,如下列範例所示。 這就是為什麼 Operations Manager 中未包含自動散發選項的原因。
例如,Operations Manager 會根據登錄機碼的存在,將計算機識別為裝載 SQL Server 2016。 在實際上未執行 SQL Server 2016 實例的電腦上,可以建立相同的登錄機碼。 如果 Operations Manager 自動將認證散發到所有已識別為 SQL Server 2016 計算機的代理程式受管理計算機,認證就會傳送至冒充 SQL Server,而且該伺服器上具有系統管理員許可權的任何人都可以使用認證。
當您使用 Operations Manager 建立執行身分帳戶時,系統會提示您選擇應以較不安全或更安全的方式處理執行身分帳戶。 「更安全」意指當您將執行身分帳戶與執行身分設定檔關聯時,您必須提供您希望發送執行身分認證的特定電腦名稱。 藉由明確識別目的地電腦,您就可以防止前述的欺騙案例。 如果您選擇較不安全的選項,則不需要提供任何特定計算機,而且認證會散發到所有代理程式管理的計算機。
注意
您為執行如帳戶選取的認證至少必須具有登入本機許可權,否則模組將無法運作。