Cuentas de servicio, usuario y seguridad
Durante la configuración y las operaciones diarias de Operations Manager, se te pedirá que proporciones las credenciales de varias cuentas. En este artículo, se proporciona información sobre cada una de estas cuentas, lo que incluye el SDK y el servicio de configuración; la instalación del agente; la escritura de almacenamiento de datos y las cuentas del lector de datos.
Nota:
La instalación de Operations Manager aprovisiona todos los permisos de SQL necesarios.
Si usas cuentas de dominio y el objeto de directiva de grupo de dominio (GPO) tiene establecida la directiva de expiración de contraseña predeterminada según sea necesario, tendrás que cambiar las contraseñas de las cuentas de servicio según la programación, usar cuentas del sistema o configurar las cuentas para que las contraseñas nunca expiren.
Acciones por cuenta
En System Center Operations Manager, los servidores de administración, los servidores de puerta de enlace y los agentes ejecutan un proceso denominado MonitoringHost.exe. MonitoringHost.exe se usa para realizar actividades de supervisión como ejecutar un monitor o ejecutar una tarea. Otros ejemplos de las acciones que MonitoringHost.exe realiza incluyen:
- Supervisión y recopilación de datos del registro de eventos de Windows
- Supervisión y recopilación de datos del contador de rendimiento de Windows.
- Supervisión y recopilación de datos de Instrumental de administración de Windows (WMI)
- Ejecutar acciones como scripts o lotes
La cuenta que un proceso de MonitoringHost.exe ejecuta se denomina la cuenta de acción. MonitoringHost.exe es el proceso que ejecuta estas acciones mediante las credenciales especificadas en la cuenta de acción. Se crea una nueva instancia de MonitoringHost.exe para cada cuenta. La cuenta de acción del proceso de MonitoringHost.exe que se ejecuta en un agente se denomina cuenta de acción del agente. La cuenta de acción usada por el proceso de MonitoringHost.exe en un servidor de administración se denomina cuenta de acción del servidor de administración. La cuenta de acción usada por el proceso de MonitoringHost.exe en un servidor de puerta de enlace se denomina cuenta de acción del servidor de puerta de enlace. En todos los servidores de administración del grupo de administración se recomienda conceder a la cuenta derechos administrativos locales, a menos que la directiva de seguridad de TI de tu organización requiera acceso con privilegios mínimos.
A menos que se haya asociado una acción a un perfil de ejecución, las credenciales que se usan para realizar la acción serán las que hayas definido para la cuenta de acción. Para más información sobre las cuentas de ejecución y los perfiles de ejecución, consulta la sección Cuentas de ejecución. Cuando un agente ejecuta acciones como la cuenta de acción predeterminada o la cuenta de ejecución, se crea una nueva instancia de MonitoringHost.exe para cada cuenta.
Al instalar Operations Manager, tienes la opción de especificar una cuenta de dominio o usar LocalSystem. El enfoque más seguro es especificar una cuenta de dominio, que permite seleccionar un usuario con los privilegios mínimos necesarios para tu entorno.
Puedes usar una cuenta con pocos privilegios para la cuenta de acción del agente. En equipos que ejecutan Windows Server 2008 R2 o superior, la cuenta debe tener los siguientes privilegios mínimos:
- Miembro del grupo de usuarios local
- Miembro del grupo de usuarios del monitor de rendimiento local
- Permiso Permitir el inicio de sesión local (SetInteractiveLogonRight) (no aplicable a Operations Manager 2019 ni versiones posteriores).
Nota:
Los privilegios mínimos descritos anteriormente son los privilegios más bajos que Operations Manager admite para la cuenta de acción. Otras cuentas de ejecución pueden tener privilegios menores. Los privilegios reales necesarios para la cuenta de acción y las cuentas de ejecución dependerán de qué módulos de administración se ejecutan en el equipo y cómo están configurados. Para obtener más información sobre qué privilegios específicos son necesarios, consulta la guía del módulo de administración adecuado.
A la cuenta de dominio especificada para la cuenta de acción se le puede conceder el permiso Iniciar sesión como servicio (SeServiceLogonRight) o Iniciar sesión como lote (SeBatchLogonRight) si la directiva de seguridad no permite que se conceda a una cuenta de servicio una sesión de inicio de sesión interactiva, como cuando se requiere autenticación de tarjeta inteligente. Modifica el valor de registro HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\System Center\Health Service:
La cuenta de dominio especificada para la cuenta de acción se concede con el permiso Iniciar sesión como servicio (SeServiceLogonRight). Para cambiar el tipo de inicio de sesión para el servicio de mantenimiento, modifica el valor de registro HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\System Center\Health Service:
- Nombre: Tipo de inicio de sesión de proceso de trabajo
- Tipo: REG_DWORD
- Valores: cuatro (4): Iniciar sesión como proceso por lotes, dos (2): permitir el inicio de sesión local, y cinco (5): iniciar sesión como servicio. El valor predeterminado es 2.
- Valores: cuatro (4): iniciar sesión como proceso por lotes, dos (2): permitir el inicio de sesión local, y cinco (5): iniciar sesión como servicio. El valor predeterminado es 5.
Puede administrar centralmente la configuración mediante la directiva de grupo si copia el archivo ADMX healthservice.admx desde un servidor de administración o el sistema administrado por agente que se encuentra en la carpeta C:\Windows\PolicyDefinitions y configura la opción Tipo de inicio de sesión de cuenta de acción de supervisión en la carpeta Computer Configuration\Administrative Templates\System Center - Operations Manager. Para obtener más información sobre cómo trabajar con archivos ADMX de directiva de grupo, consulta Administrar archivos ADMX de directiva de grupo.
Cuenta del servicio de configuración de System Center y el servicio de acceso a datos de System Center
Los servicios de acceso a datos de System Center y configuración de administración de System Center usan la cuenta del servicio de configuración de System Center y el servicio de acceso a datos de System Center para actualizar la información de la base de datos operativa. Las credenciales usadas para la cuenta de acción se asignarán al rol de sdk_user en la base de datos operativa.
La cuenta debe ser un usuario de dominio o localSystem. Se deben conceder derechos administrativos locales en todos los servidores de administración del grupo de administración a la cuenta usada para el SDK y la cuenta de servicio de configuración. No se admite el uso de la cuenta de usuario local. Para aumentar la seguridad, se recomienda usar una cuenta de usuario de dominio y es una cuenta diferente de la que se usa para la cuenta de acción del servidor de administración. La cuenta localSystem es la cuenta con privilegios más alta en un equipo Windows, incluso superior al administrador local. Cuando un servicio se ejecuta en el contexto de LocalSystem, el servicio tiene el control total de los recursos del equipo local y se utiliza la identidad del equipo para la autenticación y el acceso a los recursos remotos. El uso de la cuenta LocalSystem supone un riesgo para la seguridad, porque no respeta el principio de privilegios mínimos. Debido a los derechos necesarios en la instancia de SQL Server que hospeda la base de datos de Operations Manager, se necesita una cuenta de dominio con permisos con privilegios mínimos para evitar cualquier riesgo de seguridad si el servidor de administración del grupo de administración está en peligro. Estos son los motivos:
- LocalSystem no tiene contraseña
- No tiene su propio perfil
- Tiene privilegios amplios en el equipo local
- Muestra las credenciales del equipo a equipos remotos
Nota:
Si la base de datos de Operations Manager está instalada en un equipo independiente del servidor de administración y se ha seleccionado LocalSystem para la cuenta de servicio de acceso a datos y configuración, a la cuenta de equipo del equipo del servidor de administración se le asigna el rol sdk_user en el equipo de base de datos de Operations Manager.
Para más información, consulta acerca de LocalSystem.
Cuenta de escritura de almacenamiento de datos
La cuenta de escritura de almacenamiento de datos es la cuenta que se usa para escribir datos del servidor de administración en el almacenamiento de datos de informes y lee los datos de la base de datos de Operations Manager. En la tabla siguiente se describen los roles y la pertenencia asignados a la cuenta de usuario de dominio durante la instalación.
| Application | Base de datos/rol | Rol/cuenta |
|---|---|---|
| Microsoft SQL Server | OperationsManager | db_datareader |
| Microsoft SQL Server | OperationsManager | dwsync_user |
| Microsoft SQL Server | OperationsManagerDW | OpsMgrWriter |
| Microsoft SQL Server | OperationsManagerDW | db_owner |
| Operations Manager | Rol de usuario | Administradores de seguridad de informes de Operations Manager |
| Operations Manager | Cuenta de ejecución | Cuenta de acción de almacenamiento de datos |
| Operations Manager | Cuenta de ejecución | Cuenta de lectura de sincronización de configuración de almacenamiento de datos |
Cuenta de lector de datos
La cuenta de lector de datos se usa para implementar informes, definir qué usuario usa SQL Server Reporting Services para ejecutar consultas en el almacenamiento de datos de informes y definir la cuenta de SQL Reporting Services para conectarse al servidor de administración. Esta cuenta de usuario de dominio se agrega al perfil de usuario del administrador de informes. En la tabla siguiente se describen los roles y la pertenencia asignados a la cuenta durante la instalación.
| Application | Base de datos/rol | Rol/cuenta |
|---|---|---|
| Microsoft SQL Server | Instancia de instalación de Reporting Services | Cuenta de ejecución del servidor de informes |
| Microsoft SQL Server | OperationsManagerDW | OpsMgrReader |
| Operations Manager | Rol de usuario | Operadores de informes de Operations Manager |
| Operations Manager | Rol de usuario | Administradores de seguridad de informes de Operations Manager |
| Operations Manager | Cuenta de ejecución | Cuenta de implementación de informes de almacenamiento de datos |
| Servicio de Windows | SQL Server Reporting Services | Cuenta de inicio de sesión |
Comprueba que la cuenta que planeas usar para la cuenta de lector de datos tiene concedido el derecho para Iniciar sesión como servicio (para 2019 y versiones posteriores) o Iniciar sesión como servicio y Permitir iniciar sesión localmente (para la versión anterior) para cada servidor de administración y SQL Server que hospeda el rol servidor de informes.
Cuenta de instalación de agente
Al realizar la implementación de agente basado en detección, se requiere una cuenta con privilegios de administrador en los equipos destinados a la instalación del agente. La cuenta de acción del servidor de administración es la cuenta predeterminada para la instalación del agente. Si la cuenta de acción del servidor de administración no tiene derechos de administrador, el operador debe proporcionar una cuenta de usuario y una contraseña con derechos administrativos en los equipos de destino. Esta cuenta se cifra antes de usarse y, después, se descarta.
Cuenta de acción de notificación
La cuenta de acción de notificación es la cuenta que se usa para crear y enviar notificaciones. Estas credenciales deben tener derechos suficientes para el servidor SMTP, el servidor de mensajería instantánea o el servidor SIP que se usa para las notificaciones.