Účty služeb, uživatelů a zabezpečení
Důležité
Tato verze Operations Manageru dosáhla konce podpory. Doporučujeme upgradovat na Operations Manager 2022.
Během nastavování a každodenních operací nástroje Operations Manager budete vyzváni k zadání přihlašovacích údajů pro několik účtů. Tento článek obsahuje informace o každém z těchto účtů, včetně účtů sdk a konfigurační služby, instalace agenta, Data Warehouse zápisu a čtečky dat.
Poznámka
Instalace nástroje Operations Manager zřídí všechna potřebná oprávnění SQL.
Pokud používáte doménové účty a váš objekt zásad skupiny (GPO) domény Zásady skupiny má výchozí zásady vypršení platnosti hesel nastavené podle potřeby, budete muset buď změnit hesla u účtů služby podle plánu, použít systémové účty nebo nakonfigurovat účty tak, aby nikdy nevypršela platnost hesel.
Účty akcí
V nástroji System Center Operations Manager spouští servery pro správu, servery brány a agenti proces s názvem MonitoringHost.exe. MonitoringHost.exe slouží k provádění aktivit monitorování, jako je spuštění monitorování nebo spuštění úlohy. Mezi další příklady akcí, které MonitoringHost.exe provádět, patří:
- Monitorování a shromažďování dat protokolu událostí Systému Windows
- Monitorování a shromažďování dat čítačů výkonu Windows
- Monitorování a shromažďování dat rozhraní WMI (Windows Management Instrumentation)
- Spouštění akcí, jako jsou skripty nebo dávky
Účet, pod kterým proces MonitoringHost.exe běží, se nazývá účet akce. MonitoringHost.exe je proces, který spouští tyto akce pomocí přihlašovacích údajů zadaných v rámci účtu akce. Pro každý účet je vytvořena nová instance procesu Monitoringhost.exe. Účet akce pro proces MonitoringHost.exe, který běží na agentovi, se nazývá účet akce agenta. Účet akce používaný procesem MonitoringHost.exe na serveru pro správu se nazývá účet akce serveru pro správu. Účet akce používaný procesem MonitoringHost.exe na serveru brány se nazývá účet akce serveru brány. Na všech serverech pro správu ve skupině pro správu doporučujeme udělit účtu práva místního správce, pokud zásady zabezpečení IT ve vaší organizaci nevyžadují nejméně privilegovaný přístup.
Pokud není akce přidružená k profilu Spustit jako, budou přihlašovací údaje použité k provedení akce ty, které jste definovali pro účet akce. Další informace o účtech Spustit jako a profilech Spustit jako najdete v části Účty Spustit jako. Pokud agent spouští akce jako výchozí účet akce a/nebo jako účet nebo účty Spustit jako, vytvoří se pro každý účet nová instance procesu MonitoringHost.exe.
Při instalaci nástroje Operations Manager máte možnost zadat účet domény nebo použít LocalSystem. Bezpečnější přístup je zadat účet domény, který vám umožní vybrat uživatele s nejmenšími oprávněními potřebnými pro vaše prostředí.
Pro účet akce agenta můžete použít účet s nejnižšími oprávněními. V počítačích se systémem Windows Server 2008 R2 nebo vyšším musí mít daný účet následující minimální oprávnění:
- Člen místní skupiny uživatelů
- Člen místní skupiny uživatelů pro monitorování výkonu
- Povolit místní přihlášení (SetInteractiveLogonRight) oprávnění (neplatí pro Operations Manager 2019 a novější).
Poznámka
Výše popsaná minimální oprávnění jsou nejnižšími oprávněními, která se v Operations Manageru dají přidělit účtu akce. Jiné účty Spustit jako mohou mít nižší oprávnění. Skutečná oprávnění požadovaná pro účet akce a účty Spustit jako budou záviset na tom, které sady Management Pack jsou v počítači spuštěné a jak jsou nakonfigurované. Informace o tom, jaká konkrétní oprávnění jsou požadována, najdete v příručce k příslušné sadě Management Pack.
Doménovému účtu, který je určený pro účet akce, je možné udělit oprávnění Přihlásit se jako službu (SeServiceLogonRight) nebo Přihlásit se jako Batch (SeBatchLogonRight), pokud vaše zásady zabezpečení neumožňují udělit účtu služby interaktivní relaci přihlášení, například když je vyžadováno ověření čipovou kartou. Upravte hodnotu registru HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\System Center\Health Service:
Účtu domény zadanému pro účet akce se udělí oprávnění Přihlásit se jako služba (SeServiceLogonRight). Pokud chcete změnit typ přihlášení pro službu Health Service, upravte hodnotu registru HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\System Center\Health Service:
- Název: Typ přihlášení pracovního procesu
- Typ: REG_DWORD
- Hodnoty: Čtyři (4) – Přihlášení jako dávka, Dvě (2) – Povolit místní přihlášení a Pět (5) – Přihlásit se jako služba. Výchozí hodnota je 2.
- Hodnoty: Čtyři (4) – Přihlásit se jako batch, Dvě (2) – Povolit místní přihlášení a Pět (5) – Přihlásit se jako služba. Výchozí hodnota je 5.
Nastavení můžete centrálně spravovat pomocí Zásady skupiny tak, že zkopírujete soubor healthservice.admx ADMX ze serveru pro správu nebo systému spravovaného agentem ve složce C:\Windows\PolicyDefinitions a nakonfigurujete nastavení Monitorování typu přihlášení k účtu akce ve složce Computer Configuration\Administrative Templates\System Center - Operations Manager. Další informace o práci se soubory ZÁSADY SKUPINY ADMX najdete v tématu Správa Zásady skupiny souborů ADMX.
Účet služby System Center Configuration a služby System Center Data Access
Účet služby System Center Configuration a služby System Center Data Access slouží uvedeným službám k aktualizaci informací v provozní databázi. Přihlašovací údaje používané pro účet akce se přiřadí roli sdk_user v provozní databázi.
Účet by měl být buď uživatel domény, nebo localsystem. Účtu používanému pro účet sady SDK a konfigurační služby by měla být udělena práva místního správce na všech serverech pro správu ve skupině pro správu. Použití místního uživatelského účtu není podporováno. Pro zvýšení zabezpečení doporučujeme použít účet uživatele domény, který se liší od účtu pro účet akce serveru pro správu. Účet LocalSystem je účet s nejvyšším oprávněním na počítači s Windows, dokonce vyšší než místní správce. Při spuštění služby v kontextu LocalSystem má služba plnou kontrolu nad místními prostředky počítače a identita počítače se používá při ověřování vzdálených prostředků a přístupu ke vzdáleným prostředkům. Použití účtu LocalSystem představuje bezpečnostní riziko, protože nedodržuje princip nejnižších oprávnění. Kvůli právům vyžadovaným u SQL Server instance hostující databázi Operations Manageru je potřeba účet domény s nejnižšími oprávněními, aby se zabránilo bezpečnostnímu riziku v případě ohrožení zabezpečení serveru ve skupině pro správu. Důvody jsou následující:
- LocalSystem nemá heslo
- Nemá vlastní profil.
- Má rozsáhlá oprávnění na místním počítači.
- Zobrazí přihlašovací údaje počítače vzdáleným počítačům.
Poznámka
Pokud je databáze nástroje Operations Manager nainstalována na počítači odděleném od serveru pro správu a je vybrána možnost LocalSystem pro účet služby Přístup k datům a konfigurace, je účtu počítače pro počítač serveru pro správu přiřazena role sdk_user v databázovém počítači nástroje Operations Manager.
Další informace najdete v tématu LocalSystem.
Účet pro zápis do datového skladu
Účet pro zápis do datového skladu je účet používaný k zápisu dat ze serveru pro správu do datového skladu vykazovaných sestav a čte data z databáze Operations Manageru. Následující tabulka popisuje role a členství přiřazované účtu uživatele domény v průběhu instalace.
| Aplikace | Databáze/role | Role/účet |
|---|---|---|
| Microsoft SQL Server | OperationsManager | db_datareader |
| Microsoft SQL Server | OperationsManager | dwsync_user |
| Microsoft SQL Server | OperationsManagerDW | OpsMgrWriter |
| Microsoft SQL Server | OperationsManagerDW | db_owner, |
| Operations Manager | Role uživatele | Správci zabezpečení sestav nástroje Operations Manager |
| Operations Manager | Účet Spustit jako | Účet akce datového skladu |
| Operations Manager | Účet Spustit jako | Účet čtečky synchronizace konfigurace datového skladu |
Účet Data Reader
Účet Data Reader se používá pro nasazení sestav, definování uživatele, kterého služba SQL Server Reporting Services používá k provádění dotazů na datovém skladu vykazovaných sestav, a pro definování účtu služby SQL Reporting Services pro připojení k serveru pro správu. Tento účet uživatele domény se přidá do profilu uživatele správce sestav. Následující tabulka popisuje role a členství přiřazované účtu v průběhu instalace.
| Aplikace | Databáze/role | Role/účet |
|---|---|---|
| Microsoft SQL Server | Instance instalace služby Reporting Services | Účet pro spouštění na serveru sestav |
| Microsoft SQL Server | OperationsManagerDW | OpsMgrReader |
| Operations Manager | Role uživatele | Operátoři sestav Operations Manageru |
| Operations Manager | Role uživatele | Správci zabezpečení sestav nástroje Operations Manager |
| Operations Manager | Účet Spustit jako | Účet nasazení sestavy datového skladu |
| Služba systému Windows | SQL Server Reporting Services | Přihlašovací účet |
Ověřte, že účet, který chcete použít pro účet Data Reader, má udělené oprávnění Přihlásit se jako službu (pro verzi 2019 a novější) nebo Přihlásit se jako služba a Povolit místní přihlášení (pro starší verzi), a to přímo pro každý server pro správu a SQL Server hostující roli serveru pro sestavy.
Účet pro instalaci agenta
Při nasazování agenta založeného na zjišťování se vyžaduje účet s oprávněními správce na počítačích určených pro instalaci agenta. Účet akce serveru pro správu je výchozí účet pro instalaci agenta. Pokud účet akce serveru pro správu nemá oprávnění správce, musí operátor poskytnout uživatelský účet a heslo s právy správce na cílových počítačích. Tento účet je před použitím zašifrován a potom je zrušen.
Účet akce oznámení
Účet akce oznámení je účet, který slouží k vytváření a odesílání oznámení. Tyto přihlašovací údaje musí mít dostatečná oprávnění pro server SMTP, server pro zasílání rychlých zpráv nebo server SIP, který se bude pro oznámení používat.
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro