Verteilung und Zielauswahl für ausführende Konten und Profile
Run As accounts are associated with Run As profiles to provide the necessary credentials for workflows that use that Run As profile to run successfully. Sowohl die Verteilung als auch die Zielauswahl von ausführenden Konten müssen ordnungsgemäß konfiguriert sein, damit das ausführende Profil korrekt funktioniert.
Wenn Sie ein Run As-Profil konfigurieren, wählen Sie die Run As-Konten aus, die Sie dem Profil "Ausführen als" zuordnen möchten. Wenn Sie diese Zuordnung erstellen, geben Sie die Klasse, Gruppe oder das Objekt an, die das Run As-Konto zum Verwalten verwendet wird, wie in der folgenden Abbildung dargestellt. Dadurch wird das Ziel des Kontos "Ausführen als" festgelegt.
Die Verteilung ist ein Attribut eines Run As-Kontos, in dem Sie angeben, welche Computer die Anmeldeinformationen des Run As-Kontos erhalten. Sie können die Anmeldeinformationen "Ausführen als Konto" auf jeden vom Agent verwalteten Computer oder nur an ausgewählte Computer verteilen.
Beispiel für "Ausführen als Kontoadressierung" und -Verteilung:
Physischer Computer ABC hostet zwei Instanzen von Microsoft SQL Server, Instanz X und Instanz Y. Jede Instanz verwendet einen anderen Satz von Anmeldeinformationen für das Sa-Konto . Sie erstellen ein Run As-Konto mit den sa-Anmeldeinformationen für die Instanz X und ein anderes Run As-Konto mit den sa-Anmeldeinformationen für die Instanz Y. Wenn Sie das SQL Server Run As-Profil konfigurieren, ordnen Sie sowohl Run As-Kontoanmeldeinformationen für die Instanz X als auch Y dem Profil zu und geben an, dass die Anmeldeinformationen für die Run As-Kontoinstanz X für die SQL Server-Instanz X verwendet werden sollen und dass die Anmeldeinformationen "Ausführen als Konto Y" für SQL Server-Instanz Y verwendet werden sollen. Anschließend konfigurieren Sie beide Run As-Konten so, dass sie an den physischen Computer ABC verteilt werden.
Auswählen eines Ziels für ein Run As-Konto
Wie in der vorherigen Abbildung gezeigt, sind Ihre Optionen zum Auswählen eines Ziels für ein "Ausführen als"-Konto alle Zielobjekte und eine ausgewählte Klasse, Gruppe oder ein ausgewähltes Objekt.
Wenn Sie "Alle zielbezogenen Objekte" auswählen, verwendet das Profil "Ausführen als" dieses Konto für alle Objekte für die Workflows, die das Profil "Ausführen als" verwenden.
Wenn Sie eine ausgewählte Klasse, Gruppe oder ein ausgewähltes Objekt auswählen, können Sie die Verwendung des Run As-Kontos auf die von Ihnen angegebene Klasse, Gruppe oder das angegebene Objekt beschränken.
Hinweis
Die Anmeldeinformationen "Als Ausführen als" müssen die spezifischen vom Agent verwalteten Systeme verteilt werden, mit denen die Anmeldeinformationen "Ausführen als" authentifiziert werden sollten, bevor Sie das Profil "Ausführen als" konfigurieren.
Vergleich sichererer und weniger sicherer Verteilung
Operations Manager verteilt die Anmeldeinformationen für das Ausführen als Konto entweder an alle vom Agent verwalteten Computer (die weniger sichere Option) oder nur an Computer, die Sie angeben (die sicherere Option). Wenn Operations Manager das Konto "Runs As" automatisch entsprechend der Ermittlung verteilt, würde ein Sicherheitsrisiko in Ihre Umgebung eingeführt werden, wie im folgenden Beispiel veranschaulicht. Aus diesem Grund wurde keine automatische Verteilungsoption in Operations Manager enthalten.
Beispielsweise identifiziert Operations Manager einen Computer als Hosting von SQL Server 2014 basierend auf dem Vorhandensein eines Registrierungsschlüssels. Es ist möglich, denselben Registrierungsschlüssel auf einem Computer zu erstellen, auf dem keine Instanz von SQL Server 2014 ausgeführt wird. Wenn Operations Manager die Anmeldeinformationen automatisch an alle vom Agent verwalteten Computer verteilen soll, die als SQL Server 2014-Computer identifiziert wurden, werden die Anmeldeinformationen an den Postposter SQL Server gesendet, und sie stehen einer Person mit Administratorrechten auf diesem Server zur Verfügung.
Wenn Sie ein Run As-Konto erstellen, werden Sie aufgefordert, auszuwählen, ob das Konto "Ausführen als" weniger sicher oder sicherer behandelt werden soll. Sicherer bedeutet, dass Sie beim Zuordnen des Run As-Kontos zu einem Run As Profile die spezifischen Computernamen angeben müssen, an die die Run As-Anmeldeinformationen verteilt werden sollen. Indem Sie die Zielcomputer positiv identifizieren, können Sie das zuvor beschriebene Spoofingszenario verhindern. Wenn Sie die weniger sichere Option auswählen, müssen Sie keine bestimmten Computer angeben, und die Anmeldeinformationen werden an alle vom Agent verwalteten Computer verteilt.
Hinweis
Der Operations Manager führt Tests durch, um die Anmeldeinformationen "Ausführen als" zu überprüfen, einschließlich, ob die Anmeldeinformationen verwendet werden können, um sich lokal am Computer anzumelden. Wenn das Konto nicht berechtigt ist, sich lokal anzumelden, wird eine Warnung generiert.
Nächste Schritte
- Informationen zum Erstellen eines Run As-Kontos, zum Ändern eines vorhandenen Run As-Kontos und zum Konfigurieren eines Run As-Profils für die Verwendung eines Run As-Kontos finden Sie unter " Erstellen eines Run As-Kontos" und zum Zuordnen eines Run As-Profils.