Ausführende Konten und Profile
Ausführende Konten definieren, welche Anmeldeinformationen für bestimmte Aktionen verwendet werden, die vom Operations Manager-Agent ausgeführt werden. Diese Konten werden zentral über die Betriebskonsole verwaltet und verschiedenen ausführenden Profilen zugewiesen. Wenn einem ausführenden Profil keine bestimmte Aktion zugewiesen ist, wird sie unter dem Standardaktionskonto ausgeführt. In einer Umgebung mit geringen Rechten verfügt das Standardkonto möglicherweise nicht über die erforderlichen Berechtigungen für eine bestimmte Aktion, und ein ausführendes Profil kann verwendet werden, um diese Autorität bereitzustellen. Management Packs können ausführende Profile und ausführende Konten installieren, um erforderliche Aktionen zu unterstützen. In diesem Fall sollte auf ihre Dokumentation für jede erforderliche Konfiguration verwiesen werden.
Standardmäßige ausführende Konten
In der folgenden Tabelle sind die standardmäßigen ausführenden Konten aufgeführt, die während des Setups von Operations Manager erstellt wurden.
| Name | Beschreibung | Anmeldeinformationen |
|---|---|---|
| Domain\ManagementServerActionAccount | Das Benutzerkonto, unter dem alle Regeln standardmäßig auf Verwaltungsservern ausgeführt werden. | Domänenkonto, das während des Setups als Verwaltungsserveraktionskonto angegeben wurde. |
| Local System Action Account | Integriertes Systemkonto, das als Aktionskonto verwendet wird. | Lokales Windows-Systemkonto |
| APM Account | Konto zur Anwendungsleistungsüberwachung, das zur Bereitstellung von Schlüsseln für die Verschlüsselung sicherer Informationen verwendet wird, die während der Überwachung von der Anwendung gesammelt werden. Dieses Konto wird automatisch erstellt, nachdem Sie Ihren ersten .NET-Leistungsmonitor erstellt haben. | Verschlüsseltes Binärkonto |
| Data Warehouse Action Account | Wird für die Authentifizierung mit SQL Server verwendet, der die OperationsManagerDW-Datenbank hostet. | Domänenkonto, das während der Einrichtung als Data Warehouse-Schreibzugriffskonto angegeben wurde. |
| Data Warehouse-Berichtsbereitstellungskonto | Wird zur Authentifizierung zwischen dem Verwaltungsserver und dem SQL Server verwendet, der die Operations Manager-Reporting Services hostet. | Domänenkonto, das während der Einrichtung als Datenlesekonto angegeben wurde. |
| Local System Windows Account | Integriertes SYSTEM-Konto, das vom Agentaktionskonto verwendet wird. | Lokales Windows-Systemkonto |
| Network Service Windows Account | Integriertes Netzwerkdienstkonto | Windows-NetworkService-Konto |
Standardmäßig ausführendes Profil
In der folgenden Tabelle sind die von Operations Manager während des Setups erstellten ausführenden Profile aufgeführt.
Hinweis
Wenn das ausführende Konto für ein bestimmtes Profil leer bleibt, wird das Standardaktionskonto (je nach Standort der Aktion entweder das Aktionskonto des Verwaltungsservers oder das Aktionskonto des Agents) verwendet.
| Name | Beschreibung | Run As-Konto |
|---|---|---|
| Active Directory Based Agent Assignment Account | Konto, das vom Modul zur Active Directory-basierten Agentzuweisung zum Veröffentlichen von Zuweisungseinstellungen in Active Directory verwendet wird. | Local System Windows Account |
| Automatic Agent Management Account | Dieses Konto wird verwendet, um Agentfehler automatisch zu diagnostizieren. | Keine |
| Client Monitoring Action Account | Wenn angegeben, wird dies vom Operations Manager verwendet, um alle Clientüberwachungsmodule auszuführen. Wenn nicht angegeben, verwendet Operations Manager das Standardaktionskonto. | Keine |
| Connected Management Group Account | Konto, das vom Operations Manager-Management Pack verwendet wird, um die Verbindungsintegrität mit den verbundenen Verwaltungsgruppen zu überwachen. | Keine |
| Data Warehouse Account | Wenn angegeben, wird dieses Konto verwendet, um alle Data Warehouse-Sammlungs- und Synchronisierungsregeln anstelle des Standardaktionskontos auszuführen. Wenn dieses Konto nicht durch das Data Warehouse-SQL Server-Authentifizierungskonto überschrieben wird, wird es von Erfassungs‑ und Synchronisierungsregeln verwendet, um mithilfe der integrierten Windows-Authentifizierung eine Verbindung zu den Data Warehouse-Datenbanken herzustellen. | Keine |
| Data Warehouse-Berichtsbereitstellungskonto | Dieses Konto wird von Verfahren zur automatischen Bereitstellung von Data Warehouse-Berichten verwendet, um verschiedene berichtsbezogene Vorgänge auszuführen. | Data Warehouse-Berichtsbereitstellungskonto |
| Data Warehouse-SQL Server-Authentifizierungskonto | Wenn angegeben, werden dieser Anmeldename und dieses Kennwort von Erfassungs‑ und Synchronisierungsregeln verwendet, um mit der SQL Server-Authentifizierung eine Verbindung zu den Data Warehouse-Datenbanken herzustellen. | Data Warehouse-SQL Server-Authentifizierungskonto |
| MPUpdate Action Account | Dieses Konto wird vom MPUpdate-Notifier verwendet. | Keine |
| Notification Account | Windows-Konto, das von Benachrichtigungsregeln verwendet wird. Verwenden Sie die E-Mail-Adresse dieses Kontos als „Von“-Adresse für E-Mails und Chatnachrichten. | Keine |
| Operational Database Account | Dieses Konto wird verwendet, um Informationen in der Operations Manager-Datenbank zu lesen und in sie zu schreiben. | Keine |
| Privileged Monitoring Account | Dieses Profil wird für die Überwachung verwendet, die nur mit einer hohen Rechtsebene für ein System durchgeführt werden kann, wie etwa eine Überwachung, die lokale System‑ oder lokale Administratorberechtigungen erfordert. Dieses Profil wird standardmäßig auf „Lokales System“ festgelegt, es sei denn, es wird für ein Zielsystem explizit außer Kraft gesetzt. | Keine |
| Reporting SDK SQL Server Authentication Account | Wenn angegeben, wird dieser Anmeldename und dieses Kennwort vom SDK-Dienst verwendet, um mithilfe der SQL Server-Authentifizierung eine Verbindung mit den Data Warehouse-Datenbanken herzustellen. | Reporting SDK SQL Server Authentication Account |
| Reserved | Dieses Profil ist reserviert und darf nicht verwendet werden. | Keine |
| Validate Alert Subscription Account | Konto, das vom Modul zur Überprüfung der Warnungskonfiguration verwendet wird, das überprüft, ob Benachrichtigungsabonnements im Geltungsbereich liegen. Dieses Profil benötigt Adminrechte. | Local System Windows Account |
| SNMP Monitoring Account | Dieses Konto wird für die SNMP-Überwachung verwendet. | Keine |
| SNMPv3 Monitoring Account | Dieses Konto wird für die SNMPv3-Überwachung verwendet. | Keine |
| UNIX/Linux Action Account | Dieses Konto wird für den Unix‑ und Linux-Zugriff mit geringen Rechten verwendet. | Keine |
| UNIX/Linux Agent Maintenance Account | Dieses Konto wird für privilegierte Wartungsvorgänge für UNIX‑ und Linux-Agents verwendet. Ohne dieses Konto funktioniert der Agent-Wartungsbetrieb nicht. | Keine |
| UNIX/Linux Privileged Account | Dieses Konto wird für den Zugriff auf geschützte UNIX‑ und Linux-Ressourcen und ‑Aktionen verwendet, die hohe Berechtigungen erfordern. Ohne dieses Konto funktionieren einige Regeln, Diagnosen und Wiederherstellungen nicht. | Keine |
| Windows Cluster Action Account | Dieses Profil wird für die Ermittlung und Überwachung von Windows Cluster-Komponenten verwendet. Dieses Profil verwendet standardmäßig Aktionskonten, es sei denn, es wird von Benutzenden ausgefüllt. | Keine |
| WS-Management Action Account | Dieses Profil wird für den WS-Management-Zugriff verwendet. | Keine |
Verstehen von Verteilung und Zielbestimmung
Sowohl die Verteilung als auch die Zielbestimmung von ausführenden Konten müssen ordnungsgemäß konfiguriert sein, damit das ausführende Profil korrekt funktioniert.
Wenn Sie ein ausführendes Profil konfigurieren, wählen Sie die ausführenden Konten aus, die Sie dem ausführenden Profil zuordnen möchten. Nachdem Sie diese Zuordnung erstellt haben, können Sie die Klasse, Gruppe oder das Objekt angeben, für die das ausführende Konto zum Ausführen von Aufgaben, Regeln, Überwachungen und Ermittlungen verwendet werden soll.
Die Verteilung ist ein Attribut eines ausführenden Kontos, und Sie können angeben, welche Computer die Anmeldeinformationen des ausführenden Kontos erhalten. Sie können die Anmeldeinformationen des ausführenden Kontos an jeden vom Agent verwalteten Computer oder nur an ausgewählte Computer verteilen.
Beispiel für die Zielbestimmung für ausführende Konten: Physischer Computer ABC hostet zwei Instanzen von Microsoft SQL Server: Instanz X und Instanz Y. Jede Instanz verwendet einen anderen Satz von Anmeldeinformationen für das Software Assurance-Konto. Sie erstellen ein ausführendes Konto mit den Anmeldeinformationen von „Software Assurance“ für Instanz X und ein anderes ausführendes Konto mit den Anmeldeinformationen von „Software Assurance“ für Instanz Y. Wenn Sie das ausführende Profil für SQL Server konfigurieren, weisen Sie dem Profil die Anmeldeinformationen beider ausführender Konten zu, beispielsweise X und Y, und legen fest, dass die Anmeldeinformationen des ausführenden Kontos X für die Instanz X von SQL Server und die Anmeldeinformationen des ausführenden Kontos Y für die Instanz Y von SQL Server verwendet werden sollen. Anschließend müssen Sie zudem die Verteilung der Anmeldeinformationen der ausführenden Konten an den physischen Computer ABC konfigurieren.
Beispiel für die Verteilung eines ausführenden Kontos: SQL Server1 und SQL Server2 sind zwei unterschiedliche physische Computer. SQL Server1 verwendet die Anmeldeinformationen „UserName1“ und „Password1“ für das SQL-SA-Konto. SQL Server2 verwendet den UserName2‑ und Password2-Satz von Anmeldeinformationen für das SQL-SA-Konto. Das SQL-Management Pack verfügt über ein einzelnes ausführendes SQL-Profil, das für alle SQL Server verwendet wird. Anschließend können Sie ein ausführendes Konto für einen UserName1-Satz mit Anmeldeinformationen und ein anderes ausführendes Konto für den UserName2-Satz mit Anmeldeinformationen definieren. Beide dieser ausführenden Konten können dem ausführenden SQL Server-Profil zugeordnet werden und können so konfiguriert werden, dass sie an die entsprechenden Computer verteilt werden. Das heißt, UserName1 wird an SQL Server1 verteilt, und UserName2 wird an SQL Server2 verteilt. Kontoinformationen, die zwischen dem Verwaltungsserver und dem angegebenen Computer gesendet werden, sind verschlüsselt.
Sicherheit für ausführendes Konto
In System Center Operations Manager werden Anmeldeinformationen für ausführende Konten nur an Computer verteilt, die Sie angeben (die sicherere Option). Wenn Operations Manager das ausführende Konto automatisch entsprechend der Ermittlung verteilt hat, würde ein Sicherheitsrisiko in Ihre Umgebung eingeführt, wie im folgenden Beispiel gezeigt. Aus diesem Grund wurde keine Option für die automatische Verteilung in Operations Manager integriert.
Beispielsweise identifiziert Operations Manager einen Computer als Host von SQL Server 2016 basierend auf dem Vorhandensein eines Registrierungsschlüssels. Es ist möglich, diesen Registrierungsschlüssel auf einem Computer zu erstellen, auf dem keine Instanz von SQL Server 2016 ausgeführt wird. Wenn Operations Manager die Anmeldeinformationen automatisch an alle von Agents verwalteten Computer verteilen würde, die als SQL Server 2016-Computer identifiziert wurden, würden die Anmeldeinformationen an den Imposter-SQL Server gesendet und wären für jeden mit Administrationsrechten auf diesem Server verfügbar.
Wenn Sie ein ausführendes Konto mit Operations Manager erstellen, werden Sie aufgefordert, auszuwählen, ob das ausführende Konto in einer weniger sicheren oder sichereren Weise behandelt werden soll. Bei Auswahl der sichereren Option müssen Sie, wenn Sie das ausführende Konto einem ausführenden Profil zuweisen, die Namen der Computer angeben, an die die Anmeldeinformationen des Kontos verteilt werden sollen. Indem Sie die Zielcomputer positiv identifizieren, können Sie das zuvor beschriebene Spoofingszenario verhindern. Wenn Sie sich für die weniger sichere Option entscheiden, müssen Sie keine bestimmten Computer angeben, und die Anmeldeinformationen werden an alle von Agents verwalteten Computer verteilt.
Hinweis
Die Anmeldeinformationen, die Sie für das ausführende Konto auswählen, müssen mindestens über lokale Anmelderechte verfügen. andernfalls schlägt das Modul fehl.