Kontoinformationen für Operations Manager
Betrifft: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager
Während des Setups und des Betriebs von System Center 2012 – Operations Manager müssen Sie Anmeldeinformationen für mehrere Konten angeben. In diesem Abschnitt finden Sie Informationen über die verschiedenen Konten und erfahren, wie Sie Anmeldeinformationen und Kennwörter für die Konten nach einer Bereitstellung ändern können.
Aktionskonten
Dienstkonten
Agentinstallationskonto
Data Warehouse-Konto für Schreibvorgänge
Datenlesekonto
Aktionskonten
Der Operations Manager-Verwaltungsserver, -Gatewayserver und -Agent enthalten jeweils den Prozess "MonitoringHost.exe", der für Überwachungsaktivitäten wie das Ausführen eines Monitors oder eines Tasks verwendet wird. Wenn von einem Agent beispielsweise das Ereignisprotokoll zum Lesen von Ereignissen abonniert wird, werden diese Aktivitäten vom Prozess MonitoringHost.exe ausgeführt. Das Konto, mit dem der Prozess MonitoringHost.exe ausgeführt wird, wird als das Aktionskonto bezeichnet. Das Aktionskonto für den Prozess MonitoringHost.exe, der auf einem Agent ausgeführt wird, wird als Agentaktionskonto bezeichnet. Das Aktionskonto, das vom Prozess MonitoringHost.exe auf einem Verwaltungsserver verwendet wird, wird als Verwaltungsserver-Aktionskonto bezeichnet. Das Aktionskonto, das vom Prozess MonitoringHost.exe auf einem Gatewayserver verwendet wird, wird als Gatewayserver-Aktionskonto bezeichnet.
Wenn Sie das Standardaktionskonto überprüfen oder ändern, stellen Sie sicher, dass das für das Standardaktionskonto verwendete Konto als Mitglied vom Typ Rolle der Datenbankrolle ConfigServiceMonitoringUsers konfiguriert ist.
So überprüfen Sie das Aktionskonto
-
Öffnen Sie auf dem Server, auf dem die Betriebsdatenbank gehostet wird, SQL Server Management Studio, und stellen Sie eine Verbindung mit dem lokalen Server her.
-
Erweitern Sie Datenbanken und dann die Betriebsdatenbank, dies ist standardmäßig OperationsManager.
-
Erweitern Sie nacheinander Sicherheit, Rollen und Datenbankrollen.
-
Überprüfen Sie, ob die Rolle ConfigServiceMonitoringUsers aufgeführt ist.
-
Wenn die Rolle nicht aufgeführt ist, können Sie mit der rechten Maustaste auf Datenbankrollen klicken, um sie hinzuzufügen.
Agentaktionskonto
Sofern eine Aktion nicht einem ausführenden Profil zugeordnet wurde, sind die für die Ausführung der Aktion verwendeten Anmeldeinformationen die für das Aktionskonto definierten Anmeldeinformationen. Weitere Informationen zum ausführenden Profil finden Sie unter Verwalten von ausführenden Konten und Profilen. Beispiele für Aktionen:
Überwachen und Sammeln von Windows-Ereignisprotokolldaten
Überwachen und Sammeln von Windows-Leistungsindikatordaten
Überwachen und Sammeln von WMI-Daten
Ausführen von Aktionen als Skripts oder Batchdateien
Diese Aktionen werden vom Prozess MonitoringHost.exe unter Verwendung der im Aktionskonto angegebenen Anmeldeinformationen ausgeführt. Für jedes Konto wird eine neue Instanz von MonitoringHost.exe erstellt.
Verwenden eines gering privilegierten Kontos
Wenn Sie Operations Manager installieren, können Sie beim Zuweisen des Aktionskontos zwischen zwei Optionen wählen:
Lokales System
Domänenkonto oder lokales Konto
Eine gängige Methode ist die Angabe eines Domänenkontos, mit dem Sie einen Benutzer auswählen können, der nur über die unbedingt erforderlichen Berechtigungen für Ihre Umgebung verfügt.
Das Standardaktionskonto muss die folgenden minimalen Berechtigungen aufweisen:
Mitgliedschaft in der lokalen Benutzergruppe
Mitgliedschaft in der lokalen Gruppe der Leistungsmonitorbenutzer
Berechtigung "Lokal anmelden zulassen" (SeInteractiveLogonRight)
Die oben beschriebenen minimalen Berechtigungen sind die niedrigsten Berechtigungen, die von Operations Manager für das Aktionskonto unterstützt werden. Andere Ausführungen als Konten können niedrigere Berechtigungen haben. Welche Berechtigungen für die ausführenden Konten tatsächlich erforderlich sind, hängt davon ab, welche Management Packs auf dem Computer ausgeführt werden und wie sie konfiguriert sind. Weitere Informationen zu den jeweils erforderlichen Anmeldeinformationen finden Sie im Handbuch des entsprechenden Management Packs.
Beachten Sie bei der Auswahl der Anmeldeinformationen für das Agentaktionskonto folgende Punkte:
Für Agents, die für die Überwachung von Domänencontrollern verwendet werden, ist nur ein Konto mit niedrigen Berechtigungen erforderlich.
Wenn Sie ein Domänenkonto verwenden, müssen Sie das Kennwort entsprechend den Richtlinien für den Kennwortablauf aktualisieren.
Sie müssen den System Center-Verwaltungsdienst beenden und dann starten, wenn das Aktionskonto für die Verwendung eines Kontos mit niedrigen Berechtigungen konfiguriert wurde und dieses Konto den erforderlichen Gruppen hinzugefügt wurde, als der System Center-Verwaltungsdienst aktiv war.
Benachrichtigungsaktionskonto
Das Benachrichtigungsaktionskonto ist ein ausführendes Konto, das vom Benutzer erstellt wird, um Benachrichtigungen zu konfigurieren. Dieses Aktionskonto wird zum Erstellen und Senden von Benachrichtigungen verwendet. Vergewissern Sie sich, dass die für dieses Konto verwendeten Anmeldeinformationen über ausreichende Berechtigungen für den SMTP-Server, den Instant Messaging-Server oder den SIP-Server verfügen, den Sie für Benachrichtigungen verwenden.
Wenn Sie das Kennwort für die Anmeldeinformationen ändern, die Sie für das Benachrichtigungsaktionskonto eingegeben haben, müssen Sie die gleichen Kennwortänderungen für das ausführende Konto vornehmen.
Verwalten von Anmeldeinformationen für Aktionskonten
Für das ausgewählte Konto wird von Operations Manager das Kennwortablaufdatum bestimmt, und 14 Tage vor dem Kennwortablauf wird eine Warnung generiert. Wenn Sie das Kennwort in Active Directory ändern, können Sie das Kennwort für das Aktionskonto in Operations Manager auf der Registerkarte Konto auf der Seite Eigenschaften des ausführenden Kontos ändern. Weitere Informationen zum Verwalten der Anmeldeinformationen für Aktionskonten finden Sie unter Gewusst wie: Ändern der Anmeldeinformationen für das Aktionskonto.
Dienstkonten
Der Satz von Anmeldeinformationen für das Konto des System Center-Konfigurationsdiensts und des System Center-Datenzugriffsdiensts wird vom System Center-Datenzugriffsdienst und vom System Center-Verwaltungskonfigurationsdienst verwendet, um Informationen in der Betriebsdatenbank zu aktualisieren und zu lesen. Mit Operations Manager wird sichergestellt, dass die für das Dienstkonto der Datenzugriffsdienste (Data Access Services, DAS) verwendeten Anmeldeinformationen der Rolle „Sdk_user“ in der Betriebsdatenbank zugewiesen sind. Das Konto des System Center-Konfigurationsdiensts und des System Center-Datenzugriffsdiensts kann als lokales Systemkonto oder als Domänenkonto konfiguriert werden. Ein lokales Benutzerkonto wird nicht unterstützt.
Wenn sich der Verwaltungsserver und die Betriebsdatenbank auf unterschiedlichen Computern befinden, muss das Konto des System Center-Konfigurationsdiensts und des System Center-Datenzugriffsdiensts in ein Domänenkonto geändert werden. Zur Steigerung der Sicherheit wird empfohlen, ein anderes Konto als das zu verwenden, das für das Verwaltungsserver-Aktionskonto verwendet wird. Informationen zum Ändern dieser Konten finden Sie unter Wie Sie die Anmeldeinformationen ändern für die System Center-verwaltungskonfigurationsdienst und System Center-Datenzugriff.
Agentinstallationskonto
Wenn Sie die auf Ermittlung basierende Agentbereitstellung implementieren, werden Sie zur Eingabe eines Kontos mit Administratorrechten aufgefordert. Mit diesem Konto wird der Agent auf dem Computer installiert; daher muss es sich um einen lokalen Administrator auf allen Computern handeln, auf denen Sie Agents bereitstellen. Das Verwaltungsserver-Aktionskonto ist das Standardkonto für die Agentinstallation. Wenn das Verwaltungsserver-Aktionskonto nicht über Administratorrechte verfügt, wählen Sie Anderes Benutzerkonto aus, und geben Sie ein Konto mit Administratorrechten ein. Dieses Konto wird vor der Verwendung verschlüsselt und anschließend verworfen.
Data Warehouse-Konto für Schreibvorgänge
Mit dem Data Warehouse-Konto für Schreibvorgänge werden Daten vom Verwaltungsserver in das Reporting-Data Warehouse geschrieben und Daten aus der Betriebsdatenbank gelesen. Die für dieses Konto angegebenen Anmeldeinformationen werden den Rollen anwendungsabhängig zugeordnet, wie in der folgenden Tabelle gezeigt.
.jpeg "System_CAPS_note"){kind=icon} Hinweis |
|---|
Informationen zu unterstützten Konfigurationen für System Center 2012 – Operations Manager finden Sie unter Unterstützte Konfigurationen für System Center 2012 – Operations Manager. |
Anwendung |
Datenbank/Rolle |
Rolle/Konto |
|---|---|---|
Unterstützte Versionen von Microsoft SQL Server |
Betriebsdatenbank |
db_datareader |
Unterstützte Versionen von Microsoft SQL Server |
Betriebsdatenbank |
dwsync_user |
Unterstützte Versionen von Microsoft SQL Server |
Data Warehouse-Datenbank |
OpsMgrWriter |
Unterstützte Versionen von Microsoft SQL Server |
Data Warehouse-Datenbank |
db_owner |
Operations Manager |
Benutzerrolle |
Konto der Administratoren für die Sicherheit von Operations Manager-Berichten |
Operations Manager |
Ausführendes Konto |
Data Warehouse-Aktionskonto |
Operations Manager |
Ausführendes Konto |
Lesekonto für die Synchronisierung der Data Warehouse-Konfiguration |
Wenn Sie das Kennwort für die Anmeldeinformationen ändern, die Sie für das Data Warehouse-Konto für Schreibvorgänge eingegeben haben, müssen Sie die gleichen Kennwortänderungen für die folgenden Konten vornehmen:
Ausführendes Konto mit der Bezeichnung „Data Warehouse-Aktionskonto“
Ausführendes Konto mit der Bezeichnung „Lesekonto für die Synchronisierung der Data Warehouse-Konfiguration“
Datenlesekonto
Dieses Konto wird verwendet, um Berichte bereitzustellen und um zu definieren, welcher Benutzer von SQL Server Reporting Services zum Ausführen von Abfragen für das Reporting-Data Warehouse genutzt wird. Zudem wird es vom Konto für den IIS-Anwendungspool von SQL Server Reporting Services verwendet, um eine Verbindung mit dem Verwaltungsserver herzustellen. Dieses Konto wird dem Benutzerprofil des Berichtsadministrators hinzugefügt.
Die für dieses Konto angegebenen Anmeldeinformationen werden den Rollen anwendungsabhängig zugeordnet, wie in der folgenden Tabelle gezeigt.
| Hinweis |
|---|
Informationen zu unterstützten Konfigurationen für System Center 2012 – Operations Manager finden Sie unter Unterstützte Konfigurationen für System Center 2012 – Operations Manager. |
Anwendung |
Datenbank/Rolle |
Rolle/Konto |
|---|---|---|
Unterstützte Versionen von Microsoft SQL Server |
Berichtsserver-Installationsinstanz |
Berichtsserver-Ausführungskonto |
Unterstützte Versionen von Microsoft SQL Server |
Data Warehouse-Datenbank |
OpsMgrReader |
System Center 2012 – Operations Manager |
Benutzerrolle |
Administratoren für die Sicherheit von Operations Manager-Berichten |
System Center 2012 – Operations Manager |
Benutzerrolle |
Operations Manager-Berichtsverantwortliche |
System Center 2012 – Operations Manager |
Ausführendes Konto |
Konto für die Data Warehouse-Berichtbereitstellung |
Internetinformationsdienste (IIS) |
Anwendungspool |
ReportServer$<INSTANZ> |
Windows-Dienst |
SQL Server Reporting Services |
Anmeldekonto |
Wenn Sie das Kennwort für die Anmeldeinformationen ändern, die Sie für das Datenlesekonto eingegeben haben, müssen Sie die gleichen Kennwortänderungen für die folgenden Konten vornehmen:
Berichtsserver-Ausführungskonto
Das SQL Server Reporting Services-Dienstkonto auf dem Computer, auf dem SQL Server Reporting Services (SSRS) gehostet wird
Das Konto für den IIS-Anwendungspool von „ReportServer$<INSTANZ>“
Ausführendes Konto mit der Bezeichnung „Konto für die Data Warehouse-Berichtbereitstellung“