Sicherheitsüberlegungen
Betrifft: System Center 2012 R2 Operations Manager, Data Protection Manager for System Center 2012, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager
Bei der Vorbereitung der Umgebung für System Center 2012 – Operations Manager ist der größte Aufwand mit sicherheitsrelevanten Aufgaben verbunden. In diesem Abschnitt werden die Aufgaben zusammenfassend behandelt. Weitere Informationen finden Sie unter Index to Security-related Information for Operations Manager (Index der sicherheitsrelevanten Informationen zu Operations Manager).
Die Vorbereitung der sicherheitsrelevanten Aufgaben umfasst Folgendes:
Verstehen, Planen und Vorbereiten der Überwachung über Vertrauensgrenzen hinweg
Verstehen, Planen und Vorbereiten der Überwachung von UNIX- oder Linux-Computern
Planen und Vorbereiten der benötigten Dienstkonten, Benutzerkonten und Sicherheitsgruppen
Verstehen und Vorbereiten der für Ihren Entwurf erforderlichen Netzwerkports
Vertrauensgrenzen
Die Basiseinheit einer Kerberos-Vertrauensgrenze für Operations Manager wird von Active Directory-Domänen gebildet. Diese Grenze wird automatisch auf andere Domänen im selben Namespace (in derselben Active Directory-Struktur) sowie über transitive Vertrauensstellungen auf Domänen erweitert, die sich in unterschiedlichen Active Directory-Strukturen, jedoch in der gleichen Active Directory-Gesamtstruktur befinden. Die Vertrauensgrenze kann durch Verwendung von Gesamtstruktur-übergreifenden Vertrauensstellungen auch auf Domänen in unterschiedlichen Active Directory-Gesamtstrukturen erweitert werden.
Kerberos
Das Kerberos-Authentifizierungsprotokoll, das von Domänencontrollern ab Windows 2000 unterstützt wird, kann nur innerhalb der Vertrauensgrenze verwendet werden. Kerberos-Authentifizierung ist ein Mechanismus, der zur gegenseitigen Operations Manager-Agent/Server-Authentifizierung verwendet wird. Die gegenseitige Agent/Server-Authentifizierung ist in Operations Manager-Shell für die gesamte Agent/Server-Kommunikation vorgeschrieben.
Mit einer Operations Manager-Verwaltungsgruppe ist es möglich, die Ermittlung und Überwachung außerhalb der Kerberos-Vertrauensgrenze auszuführen, in der sich die Verwaltungsgruppe befindet. Da jedoch NTLM als Standardauthentifizierungsprotokoll für Windows-basierte Computer, die keiner Active Directory-Domäne angeschlossen sind, verwendet wird, muss für die gegenseitige Authentifizierung ein anderer Mechanismus verwendet werden. Dies erfolgt durch den Austausch von Zertifikaten zwischen Agents und Servern.
Zertifikate
Wenn eine Operations Manager-Kommunikation über Vertrauensgrenzen hinweg erfolgen soll, z. B. wenn ein Server, den Sie überwachen möchten, sich in einer anderen, nicht vertrauenswürdigen Active Directory-Domäne als die Verwaltungsgruppe befindet, von der die Überwachung ausgeführt wird, können Zertifikate verwendet werden, um die Anforderung der gegenseitigen Authentifizierung zu erfüllen. Mithilfe manueller Konfiguration können Sie Zertifikate erhalten und den Computern sowie den darauf ausgeführten Operations Manager-Diensten zuweisen. Wird ein Dienst gestartet, für den Kommunikation mit einem Dienst auf einem anderen Computer erforderlich ist, und wird die Authentifizierung versucht, so werden die Zertifikate ausgetauscht, und die gegenseitige Authentifizierung wird ausgeführt.
.jpeg "System_CAPS_important"){kind=icon} Wichtig |
|---|
Von den hierzu verwendeten Zertifikaten muss letztlich derselben Stammzertifizierungsstelle vertraut werden. |
Weitere Informationen zum Erhalten und Verwenden von Zertifikaten zur gegenseitigen Authentifizierung finden Sie unter Bereitstellen eines Gatewayservers.
Zertifizierungsstelle
Um die erforderlichen Zertifikate zu erhalten, benötigen Sie Zugriff auf eine Zertifizierungsstelle. Dies kann entweder Microsoft Zertifikatsdienste oder ein Fremdanbieter-Zertifizierungsdienst wie VeriSign sein.
Microsoft Zertifikatsdienste
Es gibt vier Arten von Microsoft-Zertifizierungsstellen:
Stammzertifizierungsstelle des Unternehmens
Untergeordnete Zertifizierungsstelle des Unternehmens
Eigenständige Stammzertifizierungsstelle
Eigenständige untergeordnete Zertifizierungsstelle
Die beiden Arten von Unternehmenszertifizierungsstellen erfordern Active Directory-Domänendienste, die eigenständigen Zertifizierungsstellen nicht. Beide Arten von Zertifizierungsstellen können die erforderlichen Zertifikate für die gegenseitige Agent/Server-Authentifizierung über Vertrauensgrenzen hinweg herausgeben.
Normalerweise besteht eine Zertifizierungsstelleninfrastruktur aus einer Stammzertifizierungsstelle zur Signierung der eigenen Zertifikate und zur eigenen Zertifizierung sowie aus mindestens einer untergeordneten Zertifizierungsstelle, die von der Stammzertifizierungsstelle zertifiziert wird. Die Zertifikate werden bei den untergeordneten Zertifizierungsstellenservern angefordert, während der Stammzertifizierungsstellen-Server offline geschaltet ist und als Sicherung verwendet wird. Weitere Informationen zum Entwurf von Zertifikaten finden Sie unter Infrastructure Planning and Design (Infrastrukturplanung und -entwurf) und Authentifizierung und Datenverschlüsselung für Windows-Computer.
Überwachen von UNIX- und Linux-Computern
Mit System Center 2012 – Operations Manager können auch UNIX- und Linux-Computer überwacht werden. Da UNIX- und Linux-Computer nicht Teil der Active Directory-Domäne sind, in der sich die Verwaltungsgruppe befindet, wird eine Variante der oben behandelten Zertifikatmethode gegenseitiger Authentifizierung verwendet.
Einrichten der gegenseitigen Authentifizierung bei UNIX- und Linux-Computern
Verwenden Sie den Ermittlungs-Assistenten, um UNIX- und Linux-Computer zu finden und als verwaltete Objekte zur Verwaltungsgruppe hinzuzufügen. Bei der Ausführung des Ermittlungs-Assistenten wird auf Anforderung von Operations Manager von den ermittelten UNIX- und Linux-Computern ein selbstsigniertes Zertifikat generiert, das zur gegenseitigen Authentifizierung mit dem Verwaltungsserver verwendet wird. Die Prozesse Generieren, Signieren und Austauschen von Zertifikaten funktionieren bei aktivierter SSH-Ermittlung folgendermaßen:
Auf Anforderung des Prozesses des Ermittlungs-Assistenten wird auf dem Verwaltungsserver des UNIX- oder Linux-Computers ein selbstsigniertes Zertifikat generiert.
Vom ermittelnden Verwaltungsserver wird eine Zertifikatsanforderung an den UNIX- oder Linux-Computer herausgegeben.
Dieses Zertifikat wird vom UNIX- oder Linux-Computer an den Veraltungsserver zurückgegeben.
Vom ermittelnden Verwaltungsserver werden ein Schlüsselpaar und ein eigenes selbstsigniertes Zertifikat erstellt. Vom Verwaltungsserver werden nur beim Ermitteln des ersten UNIX- oder Linux-Computers ein Schlüsselpaar und ein selbstsigniertes Zertifikat generiert. Dann wird das eigene Zertifikat vom Verwaltungsserver in dessen vertrauenswürdigen Zertifikatspeicher importiert. Vom ermittelnden Verwaltungsserver wird anschließend das UNIX- oder Linux-Zertifikat mit dem privaten Schlüssel des Verwaltungsservers signiert. Bei jeder nachfolgenden Signierung von UNIX- oder Linux-Computerzertifikaten durch den Verwaltungsserver wird der bei der ersten Signierung generierte private Schlüssel des Verwaltungsservers wiederverwendet.
Vom ermittelnden Verwaltungsserver wird dann eine Put-Zertifikatsanforderung herausgegeben, von der das jetzt vom Verwaltungsserver signierte Zertifikat auf dem UNIX- oder Linux-Computer abgelegt wird, von dem das Zertifikat ursprünglich generiert wurde. Die Kommunikationsschicht des UNIX- oder Linux-Computers wird anschließend neu gestartet, damit das neue vom UNIX-/Linux-Computer generierte Zertifikat aktiv wird.
Wird vom Verwaltungsserver jetzt die Authentifizierung des UNIX- oder Linux-Computers angefordert, wird dem Verwaltungsserver das vertrauenswürdige Zertifikat vom UNIX- oder Linux-Computer bereitgestellt. Die Signatur auf dem vorgelegten Zertifikat wird vom Verwaltungsserver gelesen, die Vertrauenswürdigkeit bestätigt (weil die Signatur dem im eigenen vertrauenswürdigen Zertifikatspeicher gespeicherten privaten Schlüssel entspricht), und das Zertifikat wird als Beweis dafür akzeptiert, dass es sich wirklich um den erwarteten UNIX-oder LINUX-Computer handelt.
Vom ermittelnden Verwaltungsserver werden die im entsprechenden ausführenden Profil konfigurierten UNIX- oder Linux-Anmeldeinformationen für die eigene Authentifizierung gegenüber dem UNIX- oder Linux-Computer verwendet. Weitere Details finden Sie im Abschnitt Planen der ausführenden Profile für UNIX oder Linux.
| Wichtig |
|---|
Die oben stehende Reihenfolge von Vorgängen gilt für die UNIX- oder Linux-Ermittlung auf niedriger Sicherheitsstufe. |
Planen der ausführenden Profile für UNIX oder Linux
Sobald der UNIX- oder Linux-Computer vom ermittelnden Verwaltungsserver verwaltet wird, werden die Management Pack-Ermittlung und -Workflows ausgeführt. Zur erfolgreichen Ausführung dieser Workflows ist die Verwendung von Anmeldeinformationen erforderlich. Die ausführenden Profile enthalten diese Anmeldeinformationen sowie Angaben dazu, auf welche Objekte, Klassen oder Gruppen sie angewendet und an welche Computer sie verteilt werden. Es gibt zwei ausführende Profile, die beim Import der UNIX-Management Packs in Ihre Verwaltungsgruppe importiert werden:
Unix-Aktionskonto-Profil: Dieses ausführende Profil und die zugeordneten UNIX- oder Linux-Anmeldeinformationen werden auf den vorgesehenen UNIX- oder Linux-Computern für Aktivitäten mit niedriger Sicherheitsstufe verwendet.
Privilegiertes Unix-Konto-Profil: Dieses ausführende Profil und die zugeordneten UNIX- oder Linux-Anmeldeinformationen werden für Aktivitäten verwendet, die durch eine höhere Sicherheitsstufe geschützt werden und für die daher auf dem UNIX- oder Linux-Computer ein Konto mit höherer Berechtigungsstufe erforderlich ist. Dies kann, muss jedoch nicht das Stammkonto sein.
Zum ordnungsgemäßen Betrieb müssen Sie diese Profile mit den entsprechenden UNIX- oder Linux-Computeranmeldeinformationen für die Management Pack-Workflows konfigurieren, von denen sie verwendet werden.
Konten und Gruppen
Im Laufe der Lebensdauer Ihrer Operations Manager-Bereitstellung werden Sie wahrscheinlich viele Konten und Sicherheitsgruppen benötigen. Während des Operations Manager-Setups werden Sie nur aufgefordert, vier Konten festzulegen. Bei der Planung von rollenbasierten Sicherheitszuordnungen, Benachrichtigungen und alternativen Anmeldeinformationen zum Ausführen von Prozessen müssen Sie die Einrichtung weiterer Konten erwägen. Anleitungen zum Planen von rollenbasierten Sicherheitszuordnungen finden Sie unter Planen der Bereitstellung von System Center 2012 – Operations Manager.
Rollenbasierte Sicherheitskonten und -gruppen
Von Operations Manager werden der Zugriff auf überwachte Gruppen, Tasks und Ansichten sowie administrative Funktionen über die Zuweisung von Benutzerkonten zu Rollen gesteuert. Eine Rolle in Operations Manager ist die Kombination aus Profiltyp (Operator, erweiterter Operator, Administrator) und Bereich (auf welche Daten für die Rolle Zugriff besteht). Normalerweise werden Active Directory-Sicherheitsgruppen Rollen zugeordnet, und anschließend werden diesen Gruppen einzelne Konten zugewiesen. Planen Sie vor der Bereitstellung die Active Directory-Sicherheitsgruppen, die diesen hinzugefügt werden können, sowie alle benutzererstellten Rollen, sodass Sie dann einzelne Benutzerkonten zu den Sicherheitsgruppen hinzufügen können.
In Operations Manager sind die folgenden Rollendefinitionen standardmäßig verfügbar:
Rollenname |
Profiltyp |
Profilbeschreibung |
Rollenbereich |
|---|---|---|---|
-Operations Manager-Administratoren: Werden beim Setup erstellt; können nicht gelöscht werden; müssen mindestens eine globale Gruppe enthalten. |
Administrator |
Verfügt über vollständige Berechtigungen für Operations Manager; eine Bereichsdefinition für das Administratorprofil wird nicht unterstützt. |
Vollzugriff auf alle Daten, Dienste, Verwaltungs- und Entwurfstools von Operations Manager. |
Erweiterte Operations Manager-Operatoren: Werden beim Setup erstellt; gelten für alle Bereiche; können nicht gelöscht werden. |
Erweiterter Operator |
Verfügt über eingeschränkten Zugriff zum Ändern der Operations Manager-Konfiguration; kann Außerkraftsetzungen von Regeln erstellen; überwacht Ziele oder Gruppen von Zielen innerhalb des konfigurierten Bereichs. |
Zugriff auf alle aktuell vorhandenen und zukünftig importierten Gruppen, Ansichten und Tasks |
Operations Manager-Autoren: Werden beim Setup erstellt; gelten für alle Bereiche; können nicht gelöscht werden. |
Autor |
Kann Tasks, Regeln, Monitore und Ansichten innerhalb des konfigurierten Bereichs erstellen, bearbeiten und löschen. |
Zugriff auf alle aktuell vorhandenen und zukünftig importierten Gruppen, Ansichten und Tasks |
Operations Manager-Operatoren: Werden beim Setup erstellt; gelten für alle Bereiche; können nicht gelöscht werden. |
Operator |
Kann innerhalb des konfigurierten Bereichs mit Warnungen interagieren, Tasks ausführen und auf Ansichten zugreifen. |
Zugriff auf alle aktuell vorhandenen und zukünftig importierten Gruppen, Ansichten und Tasks |
Operations Manager-Operatoren mit beschränkter Leseberechtigung: Werden beim Setup erstellt; gelten für alle Bereiche; können nicht gelöscht werden. |
Schreibgeschützter Operator |
Kann innerhalb des konfigurierten Bereichs Warnungen anzeigen und auf Ansichten zugreifen. |
Zugriff auf alle aktuell vorhandenen und zukünftig importierten Gruppen und Ansichten |
Operations Manager-Berichtsverantwortliche: Werden beim Setup erstellt; gelten für alle Bereiche. |
Berichtsverantwortlicher |
Kann innerhalb des konfigurierten Bereichs Berichte anzeigen. |
Gilt für alle Bereiche. |
Operations Manager-Bericht-Sicherheitsadministratoren: Integriert SQL Reporting Services-Sicherheit in Operations Manager-Benutzerrollen; ermöglicht Operations Manager-Administratoren, den Zugriff auf Berichte zu steuern; Bereichsdefinition nicht möglich. |
Bericht-Sicherheitsadministrator |
Ermöglicht die Integration der SQL Server Reporting Services-Sicherheit mit Operations Manager-Rollen. |
Kein Bereich |
Sie können die Active Directory-Sicherheitsgruppen oder einzelne Konten zu jeder dieser vordefinierten Rollen zuordnen. Dadurch erhalten die einzelnen Benutzer die Berechtigungen der jeweiligen Rollen für die Objekte des festgelegten Bereichs.
.jpeg "System_CAPS_note"){kind=icon} Hinweis |
|---|
Die vordefinierten Rollen gelten für alle Bereiche, und bieten Zugriff auf alle Gruppen, Ansichten und Tasks (außer für den Bericht-Sicherheitsadministrator). |
Mit Operations Manager lassen sich außerdem benutzerdefinierte Rollen basierend auf den Profilen "Operator", "Operator mit beschränkter Leseberechtigung", "Autor" und "Erweiterter Operator" erstellen. Beim Erstellen der Rolle können Sie die Bereiche von Gruppen, Tasks und Ansichten, auf die für die Rolle Zugriff besteht, weiter einschränken. Sie können z. B. eine Rolle mit dem Namen „Exchange-Operator“ erstellen und den Bereich auf Exchange-bezogene Gruppen, Ansichten und Tasks beschränken. Von Benutzerkonten, die dieser Rolle zugewiesen werden, können Aktionen auf Operatorebene nur für Exchange-bezogene Objekte ausgeführt werden.
Benachrichtigungskonten und -gruppen
Benutzer in Ihrem Unternehmen, die häufig mit Operations Manager interagieren, beispielsweise ein Exchange-Administrator, der der Rolle „Exchange-Operator“ angehört, benötigen eine Möglichkeit, neue Warnungen zu erkennen. Dazu müssen sie entweder selbst die Betriebskonsole auf neue Warnungen überprüfen, oder sie werden von Operations Manager mithilfe unterstützter Kommunikationskanäle über Warnungen informiert. In Operations Manager werden Benachrichtigungen per E-Mail, Instant Messaging, SMS oder Pagernachricht unterstützt. An die in Operations Manager festgelegten Empfänger werden Benachrichtigungen mit Informationen gesendet, die für die Rolle relevant sind. Ein Operations Manager-Empfänger ist lediglich ein Objekt mit einer gültigen Adresse, unter der die Benachrichtigung empfangen wird, z. B. eine SMTP-Adresse für E-Mail-Benachrichtigungen.
Daher macht es Sinn, Rollenzuweisungen mit Benachrichtigungsgruppen-Mitgliedschaften über eine E-Mail-aktivierte Sicherheitsgruppe zu kombinieren. Erstellen Sie beispielsweise eine Sicherheitsgruppe "Exchange-Administratoren", und weisen Sie dieser Gruppe Benutzer zu, die über Kenntnisse und Berechtigungen zum Korrigieren von Problemen in Exchange verfügen. Weisen Sie diese Sicherheitsgruppe einer benutzererstellten Exchange-Administratorrolle zu, sodass sie Zugriff auf die Daten erhält und E-Mail-aktiviert ist. Erstellen Sie dann einen Empfänger unter Verwendung der SMTP-Adresse der E-Mail-aktivierten Sicherheitsgruppe.
Dienstkonten
Zum Zeitpunkt der Bereitstellung müssen die folgenden Dienstkonten funktionsbereit sein. Wenn Sie Domänenkonten verwenden, und für Ihr Domänen-Gruppenrichtlinienobjekt (GPO) die Standard-Kennwortablaufrichtlinie auf Erforderlich festgelegt ist, müssen Sie entweder die Kennwörter für die Dienstkonten entsprechend dem Zeitplan ändern, wartungsarme Systemkonten verwenden oder die Konten so konfigurieren, dass die Kennwörter niemals ablaufen.
Kontoname |
Erforderlich wenn |
Verwendet für |
Wartungsarm |
Hohe Sicherheit |
|---|---|---|---|---|
Verwaltungsserver-Aktionskonto |
Verwaltungsserversetup |
Sammeln von Anbieterdaten, Ausführen von Antworten |
Lokales System |
Domänenkonto mit niedrigen Berechtigungen |
Datenzugriffsdienst- und Konfigurationsdienstkonto |
Verwaltungsserversetup |
Schreiben in Betriebsdatenbank, Ausführen von Diensten |
Lokales System |
Domänenkonto mit niedrigen Berechtigungen |
Lokales Administratorkonto für Zielgeräte |
Ermittlung und Pushen der Agentinstallation |
Installieren von Agents |
Domänen- oder lokales Administratorkonto |
Domänen- oder lokales Administratorkonto |
Agentaktionskonto |
Ermittlung und Pushen der Agentinstallation |
Sammeln von Informationen und Ausführen von Antworten auf verwalteten Computern |
Lokales System |
Domänenkonto mit niedrigen Berechtigungen |
Data Warehouse-Aktionskonto für Schreibvorgänge |
Berichtsserversetup |
Schreiben in die Reporting-Data Warehouse-Datenbank |
Domänenkonto mit niedrigen Berechtigungen |
Domänenkonto mit niedrigen Berechtigungen |
Datenlesekonto |
Berichtsserversetup |
Abfragen der SQL Reporting Services-Datenbank |
Domänenkonto mit niedrigen Berechtigungen |
Domänenkonto mit niedrigen Berechtigungen |
Dienstprinzipalnamen
Wenn Sie Operations Manager bereitstellen, müssen Sie in einigen Konfigurationen möglicherweise einen Dienstprinzipalnamen (SPN) registrieren. Dienstprinzipalnamen werden von der Kerberos-Authentifizierung für den Client zur gegenseitigen Authentifizierung mit dem Server verwendet. Weitere Informationen finden Sie unter What Are Service Publication and Service Principal Names? (Was sind Dienstveröffentlichung und Dienstprinzipalnamen?).
Bei der Installation von Operations Manager wählen Sie ein Konto für System Center-Konfigurationsdienst und System Center-Datenzugriffsdienst aus. Weitere Informationen finden Sie unter Bereitstellen von System Center 2012 – Operations Manager.
.jpeg "System_CAPS_caution") Achtung |
|---|
Ändern Sie nicht die Active Directory-Standardberechtigungen, um einem Konto uneingeschränkte Änderungen am eigenen Dienstprinzipalnamen zu gestatten. |
Wenn Sie das lokale System als System Center-Datenzugriffsdienstkonto auswählen, kann der geeignete Dienstprinzipalname vom Konto erstellt werden. Es ist keine weitere Konfiguration erforderlich.
Wenn Sie ein Domänenkonto verwenden, müssen Sie für jeden Verwaltungsserver einen Dienstprinzipalnamen registrieren. Verwenden Sie das Befehlszeilentool SETSPN. Informationen zum Ausführen dieses Tools finden Sie unter Setspn Overview (Übersicht SETSPN).
Registrieren Sie sowohl den NetBIOS-Namen als auch den vollqualifizierten Domänennamen des Verwaltungsservers. Verwenden Sie dazu die folgende Syntax:
setspn –a MSOMSdkSvc/<netbios name> <DAS account domain>\<DAS account name>
setspn –a MSOMSdkSvc/<fqdn> <DAS account domain>\<DAS account name>
.jpeg "System_CAPS_tip") Tipp |
|---|
Sie können die bei einem Benutzerkonto oder Computer registrierten Dienstprinzipalnamen mit der folgenden Syntax auflisten: setspn –l <DAS account name> setspn –l <fqdn> |
Wenn Sie den Netzwerklastenausgleich oder ein Hardwaregerät zum Lastenausgleich verwenden, muss der System Center-Datenzugriffsdienst unter einem Domänenkonto ausgeführt werden. Zusätzlich zum bereits beschriebenen Setup müssen Sie auch den Lastenausgleichsnamen (Load Balanced Name) mithilfe der folgenden Syntax registrieren:
setspn –a MSOMSdkSvc/<load balanced name> <DAS account domain>\<DAS account name>
| Hinweis |
|---|
Alle System Center-Datenzugriffsdienste, die hinter dem Lastenausgleich ausgeführt werden, müssen mit dem gleichen Domänenkonto ausgeführt werden. |
Ausführende Konten
Von Agents auf überwachten Computern können Tasks, Module und Monitore bei Bedarf sowie als Reaktion auf vordefinierte Bedingungen ausgeführt werden. Standardmäßig werden alle Tasks unter Verwendung der Anmeldeinformationen des Agentaktionskontos ausgeführt. In einigen Fällen sind die Rechte und Berechtigungen des Agentaktionskontos möglicherweise nicht ausreichend zum Ausführen einer bestimmten Aktion auf dem Computer. In Operations Manager wird die Ausführung von Tasks durch Agents im Kontext eines alternativen Satzes von Anmeldeinformationen, einem sogenannten ausführenden Konto, unterstützt. Ein ausführendes Konto ist ein Objekt, das wie ein Empfänger in Operations Manager erstellt und einem Active Directory-Benutzerkonto zugeordnet wird. Dann wird das ausführende Konto von einem ausführenden Profil einem bestimmten Computer zugeordnet. Wenn Regeln, Tasks oder Monitore, die einem ausführenden Profil während der Entwicklung eines Management Packs zugeordnet wurden, auf dem Zielcomputer ausgeführt werden müssen, geschieht dies unter Verwendung des angegebenen ausführenden Kontos.
Standardmäßig sind in Operations Manager mehrere ausführende Konten und ausführende Profilen verfügbar, und Sie können bei Bedarf weitere erstellen. Sie können auch die Active Directory-Anmeldeinformationen ändern, denen ein ausführendes Konto zugeordnet ist. Zu diesem Zweck müssen zusätzliche Active Directory-Anmeldeinformationen geplant, erstellt und gepflegt werden. Behandeln Sie diese Konten in Bezug auf Kennwortablauf, Active Directory-Domänendienste, Speicherort und Sicherheit wie Dienstkonten.
Sie müssen bei der Entwicklung von Anfragen nach ausführenden Konten mit Management Pack-Autoren zusammenarbeiten. Weitere Informationen finden Sie unter Index to Security-related Information for Operations Manager (Index der sicherheitsrelevanten Informationen zu Operations Manager).