Bei der Installation erforderliche Konten
Veröffentlicht: Juli 2016
Gilt für: System Center 2012 SP1 - Service Manager, System Center 2012 R2 Service Manager, System Center 2012 - Service Manager
Bei der Installation der System Center 2012 – Service Manager- und Data Warehouse-Verwaltungsserver müssen Sie Anmeldeinformationen für die in der nachstehenden Tabelle aufgeführten Konten angeben.
.jpeg "System_CAPS_ICON_note.jpg"){kind=icon} Hinweis |
|---|
|
Bei der Installation eines Service Manager-Verwaltungsservers verwendete Konten
| Konto | Berechtigungen | Verwendung in Service Manager |
|---|---|---|
| Administratoren der Verwaltungsgruppe | - Muss ein Domänenbenutzer oder eine Domänengruppe sein. Important: Das während der Erstinstallation eines Service Manager-Verwaltungsservers beim Computer angemeldete Benutzerkonto wird dieser Gruppe automatisch hinzugefügt. | - Wird der Benutzerrolle Service Manager-Administratoren hinzugefügt. |
| Service Manager-Dienstkonto | - Muss ein Domänenbenutzer oder eine Domänengruppe sein. - Muss Mitglied der lokalen Administratoren sein. |
- Wird das Konto für das Betriebssystem. - Wird dem Anmeldekonto für den System Center-Datenzugriffsdienst zugewiesen. - Wird dem Anmeldekonto für den System Center Management-Konfigurationsdienst zugewiesen. - Wird Mitglied der sdk_users- und configsvc_users-Datenbankrollen für die Service Manager-Datenbank. - Wenn Sie die Anmeldeinformationen für diese beiden Dienste ändern, müssen Sie sicherstellen, dass für das neue Konto eine SQL-Anmeldung bei der Service Manager-Datenbank vorhanden ist und dass dieses Konto Mitglied der Gruppe „Vordefiniert\Administratoren“ ist. |
| Workflowkonto | - Muss ein Domänenbenutzer oder eine Domänengruppe sein. - Es müssen Berechtigungen für das Senden von E-Mails sowie ein Postfach auf dem SMTP-Server (Simple Mail Transfer Protocol) für die E-Mail-Benachrichtigungsfunktion vorhanden sein. - Muss Mitglied der Benutzer der lokalen Sicherheitsgruppe sein. - Muss zum Mitglied der Benutzerrolle Service Manager-Administratoren gemacht werden, damit das ordnungsgemäße Funktionieren von E-Mail-Benachrichtigungen sichergestellt ist. |
- Dieses Konto wird für alle Workflows verwendet und zum Mitglied der Benutzerrolle Service Manager-Workflows gemacht. |
Bewährte Sicherheitsmethoden für Konten
Bei der Zuweisung von Active Directory-Konten für die Verwendung als ausführende Service Manager-Konten hat sich die Nutzung von Dienstkonten bewährt. Es wird dringend davon abgeraten, Active Directory-Benutzerkonten, die einzelnen Personen zugeordnet sind, zu verwenden.
Weitere Informationen zu bewährten Methoden für die Sicherheit finden Sie im Sicherheitshandbuch für Windows Server 2008, das nun zum Windows Server 2008 Security Compliance Management Toolkit gehört, und im Planungshandbuch für die Sicherheit von Diensten und Dienstkonten.
Bei der Installation des Data Warehouse-Verwaltungsservers verwendete Konten
| Konto | Berechtigungen | Verwendung in Service Manager |
|---|---|---|
| Administratoren der Verwaltungsgruppe | - Muss ein Domänenbenutzer oder eine Domänengruppe sein. | - Wird der Benutzerrolle Data Warehouse-Administratoren hinzugefügt. |
| Service Manager-Dienstekonto | - Muss ein Domänenbenutzer oder eine Domänengruppe sein. - Muss Mitglied der lokalen Administratoren auf dem Data Warehouse-Verwaltungsserver sein. - Es muss sich um dasselbe Konto handeln, das Sie für das Dienstekonto des Service Manager-Verwaltungsservers angegeben haben. |
- Wird das ausführende Data Warehouse-Systemkonto. - Wird dem ServiceManager SDK-Dienstkonto zugeordnet. - Wird dem ServiceManager-Konfigurationskonto zugeordnet. - Wird Mitglied der sdk_users- und configsvc_users-Datenbankrollen für die DWDataMart-Datenbank. - Wird Mitglied der db_datareader-Datenbankrollen für die DWRepository-Datenbank. - Wird Mitglied der configsvc_users-Datenbankrollen für die Service Manager-Datenbank. |
| Berichtskonto | - Muss ein Domänenkonto sein. | - Wird von SQL Server Reporting Services (SSRS) genutzt, um über einen Zugriff auf die DWDataMart-Datenbank Daten für die Berichterstellung abzurufen. - Wird Mitglied der db_datareader-Datenbankrollen für die DWDataMart-Datenbank. - Wird Mitglied der reportuser-Datenbankrollen für die DWDataMart-Datenbank. |
| Analysis Services-Konto | - Muss ein Domänenkonto sein. | - Wird für die Kommunikation mit Data Marts verwendet. - Konto wird als Administratorrolle in der Analysis Services-Serverdatenbank (DWASDataBase) für die Verarbeitung von Datenbanken und das Lesen von Cubes hinzugefügt. |
Registrieren der Service Manager-Verwaltungsgruppe bei der Data Warehouse-Verwaltungsgruppe
Als Teil des Installationsverfahrens registrieren Sie die Service Manager-Verwaltungsgruppe bei der Data Warehouse-Verwaltungsgruppe. Im Lauf des Verfahrens werden Sie zur Eingabe von Anmeldeinformationen aufgefordert. Die Anmeldeinformationen müssen denen eines Domänenkontos entsprechen. Darüber hinaus muss ein Konto mit den folgenden Berechtigungen angegeben werden:
Muss Mitglied der Benutzerrolle Administrator in den Service Manager- und den Data Warehouse-Verwaltungsgruppen sein.
Muss Mitglied der lokalen Administratorgruppe auf dem Data Warehouse-Verwaltungsserver sein.
Erforderliche Konten für die Erstellung von Connectors
Bei der Erstellung von Connectors werden Sie aufgefordert, Anmeldeinformationen für den Connector anzugeben, die von diesem für die Ausführung benötigt werden. In der nachstehenden Tabelle werden die erforderlichen Berechtigungen für dieses Konto und die bewährten Methoden für eine hohe Sicherheitsebene beschrieben.
Connector für Operations Manager 2007-Warnungen
| Berechtigungen | Empfohlene Methoden |
|---|---|
| - Muss ein Domänenkonto sein. - Muss Mitglied der lokalen Sicherheitsgruppe auf dem Service Manager-Verwaltungsserver sein. - Muss ein Operations Manager 2007-Administratorkonto sein. |
Ein speziell für diesen Zweck erstelltes Domänenkonto, das nur Mitglied der lokalen Sicherheitsgruppe ist und den Benutzerrollen Administrator in Operations Manager sowie Erweiterter Operator in Service Manager angehört. |
Connector für Operations Manager 2007-Konfigurationselemente
| Berechtigungen | Empfohlene Methoden |
|---|---|
| - Muss ein Domänenkonto sein. - Muss Mitglied der lokalen Sicherheitsgruppe auf dem Verwaltungsserver sein. - Muss ein Operations Manager 2007-Operatorkonto sein. |
Ein speziell für diesen Zweck erstelltes Domänenkonto, das nur Mitglied der lokalen Sicherheitsgruppe ist und den Benutzerrollen Operator in Operations Manager und Erweiterter Operator in Service Manager angehört. |
Active Directory-Connector
| Berechtigungen | Empfohlene Methoden |
|---|---|
| - Muss ein Domänenkonto sein. - Muss Mitglied der lokalen Sicherheitsgruppe auf dem Service Manager-Verwaltungsserver sein. - Muss über entsprechende Berechtigungen für ein Binding des Domänencontrollers verfügen, von dem Daten durch den Connector gelesen werden. - Generische Leserechte für die aus AD DS stammenden Objekte, die in die Service Manager-Datenbank synchronisiert werden. |
Ein speziell für diesen Zweck erstelltes Domänenkonto, das nur Mitglied der lokalen Sicherheitsgruppe ist, der Benutzerrolle „Erweiterter Operator“ in Service Manager angehört und Leseberechtigungen in AD DS aufweist. |
Configuration Manager 2007-Connector
| Berechtigungen | Empfohlene Methoden |
|---|---|
| - Muss ein Domänenkonto sein. - Muss Mitglied der lokalen Sicherheitsgruppe auf dem Service Manager-Verwaltungsserver sein. |
Ein speziell für diesen Zweck erstelltes Domänenkonto, das nur Mitglied der lokalen Sicherheitsgruppe ist, den Benutzerrollen „smsdbrole_extract“ und „db_datareader“ für die System Center Configuration Manager-Datenbank bzw. „Erweiterter Operator“ in Service Manager angehört. |