Verteilung und Zielauswahl für ausführende Konten und Profile

Ausführende Konten werden mit Ausführungsprofilen verknüpft, um die erforderlichen Anmeldeinformationen für Workflows bereitzustellen, die dieses Ausführungsprofil verwenden, um erfolgreich ausgeführt zu werden. Sowohl die Verteilung als auch die Zielauswahl von ausführenden Konten müssen ordnungsgemäß konfiguriert sein, damit das ausführende Profil korrekt funktioniert.

Wenn Sie ein Ausführungsprofil konfigurieren, wählen Sie die Ausführungskonten aus, die Sie mit dem Ausführungsprofil verknüpfen möchten. Wenn Sie diese Zuordnung erstellen, geben Sie die Klasse, die Gruppe oder das Objekt an, das mit dem ausführenden Konto verwaltet werden soll, wie in der folgenden Abbildung dargestellt. Damit wird das Ziel des ausführenden Kontos festgelegt.

Verteilung ist ein Attribut eines ausführenden Kontos, in dem Sie angeben, welche Computer die Anmeldeinformationen des ausführenden Kontos erhalten sollen. Sie können wählen, ob Sie die Anmeldeinformationen für das ausführende Konto an alle von Agenten verwalteten Computer oder nur an ausgewählte Computer weitergeben möchten.

Beispiel für die Ausrichtung und Verteilung von ausführenden Konten:

Auf dem physischen Computer ABC befinden sich zwei Instanzen von Microsoft SQL Server, Instanz X und Instanz Y. Jede Instanz verwendet einen anderen Satz von Anmeldeinformationen für das Software Assurance-Konto. Sie erstellen ein ausführendes Konto mit den Software Assurance-Anmeldeinformationen für Instanz X und ein anderes ausführendes Konto mit den Software Assurance-Anmeldeinformationen für Instanz Y. Wenn Sie das Ausführungsprofil des SQL Servers konfigurieren, verknüpfen Sie beide Anmeldeinformationen des ausführenden Kontos für Instanz X und Y mit dem Profil und geben an, dass die Anmeldeinformationen des ausführenden Kontos für Instanz X für SQL Server und die Anmeldeinformationen des ausführenden Kontos für Instanz Y für SQL Server verwendet werden sollen.

Auswählen eines Ziels für ein ausführendes Konto

Wie in der vorherigen Abbildung gezeigt, sind die Optionen für die Auswahl eines Ziels für ein ausführendes Konto Alle Zielobjekte und eine ausgewählte Klasse, Gruppe oder ein Objekt.

Wenn Sie Alle Zielobjekte auswählen, verwendet das Ausführungsprofil dieses Konto für alle Objekte in den Workflows, die das Ausführungsprofil verwenden.

Wenn Sie Ausgewählte Klasse, Gruppe oder Objekt auswählen, können Sie die Verwendung des ausführenden Kontos auf die von Ihnen angegebene Klasse, Gruppe oder das Objekt beschränken.

Hinweis

Die Anmeldeinformationen für das ausführende Konto müssen vor der Konfiguration des ausführenden Profils an die spezifischen von Agenten verwalteten Systeme verteilt werden, bei denen sich die „Ausführen als“-Anmeldeinformationen authentifizieren sollen.

Vergleich zwischen sicherer und weniger sicherer Verteilung

Operations Manager verteilt die Anmeldeinformationen für das ausführende Konto entweder an alle von Agenten verwalteten Computer (die weniger sichere Option) oder nur an die von Ihnen angegebenen Computer (die sicherere Option). Wenn Operations Manager das ausführende Konto automatisch entsprechend der Erkennung verteilen würde, würde ein Sicherheitsrisiko in Ihrer Umgebung entstehen, wie im folgenden Beispiel dargestellt. Aus diesem Grund wurde eine automatische Verteilungsoption nicht in den Operations Manager aufgenommen.

So identifiziert Operations Manager beispielsweise einen Computer anhand des Vorhandenseins eines Registrierungsschlüssels als Host von SQL Server 2014. Es ist möglich, denselben Registrierungsschlüssel auf einem Computer zu erstellen, auf dem keine Instanz von SQL Server 2014 ausgeführt wird. Wenn Operations Manager die Anmeldeinformationen automatisch an alle von Agenten verwalteten Computer verteilt, die als SQL Server 2014-Computer identifiziert wurden, werden die Anmeldeinformationen an den gefälschten SQL Server gesendet und sind für jemanden mit Administratorrechten auf diesem Server verfügbar.

Wenn Sie ein ausführendes Konto erstellen, werden Sie aufgefordert, auszuwählen, ob das ausführende Konto auf eine weniger sichere oder mehr sichere Weise behandelt werden soll. Sicherer bedeutet, dass Sie beim Zuordnen des ausführenden Kontos zu einem Ausführungsprofil die spezifischen Computernamen angeben müssen, an die die „Ausführen als“-Anmeldeinformationen verteilt werden sollen. Indem Sie die Zielcomputer eindeutig identifizieren, können Sie das zuvor beschriebene Spoofing-Szenario verhindern. Wenn Sie die weniger sichere Option wählen, müssen Sie keine bestimmten Computer angeben, und die Anmeldeinformationen werden an alle von Agenten verwalteten Computer verteilt.

Hinweis

Operations Manager führt Tests durch, um die „Ausführen als“-Anmeldeinformationen zu validieren, einschließlich der Frage, ob die Anmeldeinformationen verwendet werden können, um sich lokal auf dem Computer anzumelden. Wenn das Konto nicht die Berechtigung hat, sich lokal anzumelden, wird eine Warnmeldung erzeugt.

Nächste Schritte

• Wie Sie ein ausführendes Konto erstellen, ein vorhandenes ausführendes Konto ändern und ein Ausführungsprofil so konfigurieren, dass es ein ausführendes Konto verwendet, erfahren Sie in Wie Sie ein ausführendes Konto erstellen und mit einem Ausführungsprofil verknüpfen.