Freigeben über


Dienst-, Benutzer‑ und Sicherheitskonten

Während des Setups und des täglichen Betriebs von Operations Manager werden Sie aufgefordert, Anmeldeinformationen für mehrere Konten anzugeben. Dieser Artikel enthält Informationen zu jedem dieser Konten, einschließlich SDK und Config Service‑, Agent Installation, Data Warehouse Write‑ und Data Reader-Konten.

Hinweis

Die Operations Manager-Installation stellt alle erforderlichen SQL-Berechtigungen bereit.

Wenn Sie Domänenkonten verwenden und für das Gruppenrichtlinienobjekt (GPO) Ihrer Domäne die standardmäßige Kennwortablaufrichtlinie wie erforderlich festgelegt ist, müssen Sie entweder die Kennwörter für die Dienstkonten gemäß dem Zeitplan ändern, Systemkonten verwenden oder die Konten so konfigurieren, dass die Kennwörter nie ablaufen.

Aktionskonten

In System Center Operations Manager führen Verwaltungsserver, Gatewayserver und Agents einen Prozess namens „MonitoringHost“.exe aus. „MonitoringHost.exe“ wird verwendet, um Überwachungsaktivitäten auszuführen, wie etwa das Ausführen einer Überwachung oder einer Aufgabe. Die anderen Beispiele für die Aktionen, die „MonitoringHost.exe“ ausführt, umfassen:

  • Überwachen und Sammeln von Windows-Ereignisprotokolldaten
  • Überwachen und Sammeln von Leistungsindikatordaten
  • Überwachen und Sammeln von Windows Management Instrumentation-Daten (WMI)
  • Ausführen von Aktionen wie Skripts oder Batches

Das Konto, als das ein MonitoringHost.exe-Prozess ausgeführt wird, wird als Aktionskonto bezeichnet. „MonitoringHost.exe“ ist der Prozess, der diese Aktionen mithilfe der Anmeldeinformationen ausführt, die im Aktionskonto angegeben sind. Für jedes Konto wird eine neue Instanz von „MonitoringHost.exe“ erstellt. Das Aktionskonto für den MonitoringHost.exe-Prozess, der auf einem Agent ausgeführt wird, wird als Agent-Aktionskonto bezeichnet. Das vom MonitoringHost.exe-Prozess auf einem Verwaltungsserver verwendete Aktionskonto wird als Verwaltungsserver-Aktionskonto bezeichnet. Das vom MonitoringHost.exe-Prozess auf einem Gatewayserver verwendete Aktionskonto wird als Gatewayserver-Aktionskonto bezeichnet. Wir empfehlen, dass Sie dem Konto auf allen Verwaltungsservern in der Verwaltungsgruppe lokale Administratorrechte gewähren, es sei denn, die IT-Sicherheitsrichtlinie Ihrer Organisation erfordert den Zugriff mit den geringsten Rechten.

Sofern keine Aktion einem ausführenden Profil zugeordnet wurde, sind die Anmeldeinformationen, die zum Ausführen der Aktion verwendet werden, die, die Sie für das Aktionskonto definiert haben. Weitere Informationen zu ausführenden Konten und ausführenden Profilen finden Sie im Abschnitt Ausführende Konten. Wenn ein Agent Aktionen entweder als Standard-Aktionskonto und/oder als ausführendes Konto ausführt, wird für jedes Konto eine neue Instanz von „MonitoringHost.exe“ erstellt.

Wenn Sie Operations Manager installieren, können Sie ein Domänenkonto angeben oder LocalSystem verwenden. Der sicherere Ansatz besteht darin, ein Domänenkonto anzugeben, mit dem Sie eine benutzende Person mit den geringsten für Ihre Umgebung erforderlichen Rechten auswählen können.

Sie können ein Konto mit geringsten Rechten für das Aktionskonto des Agenten verwenden. Auf Computern mit Windows Server 2008 R2 oder höher muss das Konto mindestens über die folgenden Rechte verfügen:

  • Mitglied der lokalen Benutzendengruppe
  • Mitglied der lokalen Systemmonitor-Benutzendengruppe
  • Berechtigung „Lokale Anmeldung zulassen“ (SetInteractiveLogonRight; gilt nicht für Operations Manager 2019 und höher)

Hinweis

Die oben beschriebenen Mindestrechte sind die niedrigsten Rechte, die Operations Manager für das Aktionskonto unterstützt. Andere ausführende Konten können niedrigere Rechte haben. Die tatsächlichen Berechtigungen, die für das Aktionskonto und das ausführende Konto erforderlich sind, hängen davon ab, welche Management Packs auf dem Computer ausgeführt und wie sie konfiguriert werden. Weitere Informationen dazu, welche spezifischen Rechte erforderlich sind, finden Sie im entsprechenden Management Pack-Leitfaden.

Dem für das Aktionskonto angegebenen Domänenkonto kann entweder die Berechtigung „Anmelden als Dienst“ (SeServiceLogonRight) oder „Anmelden als Batch“ (SeBatchLogonRight) erteilt werden, wenn Ihre Sicherheitsrichtlinie die Erteilung einer interaktiven Anmeldesitzung für ein Dienstkonto nicht zulässt, beispielsweise wenn eine Smartcard-Authentifizierung erforderlich ist. Ändern Sie den Registrierungswert „HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\System Center\Health Service“:

Das Domänenkonto, das für das Aktionskonto angegeben ist, wird mit der Berechtigung „Anmelden als Dienst“ (SeServiceLogonRight) erteilt. Um den Anmeldetyp für den Integritätsdienst zu ändern, ändern Sie den Registrierungswert HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\System Center\Health Service:

  • Name: Typ des Logon-Arbeitsprozesses
  • Typ: REG_DWORD
  • Werte: 4 (vier) – Anmeldung als Batch, 2 (zwei) – Lokale Anmeldung zulassen, 5 (fünf) – Anmeldung als Dienst. Der Standardwert ist 2.
  • Werte: 4 (vier) – Anmeldung als Batch, 2 (zwei) – Lokale Anmeldung zulassen, 5 (fünf) – Anmeldung als Dienst. Der Standardwert ist 5.

Sie können die Einstellung auch zentral über die Gruppenrichtlinie verwalten, indem Sie die ADMX-Datei healthservice.admx von einem Verwaltungsserver oder von einem durch Agenten verwalteten System im Ordner C:\Windows\PolicyDefinitions kopieren und die Einstellung Überwachen des Anmeldetyps für Aktionskontos im Ordner Computer Configuration\Administrative Templates\System Center - Operations Manager konfigurieren. Weitere Informationen zum Arbeiten mit ADMX-Dateien für Gruppenrichtlinien finden Sie unter Verwalten von ADMX-Dateien für Gruppenrichtlinien.

System Center-Konfigurationsdienst- und System Center-Datenzugriffsdienst-Konto

Das System Center-Konfigurationsdienstkonto und das System Center-Datenzugriffsdienstkonto werden von den System Center-Datenzugriffs- und System Center-Verwaltungskonfigurationsdiensten verwendet, um Informationen in der Betriebsdatenbank zu aktualisieren. Die für das Aktionskonto verwendeten Anmeldeinformationen werden der Rolle „sdk_user“ in der operativen Datenbank zugewiesen.

Das Konto sollte entweder ein Domänenbenutzer oder LocalSystem sein. Dem für das SDK- und das Konfigurationsdienstkonto verwendeten Konto sollten lokale Administratorrechte auf allen Verwaltungsservern in der Verwaltungsgruppe gewährt werden. Die Verwendung des lokalen Benutzerkontos wird nicht unterstützt. Für eine erhöhte Sicherheit empfehlen wir Ihnen, ein Domänenbenutzerkonto zu verwenden, das sich von dem für das Aktionskonto des Verwaltungsservers verwendeten Konto unterscheidet. Das LocalSystem-Konto ist das Konto mit den höchsten Berechtigungen auf einem Windows-Computer, sogar höher als das des lokalen Administrierenden. Wenn ein Dienst im Kontext von LocalSystem ausgeführt wird, hat der Dienst die vollständige Kontrolle über die lokalen Ressourcen des Computers und die Identität des Computers wird bei der Authentifizierung und beim Zugriff auf Remoteressourcen verwendet. Die Verwendung des LocalSystem-Kontos stellt ein Sicherheitsrisiko dar, da es nicht dem Prinzip der geringsten Rechte entspricht. Aufgrund der erforderlichen Rechte für die SQL Server-Instanz, die die Operations Manager-Datenbank hostet, ist ein Domänenkonto mit den geringsten Berechtigungen erforderlich, um Sicherheitsrisiken zu vermeiden, wenn der Verwaltungsserver in der Verwaltungsgruppe kompromittiert wird. Die Gründe dafür sind:

  • LocalSystem hat kein Kennwort.
  • Es hat kein eigenes Profil.
  • Es verfügt über umfangreiche Berechtigungen auf dem lokalen Computer.
  • Es präsentiert die Anmeldeinformationen des Computers für Remotecomputer.

Hinweis

Wenn die Operations Manager-Datenbank auf einem Computer installiert ist, der vom Verwaltungsserver getrennt ist, und LocalSystem für das Datenzugriffs- und Konfigurationsdienstkonto ausgewählt ist, wird dem Computerkonto für den Verwaltungsservercomputer die sdk_user-Rolle auf dem Operations Manager-Datenbankcomputer zugewiesen.

Weitere Informationen finden Sie unter Über LocalSystem.

Data Warehouse-Schreibzugriffskonto

Das Data Warehouse-Schreibzugriffskonto ist das Konto, das zum Schreiben von Daten vom Verwaltungsserver im Reporting-Data Warehouse verwendet wird, und es liest Daten aus der Operations Manager-Datenbank. In der folgenden Tabelle werden die Rollen und Mitgliedschaften beschrieben, die während des Setups dem Domänenbenutzerkonto zugewiesen sind.

Application Datenbank/Rolle Rolle/Konto
Microsoft SQL Server OperationsManager db_datareader
Microsoft SQL Server OperationsManager dwsync_user
Microsoft SQL Server OperationsManagerDW OpsMgrWriter
Microsoft SQL Server OperationsManagerDW db_owner
Operations Manager Benutzerrolle Operations Manager-Berichtssicherheitsadmins
Operations Manager Run As-Konto Data Warehouse-Aktionskonto
Operations Manager Run As-Konto Data Warehouse-Konfigurationssynchronisierungs-Readerkonto

Data-Readerkonto

Das Data-Readerkonto wird verwendet, um Berichte bereitzustellen, zu definieren, welche Benutzenden die SQL Server Reporting Services zur Ausführung von Abfragen im Reporting Data Warehouse verwenden, und um das SQL Reporting Services-Konto für die Verbindung mit dem Verwaltungsserver zu definieren. Dieses Domänenbenutzerkonto wird dem Berichtsadmin-Benutzerprofil hinzugefügt. In der folgenden Tabelle werden die Rollen und die Mitgliedschaft beschrieben, die dem Konto während des Setups zugewiesen werden.

Application Datenbank/Rolle Rolle/Konto
Microsoft SQL Server Reporting Services-Installationsinstanz Berichtsserver-Ausführungskonto
Microsoft SQL Server OperationsManagerDW OpsMgrReader
Operations Manager Benutzerrolle Operations Manager-Berichtsoperatoren
Operations Manager Benutzerrolle Operations Manager-Berichtssicherheitsadmins
Operations Manager Run As-Konto Data Warehouse-Berichtsbereitstellungskonto
Windows-Dienst SQL Server Reporting Services Anmeldekonto

Vergewissern Sie sich, dass dem Konto, das Sie für das Datenlesekonto verwenden möchten, das Recht „Anmelden als Dienst“ (für 2019 und später) oder „Anmelden als Dienst und lokale Anmeldung zulassen“ (für frühere Versionen) für jeden Verwaltungsserver und den SQL Server, der die Berichtsserver-Rolle hostet, erteilt wurde.

Agent-Installationskonto

Wenn Sie eine auf einer Ermittlung basierende Agentbereitstellung durchführen, ist ein Konto mit Administratorrechten auf den Computern erforderlich, auf denen die Agents installiert werden sollen. Das Verwaltungsserveraktionskonto ist das Standardkonto für die Agentinstallation. Wenn das Verwaltungsserveraktionskonto nicht über Administratorrechte verfügt, muss der Betreibende ein Benutzerkonto und ein Kennwort mit Administratorrechten auf den Zielcomputern bereitstellen. Dieses Konto wird vor der Verwendung verschlüsselt und dann verworfen.

Benachrichtigungsaktionskonto

Das Benachrichtigungsaktionskonto ist das Konto, das zum Erstellen und Senden von Benachrichtigungen verwendet wird. Diese Anmeldeinformationen müssen über ausreichende Rechte für den SMTP-Server, den Chatserver oder den SIP-Server verfügen, der für Benachrichtigungen verwendet wird.