Dienst-, Benutzer- und Sicherheitskonten

Wichtig

Diese Version von Operations Manager hat das Ende des Supports erreicht. Es wird empfohlen, ein Upgrade auf Operations Manager 2022 durchzuführen.

Während der Einrichtung und des täglichen Betriebs von Operations Manager werden Sie aufgefordert, Anmeldeinformationen für mehrere Konten anzugeben. Dieser Artikel enthält Informationen über jedes dieser Konten, einschließlich der Konten für SDK und Konfigurationsdienst, Agent-Installation, Data Warehouse-Schreibvorgänge und Datenleser.

Hinweis

Bei der Installation von Operations Manager werden alle erforderlichen SQL-Berechtigungen erteilt.

Wenn Sie Domänenkonten verwenden und für Ihre Domäne Gruppenrichtlinie Object (GPO) die Standardkennwortablaufrichtlinie wie erforderlich festgelegt ist, müssen Sie entweder die Kennwörter für die Dienstkonten gemäß dem Zeitplan ändern, Systemkonten verwenden oder die Konten so konfigurieren, dass die Kennwörter nie ablaufen.

Aktionskonten

In System Center Operations Manager führen alle Verwaltungsserver, Gatewayserver und Agents einen Prozess namens „MonitoringHost.exe“ aus, der für Überwachungsaktivitäten wie das Ausführen eines Monitors oder eines Tasks verwendet wird. Die anderen Beispiele für die Aktionen, die MonitoringHost.exe ausführen, sind:

  • Überwachen und Sammeln von Windows-Ereignisprotokolldaten
  • Überwachen und Sammeln von Windows-Leistungsindikatordaten
  • Überwachen und Sammeln von WMI-Daten
  • Ausführen von Aktionen wie Skripts oder Batches

Das Konto, mit dem der Prozess MonitoringHost.exe ausgeführt wird, wird als das Aktionskonto bezeichnet. Diese Aktionen werden vom Prozess „MonitoringHost.exe“ unter Verwendung der im Aktionskonto angegebenen Anmeldeinformationen ausgeführt. Für jedes Konto wird eine neue Instanz von MonitoringHost.exe erstellt. Das Aktionskonto für den Prozess „MonitoringHost.exe“, der auf einem Agent ausgeführt wird, wird als Agent-Aktionskonto bezeichnet. Das Aktionskonto, das vom Prozess „MonitoringHost.exe“ auf einem Verwaltungsserver verwendet wird, wird als Verwaltungsserver-Aktionskonto bezeichnet. Das Aktionskonto, das vom Prozess „MonitoringHost.exe“ auf einem Gatewayserver verwendet wird, wird als Gatewayserver-Aktionskonto bezeichnet. Auf allen Verwaltungsservern in der Verwaltungsgruppe wird empfohlen, dem Konto lokale Administratorrechte zu gewähren, es sei denn, die IT-Sicherheitsrichtlinie Ihrer Organisation erfordert den Zugriff mit den geringsten Berechtigungen.

Es sei denn, eine Aktion wurde einem ausführenden Profil zugeordnet, sind die Anmeldeinformationen, die zum Ausführen der Aktion verwendet werden, diejenigen, die Sie für das Aktionskonto definiert haben. Weitere Informationen zu ausführenden Konten und Profilen finden Sie unter Ausführende Konten. Wenn ein Agent Aktionen als Standardaktionskonto und/oder als ausführendes Konto ausführt, wird für jedes Konto eine neue Instanz von „MonitoringHost.exe“ erstellt.

Bei der Installation von Operations Manager haben Sie die Möglichkeit, ein Domänenkonto festzulegen oder sich für die Verwendung des lokalen Systems zu entscheiden. Sicherer ist die Verwendung eines Domänenkontos, mit dem Sie einen Benutzer auswählen können, der nur über die nötigsten Berechtigungen für Ihre Umgebung verfügt.

Sie können ein Konto mit den geringsten Rechten für das Aktionskonto des Agents verwenden. Auf Computern unter Windows Server 2008 R2 oder höher muss das Konto über folgende Mindestberechtigungen verfügen:

  • Mitgliedschaft in der lokalen Benutzergruppe
  • Mitgliedschaft in der lokalen Gruppe der Leistungsmonitorbenutzer
  • Berechtigung „Lokale Anmeldung zulassen“ (SetInteractiveLogonRight; gilt nicht für Operations Manager 2019 und höher)

Hinweis

Bei den oben beschriebenen Mindestberechtigungen handelt es sich um die niedrigsten erforderlichen Berechtigungen, die von Operations Manager für das Aktionskonto unterstützt werden. Andere Ausführungen als Konten können niedrigere Berechtigungen haben. Welche Berechtigungen für das Aktionskonto und die ausführenden Konten erforderlich sind, hängt davon ab, welche Management Packs auf dem Computer ausgeführt werden und wie sie konfiguriert werden. Weitere Informationen zu den jeweils erforderlichen Berechtigungen finden Sie im Handbuch des entsprechenden Management Packs.

Dem Domänenkonto, das für das Aktionskonto angegeben ist, kann entweder die Berechtigung Log on as a Service (SeServiceLogonRight) oder Log on as Batch (SeBatchLogonRight) erteilt werden, wenn Ihre Sicherheitsrichtlinie es nicht zulässt, dass einem Dienstkonto eine interaktive Anmeldesitzung gewährt wird, z. B. wenn smartcardauthentifizierung erforderlich ist. Ändern Sie den Registrierungswert unter HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\System Center\Health Service:

Dem für das Aktionskonto angegebenen Domänenkonto wird die Berechtigung zur Anmeldung als Dienst (SeServiceLogonRight) gewährt. Wenn Sie den Anmeldetyp für den Integritätsdienst ändern möchten, passen Sie den Registrierungswert unter HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\System Center\Health Service an:

  • Name: Typ des Logon-Arbeitsprozesses
  • Typ: REG_DWORD
  • Werte: 4 (vier) – Anmeldung als Batch, 2 (zwei) – Lokale Anmeldung zulassen, 5 (fünf) – Anmeldung als Dienst. Der Standardwert ist 2.
  • Werte: 4 (vier) – Anmeldung als Batch, 2 (zwei) – Lokale Anmeldung zulassen, 5 (fünf) – Anmeldung als Dienst. Der Standardwert ist 5.

Sie können die Einstellung auch zentral über die Gruppenrichtlinie verwalten, indem Sie die ADMX-Datei healthservice.admx von einem Verwaltungsserver oder von einem durch Agenten verwalteten System im Ordner C:\Windows\PolicyDefinitions kopieren und die Einstellung healthservice.admx im Ordner Computer Configuration\Administrative Templates\System Center - Operations Manager konfigurieren. Weitere Informationen zum Arbeiten mit den ADMX-Gruppenrichtliniendateien finden Sie unter Verwalten von ADMX-Gruppenrichtliniendateien.

Konto für System Center-Konfigurationsdienst und System Center-Datenzugriffsdienst

Das System Center-Konfigurationsdienst- und System Center-Datenzugriffsdienstkonto wird vom System Center-Datenzugriffsdienst und vom System Center-Verwaltungskonfigurationsdienst verwendet, um Informationen in der Betriebsdatenbank zu aktualisieren. Die für das Aktionskonto verwendeten Anmeldeinformationen werden der Rolle „sdk_user“ in der Betriebsdatenbank zugewiesen.

Bei dem Konto sollte es sich entweder um einen Domänenbenutzer oder um das lokale System handeln. Dem SDK- und Konfigurationsdienstkonto müssen auf allen Verwaltungsservern in der Verwaltungsgruppe lokale Administratorrechte gewährt werden. Die Verwendung des lokalen Benutzerkontos wird nicht unterstützt. Um die Sicherheit zu erhöhen, wird empfohlen, ein Domänenbenutzerkonto zu verwenden, das sich von dem konto unterscheidet, das für das Verwaltungsserveraktionskonto verwendet wird. Ein LocalSystem-Konto ist das Konto mit den höchsten Rechten auf einem Windows-Computer, die Privilegien sind sogar noch höher als für den lokalen Administrator. Wenn ein Dienst im Kontext von LocalSystem ausgeführt wird, hat der Dienst die volle Kontrolle über die lokalen Ressourcen des Computers, und die Identität des Computers wird verwendet, wenn er sich bei Remoteressourcen authentifiziert und darauf zugreift. Die Verwendung des LocalSystem-Kontos ist ein Sicherheitsrisiko, da das Prinzip der geringsten Rechte nicht berücksichtigt wird. Aufgrund der erforderlichen Rechte in der SQL Server-Instanz, die die Operations Manager-Datenbank hostet, ist ein Domänenkonto mit den geringsten Berechtigungen erforderlich, um jedes Sicherheitsrisiko zu vermeiden, wenn der Verwaltungsserver in der Verwaltungsgruppe gefährdet ist. Die Gründe sind:

  • Ein LocalSystem-Konto hat kein Kennwort.
  • Es verfügt nicht über ein eigenes Profil.
  • Es besitzt umfangreiche Berechtigungen auf dem lokalen Computer.
  • Es stellt die Anmeldeinformationen des Computers für Remotecomputer bereit.

Hinweis

Wenn die Operations Manager-Datenbank auf einem Computer installiert ist, der vom Verwaltungsserver getrennt ist, und für das Datenzugriffs- und das Konfigurationsdienstkonto die Option „Lokales System“ ausgewählt ist, wird dem Computerkonto des Verwaltungsservercomputers auf dem Computer mit der Operations Manager-Datenbank die Rolle „sdk_user“ zugewiesen.

Weitere Informationen finden Sie unter LocalSystem.

Data Warehouse-Konto für Schreibvorgänge

Mit dem Konto für Data Warehouse-Schreibvorgänge werden Daten vom Verwaltungsserver in das Reporting-Data Warehouse geschrieben und Daten aus der Operations Manager-Datenbank gelesen. Die folgende Tabelle beschreibt die Rollen und Mitgliedschaften, die dem Domänenbenutzerkonto während des Setups zugewiesen werden.

Application Datenbank/Rolle Rolle/Konto
Microsoft SQL Server OperationsManager db_datareader
Microsoft SQL Server OperationsManager dwsync_user
Microsoft SQL Server OperationsManagerDW OpsMgrWriter
Microsoft SQL Server OperationsManagerDW db_owner
Operations Manager Benutzerrolle Administratoren für die Sicherheit von Operations Manager-Berichten
Operations Manager Ausführendes Konto Data Warehouse-Aktionskonto
Operations Manager Ausführendes Konto Lesekonto für die Synchronisierung der Data Warehouse-Konfiguration

Datenlesekonto

Das Datenlesekonto wird verwendet, um Berichte bereitzustellen und um zu definieren, welcher Benutzer von SQL Server Reporting Services zum Ausführen von Abfragen für das Reporting-Data Warehouse genutzt wird. Zudem wird mit diesem Konto das SQL Server Reporting Services-Konto definiert, das zum Herstellen der Verbindung mit dem Verwaltungsserver verwendet wird. Dieses Domänenbenutzerkonto wird dem Benutzerprofil des Berichtsadministrators hinzugefügt. Die folgende Tabelle beschreibt die Rollen und Mitgliedschaften, die dem Konto während des Setups zugewiesen werden.

Application Datenbank/Rolle Rolle/Konto
Microsoft SQL Server Reporting Services-Installationsinstanz Berichtsserver-Ausführungskonto
Microsoft SQL Server OperationsManagerDW OpsMgrReader
Operations Manager Benutzerrolle Operations Manager-Bericht-Operatoren
Operations Manager Benutzerrolle Administratoren für die Sicherheit von Operations Manager-Berichten
Operations Manager Ausführendes Konto Konto für die Data Warehouse-Berichtbereitstellung
Windows-Dienst SQL Server Reporting Services Anmeldekonto

Stellen Sie sicher, dass das Konto, das Sie als Datenlesekonto verwenden möchten, über die Rechte „Anmeldung als Dienst“ (für 2019 und höhere Versionen) bzw. „Anmeldung als Dienst“ und „Lokale Anmeldung zulassen“ (für ältere Versionen) für jeden Verwaltungsserver und die SQL Server-Instanz mit der Rolle „Berichtsserver“ verfügt.

Agent-Installationskonto

In einer ermittlungsbasierten Bereitstellung ist ein Konto mit Administratorrechten für die Computer erforderlich, die als Zielcomputer für die Agent-Installation dienen. Das Verwaltungsserver-Aktionskonto ist das Standardkonto für die Agentinstallation. Wenn das Verwaltungsserveraktionskonto nicht über Administratorrechte verfügt, muss der Operator ein Benutzerkonto und ein Kennwort mit Administratorrechten auf den Zielcomputern bereitstellen. Dieses Konto wird vor der Verwendung verschlüsselt und anschließend verworfen.

Konto für Benachrichtigungsaktionen

Das Konto für Benachrichtigungsaktionen wird zum Erstellen und Senden von Benachrichtigungen verwendet. Die für dieses Konto verwendeten Anmeldeinformationen müssen über ausreichende Berechtigungen für den SMTP-Server, den Instant Messaging-Server bzw. den SIP-Server verfügen, den Sie für Benachrichtigungen verwenden.