Dienst-, Benutzer- und Sicherheitskonten
Während des Setups und des täglichen Betriebs von Operations Manager werden Sie aufgefordert, Anmeldeinformationen für mehrere Konten anzugeben. Dieser Artikel enthält Informationen zu jedem dieser Konten, einschließlich SDK- und Config Service-, Agent-Installation, Data Warehouse Write- und Data Reader-Konten.
Hinweis
Die Operations Manager-Installation stellt alle erforderlichen SQL-Berechtigungen fest.
Wenn Sie Domänenkonten verwenden und Ihr Gruppenrichtlinienobjekt (Group Policy Object, GPO) die standardmäßige Richtlinie für den Kennwortablauf wie erforderlich festgelegt hat, müssen Sie entweder die Kennwörter für die Dienstkonten entsprechend dem Zeitplan ändern, Systemkonten verwenden oder die Konten so konfigurieren, dass die Kennwörter nie ablaufen.
Aktionskonten
In System Center Operations Manager führen Verwaltungsserver, Gatewayserver und Agents einen Prozess namens MonitoringHost.exe aus. MonitoringHost.exe wird verwendet, um Überwachungsaktivitäten auszuführen, z. B. das Ausführen eines Monitors oder das Ausführen einer Aufgabe. Die anderen Beispiele für die Aktionen, die MonitoringHost.exe ausführen, umfassen:
- Überwachen und Sammeln von Windows-Ereignisprotokolldaten
- Überwachen und Sammeln von Windows-Leistungsindikatorendaten
- Überwachen und Sammeln von WMI-Daten (Windows Management Instrumentation)
- Ausführen von Aktionen wie Skripts oder Batches
Das Konto, das ein MonitoringHost.exe Prozess ausgeführt wird, wie es als Aktionskonto bezeichnet wird. MonitoringHost.exe ist der Prozess, der diese Aktionen mithilfe der Anmeldeinformationen ausführt, die im Aktionskonto angegeben sind. Für jedes Konto wird eine neue Instanz von MonitoringHost.exe erstellt. Das Aktionskonto für den MonitoringHost.exe Prozess, der auf einem Agent ausgeführt wird, wird als Agent-Aktionskonto bezeichnet. Das vom MonitoringHost.exe Prozess auf einem Verwaltungsserver verwendete Aktionskonto wird als Verwaltungsserveraktionskonto bezeichnet. Das vom MonitoringHost.exe Prozess auf einem Gatewayserver verwendete Aktionskonto wird als Gatewayserveraktionskonto bezeichnet. Auf allen Verwaltungsservern in der Verwaltungsgruppe wird empfohlen, dem Konto lokale Administratorrechte zu gewähren, es sei denn, der Zugriff mit den geringsten Rechten ist von der IT-Sicherheitsrichtlinie Ihrer Organisation erforderlich.
Sofern keine Aktion einem Profil "Ausführen als" zugeordnet wurde, sind die Anmeldeinformationen, die zum Ausführen der Aktion verwendet werden, diejenigen, die Sie für das Aktionskonto definiert haben. Weitere Informationen zu "Als Konten ausführen" und "Als Profile ausführen" finden Sie im Abschnitt "Als Konten ausführen". Wenn ein Agent Aktionen entweder als Standardaktionskonto und/oder als Konto ausführen ausführt, wird für jedes Konto eine neue Instanz von MonitoringHost.exe erstellt.
Wenn Sie Operations Manager installieren, haben Sie die Möglichkeit, ein Domänenkonto anzugeben oder LocalSystem zu verwenden. Der sicherere Ansatz besteht darin, ein Domänenkonto anzugeben, mit dem Sie einen Benutzer mit den geringsten Berechtigungen auswählen können, die für Ihre Umgebung erforderlich sind.
Sie können ein Konto mit den geringsten Berechtigungen für das Aktionskonto des Agents verwenden. Auf Computern mit Windows Server 2008 R2 oder höher muss das Konto über die folgenden Mindestberechtigungen verfügen:
- Mitglied der lokalen Gruppe "Benutzer"
- Mitglied der lokalen gruppe Leistungsmonitor Benutzer
- Berechtigung „Lokale Anmeldung zulassen“ (SetInteractiveLogonRight; gilt nicht für Operations Manager 2019 und höher)
Hinweis
Die oben beschriebenen Mindestberechtigungen sind die niedrigsten Berechtigungen, die Operations Manager für das Aktionskonto unterstützt. Andere "Ausführen als"-Konten können niedrigere Berechtigungen haben. Die tatsächlichen Berechtigungen, die für das Aktionskonto und das Ausführen als Konten erforderlich sind, hängen davon ab, welche Management Packs auf dem Computer ausgeführt werden und wie sie konfiguriert werden. Weitere Informationen dazu, welche spezifischen Berechtigungen erforderlich sind, finden Sie im entsprechenden Management Pack-Handbuch.
Das für das Aktionskonto angegebene Domänenkonto kann entweder die Berechtigung "Anmelden als Dienst" (SeServiceLogonRight) oder "Anmelden als Batch" (SeBatchLogonRight) erteilt werden, wenn Ihre Sicherheitsrichtlinie nicht zulässt, dass einem Dienstkonto eine interaktive Anmeldesitzung erteilt wird, z. B. wenn die Smartcard-Authentifizierung erforderlich ist. Ändern Sie den Registrierungswert HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\System Center\Integritätsdienst:
Das domänenkonto, das für das Aktionskonto angegeben ist, wird mit der Berechtigung "Anmelden als Dienst" (SeServiceLogonRight) erteilt. Um den Anmeldetyp für den Integritätsdienst zu ändern, ändern Sie den Registrierungswert HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\System Center\Integritätsdienst:
- Name: Typ des Logon-Arbeitsprozesses
- Typ: REG_DWORD
- Werte: 4 (vier) – Anmeldung als Batch, 2 (zwei) – Lokale Anmeldung zulassen, 5 (fünf) – Anmeldung als Dienst. Der Standardwert ist 2.
- Werte: 4 (vier) – Anmeldung als Batch, 2 (zwei) – Lokale Anmeldung zulassen, 5 (fünf) – Anmeldung als Dienst. Der Standardwert ist 5.
Sie können die Einstellung auch zentral über die Gruppenrichtlinie verwalten, indem Sie die ADMX-Datei healthservice.admx von einem Verwaltungsserver oder von einem durch Agenten verwalteten System im Ordner C:\Windows\PolicyDefinitions kopieren und die Einstellung Überwachen des Anmeldetyps für Aktionskontos im Ordner Computer Configuration\Administrative Templates\System Center - Operations Manager konfigurieren. Weitere Informationen zum Arbeiten mit ADMX-Dateien für Gruppenrichtlinien finden Sie unter Verwalten von ADMX-Dateien für Gruppenrichtlinien.
System Center Configuration Service und System Center Data Access Service-Konto
Der System Center-Konfigurationsdienst und das System Center Data Access-Dienstkonto werden von den System Center Data Access- und System Center Management-Konfigurationsdiensten verwendet, um Informationen in der Betriebsdatenbank zu aktualisieren. Die für das Aktionskonto verwendeten Anmeldeinformationen werden der rolle sdk_user in der Betriebsdatenbank zugewiesen.
Das Konto sollte entweder ein Domänenbenutzer oder ein lokales System sein. Das für das SDK- und Config Service-Konto verwendete Konto sollte lokalen Administratorrechten auf allen Verwaltungsservern in der Verwaltungsgruppe gewährt werden. Die Verwendung des lokalen Benutzerkontos wird nicht unterstützt. Für erhöhte Sicherheit wird empfohlen, ein Domänenbenutzerkonto zu verwenden, und es handelt sich um ein anderes Konto als das Konto, das für das Verwaltungsserveraktionskonto verwendet wird. Das LocalSystem-Konto ist das höchste Berechtigungskonto auf einem Windows-Computer, sogar höher als der lokale Administrator. Wenn ein Dienst unter dem Kontext von LocalSystem ausgeführt wird, hat der Dienst die vollständige Kontrolle über die lokalen Ressourcen des Computers, und die Identität des Computers wird verwendet, wenn er authentifiziert und auf Remoteressourcen zugreift. Die Verwendung des LocalSystem-Kontos ist ein Sicherheitsrisiko, da das Prinzip der geringsten Rechte nicht berücksichtigt wird. Aufgrund der für die SQL Server-Instanz erforderlichen Rechte, die die Operations Manager-Datenbank hosten, ist ein Domänenkonto mit den geringsten Berechtigungen erforderlich, um Sicherheitsrisiken zu vermeiden, wenn der Verwaltungsserver in der Verwaltungsgruppe kompromittiert wird. Die Gründe sind:
- LocalSystem hat kein Kennwort.
- Es hat kein eigenes Profil
- Sie verfügt über umfangreiche Berechtigungen auf dem lokalen Computer.
- Er stellt die Anmeldeinformationen des Computers auf Remotecomputern dar.
Hinweis
Wenn die Operations Manager-Datenbank auf einem computer getrennt vom Verwaltungsserver installiert ist und "LocalSystem" für das Datenzugriffs- und Konfigurationsdienstkonto ausgewählt ist, wird dem Computerkonto für den Verwaltungsservercomputer die sdk_user Rolle auf dem Operations Manager-Datenbankcomputer zugewiesen.
Weitere Informationen finden Sie unter LocalSystem.
Data Warehouse Write Account
Das Data Warehouse Write-Konto ist das Konto, das zum Schreiben von Daten vom Verwaltungsserver in das Reporting Data Warehouse verwendet wird, und es liest Daten aus der Operations Manager-Datenbank. In der folgenden Tabelle werden die Rollen und Mitgliedschaften beschrieben, die während des Setups dem Domänenbenutzerkonto zugewiesen sind.
| Application | Datenbank/Rolle | Rolle/Konto |
|---|---|---|
| Microsoft SQL Server | OperationsManager | db_datareader |
| Microsoft SQL Server | OperationsManager | dwsync_user |
| Microsoft SQL Server | OperationsManagerDW | OpsMgrWriter |
| Microsoft SQL Server | OperationsManagerDW | db_owner |
| Operations Manager | Benutzerrolle | Operations Manager- Berichtssicherheitsadministratoren |
| Operations Manager | Run As-Konto | Data Warehouse Action-Konto |
| Operations Manager | Run As-Konto | Data Warehouse-Konfigurationssynchronisierungsleserkonto |
Datenlesekonto
Das Datenlesekonto wird verwendet, um Berichte bereitzustellen, zu definieren, welchen Benutzer sql Server Reporting Services zum Ausführen von Abfragen für das Reporting Data Warehouse verwendet, und das SQL Reporting Services-Konto zum Herstellen einer Verbindung mit dem Verwaltungsserver definieren. Dieses Domänenbenutzerkonto wird dem Benutzerprofil des Berichtsadministrators hinzugefügt. In der folgenden Tabelle werden die Rollen und Mitgliedschaften beschrieben, die während des Setups dem Konto zugewiesen sind.
| Application | Datenbank/Rolle | Rolle/Konto |
|---|---|---|
| Microsoft SQL Server | Reporting Services-Installationsinstanz | Berichtsserverausführungskonto |
| Microsoft SQL Server | OperationsManagerDW | OpsMgrReader |
| Operations Manager | Benutzerrolle | Operations Manager-Berichtsoperatoren |
| Operations Manager | Benutzerrolle | Operations Manager- Berichtssicherheitsadministratoren |
| Operations Manager | Run As-Konto | Data Warehouse-Berichtsbereitstellungskonto |
| Windows-Dienst | SQL Server Reporting Services | Anmeldekonto |
Vergewissern Sie sich, dass dem Konto, das Sie für das Datenlesekonto verwenden möchten, das Anmelde-as-Service (für 2019 und höher) oder "Lokal anmelden" (für eine frühere Version) gewährt wird, für jeden Verwaltungsserver und den SQL Server, der die Reporting Server-Rolle hosten soll.
Agent-Installationskonto
Bei der Ermittlungsbasierten Agentbereitstellung ist ein Konto mit Administratorrechten auf den Computern erforderlich, die für die Agentinstallation bestimmt sind. Das Verwaltungsserveraktionskonto ist das Standardkonto für die Agentinstallation. Wenn das Verwaltungsserveraktionskonto nicht über Administratorrechte verfügt, muss der Betreiber ein Benutzerkonto und ein Kennwort mit Administratorrechten auf den Zielcomputern bereitstellen. Dieses Konto wird vor der Verwendung verschlüsselt und dann verworfen.
Benachrichtigungsaktionskonto
Das Benachrichtigungsaktionskonto ist das Konto, das zum Erstellen und Senden von Benachrichtigungen verwendet wird. Diese Anmeldeinformationen müssen über ausreichende Rechte für den SMTP-Server, den Instant Messaging-Server oder den SIP-Server verfügen, der für Benachrichtigungen verwendet wird.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für