Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Während der Einrichtung und des täglichen Betriebs von Operations Manager werden Sie aufgefordert, Anmeldeinformationen für mehrere Konten bereitzustellen. Dieser Artikel bietet Informationen zu jedem dieser Konten, einschließlich des SDK und Config Service, der Agenteninstallation, des Rechenzentrums-Schreib- und der Rechenzentrums-Lesekonten.
Hinweis
Die Installation des Operations Manager gewährt alle erforderlichen SQL-Berechtigungen.
Wenn Sie Domänenkonten verwenden und Ihr Domänen-Gruppenrichtlinienobjekt (GPO) die standardmäßige Kennwortablaufrichtlinie als erforderlich festgelegt hat, müssen Sie entweder die Kennwörter der Dienstkonten gemäß dem Zeitplan ändern, Systemkonten verwenden oder die Konten so konfigurieren, dass die Kennwörter nie ablaufen.
Aktionskonten
In System Center Operations Manager führen Verwaltungsserver, Gatewayserver und Agents alle einen Prozess namens MonitoringHost.exe aus. MonitoringHost.exe wird verwendet, um Überwachungsaktivitäten wie das Ausführen eines Monitors oder das Ausführen einer Aufgabe durchzuführen. Weitere Beispiele für die Aktionen, die MonitoringHost.exe ausführt, umfassen:
- Überwachen und Sammeln von Windows-Ereignisprotokolldaten
- Überwachen und Sammeln von Windows-Leistungsindikatordaten
- Überwachen und Sammeln von Windows Management Instrumentation (WMI)-Daten
- Ausführen von Aktionen wie Skripten oder Batches
Das Konto, unter dem ein MonitoringHost.exe-Prozess ausgeführt wird, wird als Aktionskonto bezeichnet. MonitoringHost.exe ist der Prozess, der diese Aktionen mit den im Aktionskonto angegebenen Anmeldeinformationen ausführt. Für jedes Konto wird eine neue Instanz von MonitoringHost.exe erstellt. Das Aktionskonto für den Prozess MonitoringHost.exe, der auf einem Agenten ausgeführt wird, wird als Agentenaktionskonto bezeichnet. Das Aktionskonto, das vom Prozess MonitoringHost.exe auf einem Verwaltungsserver verwendet wird, wird als Management Server Action-Konto bezeichnet. Das Aktionskonto, das vom Prozess MonitoringHost.exe auf einem Gateway-Server verwendet wird, wird als Gateway-Server-Aktionskonto bezeichnet. Wir empfehlen, dass Sie dem Konto auf allen Verwaltungsservern in der Verwaltungsgruppe lokale Administratorrechte gewähren, es sei denn, die IT-Sicherheitsrichtlinie Ihrer Organisation erfordert einen minimalen Zugriff.
Sofern keine Aktion mit einem Run As-Profil verknüpft wurde, werden die Anmeldeinformationen, die zur Durchführung der Aktion verwendet werden, diejenigen sein, die Sie für das Aktionskonto definiert haben. Weitere Informationen zu Run As-Konten und Run As-Profilen finden Sie im Abschnitt Run As-Konten. Wenn ein Agent Aktionen entweder als Standardaktionskonto und/oder als Run As-Konto ausführt, wird für jedes Konto eine neue Instanz von MonitoringHost.exe erstellt.
Wenn Sie den Operations Manager installieren, haben Sie die Möglichkeit, ein Domänenkonto anzugeben oder LocalSystem zu verwenden. Der sicherere Ansatz besteht darin, ein Domänenkonto anzugeben, das es Ihnen ermöglicht, einen Benutzer mit den geringstmöglichen erforderlichen Berechtigungen für Ihre Umgebung auszuwählen.
Sie können ein Konto mit minimalen Rechten für das Aktionskonto des Agenten verwenden. Auf Computern mit Windows Server 2008 R2 oder höher muss das Konto über die folgenden Mindestberechtigungen verfügen:
- Mitglied der lokalen Benutzergruppe
- Mitglied der lokalen Performance Monitor-Benutzergruppe
- Berechtigung „Lokale Anmeldung zulassen“ (SetInteractiveLogonRight; gilt nicht für Operations Manager 2019 und höher)
Hinweis
Die oben beschriebenen Mindestberechtigungen sind die niedrigsten Berechtigungen, die der Operations Manager für das Aktionskonto unterstützt. Andere Run As-Konten können niedrigere Berechtigungen haben. Die tatsächlich erforderlichen Berechtigungen für das Aktionskonto und die Run-As-Konten hängen davon ab, welche Management Packs auf dem Computer ausgeführt werden und wie sie konfiguriert sind. Weitere Informationen darüber, welche spezifischen Berechtigungen erforderlich sind, finden Sie im entsprechenden Management Pack-Leitfaden.
Das für das Aktionskonto angegebene Domänenkonto kann entweder mit der Berechtigung „Als Dienst anmelden“ (SeServiceLogonRight) oder „Als Stapelverarbeitung anmelden“ (SeBatchLogonRight) ausgestattet werden, wenn Ihre Sicherheitsrichtlinie es nicht erlaubt, einem Dienstkonto eine interaktive Anmeldungssitzung zu gewähren, wie zum Beispiel, wenn eine Smartcard-Authentifizierung erforderlich ist. Ändern Sie den Registrierungswert HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\System Center\Health Service
Dem für das Aktionskonto angegebenen Domänenkonto wird die Berechtigung „Als Dienst anmelden“ (SeServiceLogonRight) erteilt. Um den Anmeldetyp für den Health Service zu ändern, ändern Sie den Registrierungswert HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\System Center\Health Service:
- Name: Typ des Logon-Arbeitsprozesses
- Typ: REG_DWORD
- Werte: 4 (vier) – Anmeldung als Batch, 2 (zwei) – Lokale Anmeldung zulassen, 5 (fünf) – Anmeldung als Dienst. Standardwert ist 2.
- Werte: 4 (vier) – Anmeldung als Batch, 2 (zwei) – Lokale Anmeldung zulassen, 5 (fünf) – Anmeldung als Dienst. Standardwert ist 5.
Sie können die Einstellung auch zentral über die Gruppenrichtlinie verwalten, indem Sie die ADMX-Datei healthservice.admx von einem Verwaltungsserver oder von einem durch Agenten verwalteten System im Ordner C:\Windows\PolicyDefinitions kopieren und die Einstellung Überwachen des Anmeldetyps für Aktionskontos im Ordner Computer Configuration\Administrative Templates\System Center - Operations Manager konfigurieren. Weitere Informationen zur Arbeit mit Gruppenrichtlinien-ADMX-Dateien finden Sie unter Verwalten von Gruppenrichtlinien-ADMX-Dateien.
System Center Konfigurationsdienst und System Center Datenzugriffsdienstkonto
Das System Center Configuration-Dienstkonto und das System Center Data Access-Dienstkonto werden von den System Center Data Access- und System Center Management Configuration-Diensten verwendet, um Informationen in der Betriebsdatenbank zu aktualisieren. Die für das Aktionskonto verwendeten Anmeldeinformationen werden der Rolle sdk_user in der operativen Datenbank zugewiesen.
Das Konto sollte entweder ein Domänenbenutzer oder LocalSystem sein. Dem für das SDK und den Config-Dienst verwendeten Konto sollten lokale Administratorrechte auf allen Verwaltungsservern in der Verwaltungsgruppe gewährt werden. Die Verwendung eines lokalen Benutzerkontos wird nicht unterstützt. Für erhöhte Sicherheit empfehlen wir, ein Domänenbenutzerkonto zu verwenden, das sich von dem für das Management Server Action-Konto verwendeten Konto unterscheidet. Das LocalSystem-Konto ist das Konto mit den höchsten Berechtigungen auf einem Windows-Computer, sogar höher als der lokale Administrator. Wenn ein Dienst im Kontext von LocalSystem ausgeführt wird, hat der Dienst die volle Kontrolle über die lokalen Ressourcen des Computers, und die Identität des Computers wird verwendet, wenn auf entfernte Ressourcen zugegriffen und authentifiziert wird. Die Verwendung des LocalSystem-Kontos stellt ein Sicherheitsrisiko dar, da es das Prinzip der minimalen Rechte nicht beachtet. Aufgrund der erforderlichen Rechte auf der SQL Server-Instanz, die die Operations Manager-Datenbank hostet, ist ein Domänenkonto mit minimalen Berechtigungen erforderlich, um jegliches Sicherheitsrisiko zu vermeiden, falls der Verwaltungsserver in der Verwaltungsgruppe kompromittiert wird. Die Gründe sind:
- LocalSystem hat kein Passwort
- Es hat kein eigenes Profil
- Es hat umfassende Berechtigungen auf dem lokalen Computer
- Es präsentiert die Anmeldeinformationen des Computers an entfernte Computer
Hinweis
Wenn die Operations Manager-Datenbank auf einem anderen Computer als dem Verwaltungsserver installiert ist und LocalSystem für das Dienstkonto für Datenzugriff und Konfiguration ausgewählt ist, wird dem Computerkonto des Verwaltungsservers die Rolle sdk_user auf dem Computer der Operations Manager-Datenbank zugewiesen.
Weitere Informationen finden Sie unter über LocalSystem.
Rechenzentrum-Schreibkonto
Das Rechenzentrum-Schreibkonto ist das Konto, das verwendet wird, um Daten vom Verwaltungsserver in das Rechenzentrums-Reporting zu schreiben, und es liest Daten aus der Operations Manager-Datenbank. Die folgende Tabelle beschreibt die Rollen und Mitgliedschaften, die dem Domänenbenutzerkonto während der Einrichtung zugewiesen werden.
| Anwendung | Datenbank/Rolle | Rolle/Konto |
|---|---|---|
| Microsoft SQL Server | OperationsManager | db_datareader |
| Microsoft SQL Server | OperationsManager | dwsync_benutzer |
| Microsoft SQL Server | OperationsManagerDW | OpsMgrWriter |
| Microsoft SQL Server | OperationsManagerDW | DB-Besitzer |
| Betriebsmanager | Benutzerrolle | Operationsmanager-Bericht Sicherheitsadministratoren |
| Betriebsmanager | Ausführendes Konto | Rechenzentrum-Aktionskonto |
| Betriebsmanager | Ausführendes Konto | Rechenzentrums-Konfigurationssynchronisationsleserkonto |
Data Reader-Konto
Das Data Reader-Konto wird verwendet, um Berichte bereitzustellen, festzulegen, welchen Benutzer die SQL Server Reporting Services verwenden, um Abfragen gegen den Rechenzentrums-Bericht auszuführen, und das SQL Reporting Services-Konto zu definieren, um eine Verbindung zum Verwaltungsserver herzustellen. Dieses Domänenbenutzerkonto wird dem Benutzerprofil „Berichtsadministrator“ hinzugefügt. Die folgende Tabelle beschreibt die Rollen und Mitgliedschaften, die dem Konto während der Einrichtung zugewiesen werden.
| Anwendung | Datenbank/Rolle | Rolle/Konto |
|---|---|---|
| Microsoft SQL Server | Berichtsserver-Installationsinstanz | Berichtsserver-Ausführungskonto |
| Microsoft SQL Server | OperationsManagerDW | OpsMgrReader |
| Betriebsmanager | Benutzerrolle | Operationsmanager-Berichtoperatoren |
| Betriebsmanager | Benutzerrolle | Operationsmanager-Bericht Sicherheitsadministratoren |
| Betriebsmanager | Ausführendes Konto | Rechenzentrums-Bericht-Bereitstellungskonto |
| Windows-Dienst | SQL Server Reporting Services | Benutzerkonto für die Anmeldung |
Überprüfen Sie, ob dem Konto, das Sie für das Data Reader-Konto verwenden möchten, das Recht zum Anmelden als Dienst (für 2019 und später) oder das Recht zum Anmelden als Dienst und das Recht zur lokalen Anmeldung (für frühere Versionen) für jeden Verwaltungsserver und den SQL Server, der die Rolle des Berichtsservers hostet, gewährt wurde.
Agenteninstallationskonto
Beim Durchführen einer auf Erkennung basierenden Agentenbereitstellung ist ein Konto mit Administratorrechten auf den Computern erforderlich, die für die Agenteninstallation vorgesehen sind. Das Verwaltungserver-Aktionskonto ist das Standardkonto für die Agenteninstallation. Wenn das Aktionskonto des Verwaltungsservers keine Administratorrechte hat, muss der Operator ein Benutzerkonto und ein Passwort mit Administratorrechten auf den Zielcomputern bereitstellen. Dieses Konto wird vor der Verwendung verschlüsselt und dann verworfen.
Benachrichtigungsaktion Konto
Das Benachrichtigungsaktionskonto ist das Konto, das zum Erstellen und Senden von Benachrichtigungen verwendet wird. Diese Anmeldeinformationen müssen ausreichende Rechte für den SMTP-Server, den Instant-Messaging-Server oder den SIP-Server haben, der für Benachrichtigungen verwendet wird.