Als Konten und Profile ausführen
Ausführen als Konten definieren, welche Anmeldeinformationen für bestimmte Aktionen verwendet werden, die vom Operations Manager-Agent ausgeführt werden. Diese Konten werden zentral über die Operations-Konsole verwaltet und verschiedenen Run As-Profilen zugewiesen. Wenn einem Profil "Ausführen als" keine bestimmte Aktion zugewiesen ist, wird es unter dem Standardaktionskonto ausgeführt. In einer Umgebung mit niedriger Berechtigung verfügt das Standardkonto möglicherweise nicht über die erforderlichen Berechtigungen für eine bestimmte Aktion, und ein Profil "Ausführen als" kann verwendet werden, um diese Autorität bereitzustellen. Management Packs können Run As-Profile und Run As-Konten installieren, um erforderliche Aktionen zu unterstützen. In diesem Fall sollte auf ihre Dokumentation für jede erforderliche Konfiguration verwiesen werden.
Standardausführung als Konten
In der folgenden Tabelle sind die standardmäßigen Run As-Konten aufgeführt, die während des Setups von Operations Manager erstellt wurden.
| Name | Beschreibung | Anmeldeinformationen |
|---|---|---|
| Domain\ManagementServerActionAccount | Das Benutzerkonto, unter dem alle Regeln standardmäßig auf Verwaltungsservern ausgeführt werden. | Domänenkonto, das während des Setups als Verwaltungsserveraktionskonto angegeben wurde. |
| Lokales Systemaktionskonto | Integriertes Systemkonto, das als Aktionskonto verwendet wird. | Lokales Windows-Systemkonto |
| APM-Konto | Anwendungs-Leistungsmonitor-Konto, das zum Bereitstellen von Schlüsseln zum Verschlüsseln sicherer Informationen verwendet wird, die während der Überwachung von der Anwendung gesammelt werden. Dieses Konto wird automatisch erstellt, nachdem Sie Ihren ersten .NET-Leistungsmonitor erstellt haben. | Verschlüsseltes binärkonto |
| Data Warehouse Action Account | Wird für die Authentifizierung mit SQL Server verwendet, die die OperationsManagerDW-Datenbank hosten. | Domänenkonto, das während der Einrichtung als Data Warehouse Write-Konto angegeben wurde. |
| Data Warehouse-Berichtsbereitstellungskonto | Wird für die Authentifizierung zwischen dem Verwaltungsserver und SQL Server verwendet, die Operations Manager Reporting Services hosten. | Domänenkonto, das während der Einrichtung als Datenlesekonto angegeben wurde. |
| Lokales System-Windows-Konto | Integriertes SYSTEM-Konto, das vom Agentaktionskonto verwendet wird. | Lokales Windows-Systemkonto |
| Windows-Konto des Netzwerkdiensts | Integriertes Netzwerkdienstkonto. | Windows NetworkService-Konto |
Standardausführung als Profile
In der folgenden Tabelle sind die von Operations Manager während des Setups erstellten Profile "Ausführen als" aufgeführt.
Hinweis
Wenn das Konto "Ausführen als" für ein bestimmtes Profil leer bleibt, wird das Standardaktionskonto (entweder das Verwaltungsserveraktionskonto oder das Agent-Aktionskonto, abhängig vom Speicherort der Aktion) verwendet.
| Name | Beschreibung | Run As-Konto |
|---|---|---|
| Active Directory-basiertes Agent-Zuordnungskonto | Konto, das vom Active Directory-basierten Agentzuweisungsmodul zum Veröffentlichen von Zuweisungseinstellungen in Active Directory verwendet wird. | Lokales System-Windows-Konto |
| Automatisches Agent-Verwaltungskonto | Dieses Konto wird verwendet, um Agentfehler automatisch zu diagnostizieren. | Keine |
| Clientüberwachungsaktionskonto | Wenn angegeben, wird von Operations Manager verwendet, um alle Clientüberwachungsmodule auszuführen. Wenn nicht angegeben, verwendet Operations Manager das Standardaktionskonto. | Keine |
| Verbundenes Verwaltungsgruppenkonto | Konto, das vom Operations Manager Management Pack verwendet wird, um die Verbindungsintegrität mit den verbundenen Verwaltungsgruppen zu überwachen. | Keine |
| Data Warehouse-Konto | Wenn angegeben, wird dieses Konto verwendet, um alle Data Warehouse-Sammlungs- und Synchronisierungsregeln anstelle des Standardaktionskontos auszuführen. Wenn dieses Konto nicht vom Data Warehouse SQL Server-Authentifizierungskonto außer Kraft gesetzt wird, wird dieses Konto von Sammlungs- und Synchronisierungsregeln verwendet, um eine Verbindung mit den Data Warehouse-Datenbanken mithilfe der integrierten Windows-Authentifizierung herzustellen. | Keine |
| Data Warehouse-Berichtsbereitstellungskonto | Dieses Konto wird von Data Warehouse-Berichten zur automatischen Bereitstellung von Verfahren zur automatischen Bereitstellung verwendet, um verschiedene berichtsbezogene Vorgänge auszuführen. | Data Warehouse-Berichtsbereitstellungskonto |
| Data Warehouse-SQL Server-Authentifizierungskonto | Wenn angegeben, wird dieser Anmeldename und dieses Kennwort von Sammlungs- und Synchronisierungsregeln verwendet, um mithilfe der SQL Server-Authentifizierung eine Verbindung mit den Data Warehouse-Datenbanken herzustellen. | Data Warehouse-SQL Server-Authentifizierungskonto |
| MPUpdate-Aktionskonto | Dieses Konto wird vom MPUpdate-Notifier verwendet. | Keine |
| Benachrichtigungskonto | Windows-Konto, das von Benachrichtigungsregeln verwendet wird. Verwenden Sie die E-Mail-Adresse dieses Kontos als E-Mail- und Chatnachricht "Von"-Adresse. | Keine |
| Betriebsdatenbankkonto | Dieses Konto wird verwendet, um Informationen in die Operations Manager-Datenbank zu lesen und zu schreiben. | Keine |
| Privileged Monitoring Account | Dieses Profil wird für die Überwachung verwendet, die nur mit einem hohen Maß an Berechtigungen für ein System erfolgen kann; Beispielsweise die Überwachung, die Berechtigungen für das lokale System oder den lokalen Administrator erfordert. Dieses Profil wird standardmäßig auf "Lokales System" festgelegt, es sei denn, es wird für ein Zielsystem explizit außer Kraft gesetzt. | Keine |
| Reporting SDK SQL Server-Authentifizierungskonto | Wenn angegeben, wird dieser Anmeldename und dieses Kennwort vom SDK-Dienst verwendet, um mithilfe der SQL Server-Authentifizierung eine Verbindung mit den Data Warehouse-Datenbanken herzustellen. | Reporting SDK SQL Server-Authentifizierungskonto |
| Reserved | Dieses Profil ist reserviert und darf nicht verwendet werden. | Keine |
| Überprüfen des Benachrichtigungsabonnementskontos | Konto, das vom Modul "Benachrichtigungsabonnement" verwendet wird, das überprüft, ob Benachrichtigungsabonnements im Gültigkeitsbereich liegen. Dieses Profil benötigt Administratorrechte. | Lokales System-Windows-Konto |
| SNMP Monitoring Account | Dieses Konto wird für die SNMP-Überwachung verwendet. | Keine |
| SNMPv3-Überwachungskonto | Dieses Konto wird für die SNMPv3-Überwachung verwendet. | Keine |
| UNIX/Linux Action Account | THis-Konto wird für den Unix- und Linux-Zugriff mit geringen Rechten verwendet. | Keine |
| UNIX/Linux Agent Maintenance Account | Dieses Konto wird für privilegierte Wartungsvorgänge für UNIX- und Linux-Agents verwendet. Ohne dieses Konto funktioniert der Agent-Wartungsbetrieb nicht. | Keine |
| UNIX/Linux Privileged Account | Dieses Konto wird für den Zugriff auf geschützte UNIX- und Linux-Ressourcen und -Aktionen verwendet, die hohe Berechtigungen erfordern. Ohne dieses Konto funktionieren einige Regeln, Diagnosen und Wiederherstellungen nicht. | Keine |
| Windows-Clusteraktionskonto | Dieses Profil wird für die Ermittlung und Überwachung von Windows Cluster-Komponenten verwendet. Dieses Profil verwendet standardmäßig Aktionskonten, es sei denn, es wird vom Benutzer ausgefüllt. | Keine |
| WS-Management-Aktionskonto | Dieses Profil wird für den WS-Management-Zugriff verwendet. | Keine |
Grundlegendes zu Verteilung und Zielbestimmung
Sowohl "Als Kontoverteilung ausführen" als auch "Run As"-Kontoadressierung müssen ordnungsgemäß konfiguriert sein, damit das Profil "Ausführen unter" ordnungsgemäß funktioniert.
Wenn Sie ein Run As-Profil konfigurieren, wählen Sie die Run As-Konten aus, die Sie dem Profil "Ausführen als" zuordnen möchten. Nachdem Sie diese Zuordnung erstellt haben, können Sie die Klasse, Gruppe oder das Objekt angeben, für die das Run As-Konto zum Ausführen von Aufgaben, Regeln, Monitoren und Ermittlungen verwendet werden soll.
Die Verteilung ist ein Attribut eines Run As-Kontos, und Sie können angeben, welche Computer die Anmeldeinformationen des Run As-Kontos erhalten. Sie können die Anmeldeinformationen "Ausführen als Konto" auf jeden vom Agent verwalteten Computer oder nur an ausgewählte Computer verteilen.
Beispiel für ausführen als Kontoadressierung: Physischer Computer ABC hostet zwei Instanzen von Microsoft SQL Server: Instanz X und Instanz Y. Jede Instanz verwendet einen anderen Satz von Anmeldeinformationen für das Sa-Konto. Sie erstellen ein Run As-Konto mit den sa-Anmeldeinformationen für instanz X, und Sie erstellen ein anderes Run As-Konto mit den SA-Anmeldeinformationen für die Instanz Y. Wenn Sie das SQL Server Run As-Profil konfigurieren, ordnen Sie beide Anmeldeinformationen (z. B. X und Y) mit dem Profil zu, und geben Sie an, dass die Anmeldeinformationen der Run As-Kontoinstanz X für die SQL Server-Instanz X verwendet werden sollen und dass die Anmeldeinformationen "Ausführen als Konto Y" für DIE SQL Server-Instanz Y verwendet werden sollen. Anschließend müssen Sie auch jede Gruppe von Run As-Kontoanmeldeinformationen so konfigurieren, dass sie an den physischen Computer ABC verteilt werden.
Beispiel für die Ausführung als Kontoverteilung: SQL Server1 und SQL Server2 sind zwei unterschiedliche physische Computer. SQL Server1 verwendet die Anmeldeinformationen "UserName1" und "Password1" für das SQL SA-Konto. SQL Server2 verwendet den UserName2- und Password2-Satz von Anmeldeinformationen für das SQL SA-Konto. Das SQL Management Pack verfügt über ein einzelnes SQL Run As-Profil, das für alle SQL-Server verwendet wird. Anschließend können Sie einen Run As-Konto für einen Benutzernamen1-Satz von Anmeldeinformationen und ein anderes Run As-Konto für "UserName2"-Anmeldeinformationen definieren. Beide dieser Run As-Konten können dem sql Server Run As-Profil zugeordnet werden und können so konfiguriert werden, dass sie an die entsprechenden Computer verteilt werden. Das heißt, UserName1 wird an SQL Server1 verteilt, und UserName2 wird an SQL Server2 verteilt. Kontoinformationen, die zwischen dem Verwaltungsserver und dem angegebenen Computer gesendet werden, werden verschlüsselt.
Als Kontosicherheit ausführen
In System Center Operations Manager werden "Als Kontoanmeldeinformationen ausführen" nur auf Computer verteilt, die Sie angeben (die sicherere Option). Wenn Operations Manager das Konto "Runs As" automatisch entsprechend der Ermittlung verteilt hat, würde ein Sicherheitsrisiko in Ihre Umgebung eingeführt, wie im folgenden Beispiel veranschaulicht. Aus diesem Grund wurde keine Option für die automatische Verteilung in Operations Manager enthalten.
Beispielsweise identifiziert Operations Manager einen Computer als Hosting von SQL Server 2016 basierend auf dem Vorhandensein eines Registrierungsschlüssels. Es ist möglich, diesen Registrierungsschlüssel auf einem Computer zu erstellen, auf dem keine Instanz von SQL Server 2016 ausgeführt wird. Wenn Operations Manager die Anmeldeinformationen automatisch an alle agentverwalteten Computer verteilen soll, die als SQL Server 2016-Computer identifiziert wurden, werden die Anmeldeinformationen an den Postposter SQL Server gesendet, und sie stehen allen Benutzern mit Administratorrechten auf diesem Server zur Verfügung.
Wenn Sie ein Run As-Konto mit Operations Manager erstellen, werden Sie aufgefordert, auszuwählen, ob das Run As-Konto in einer weniger sicheren oder sichereren Weise behandelt werden soll. "Sicherer" bedeutet, dass Sie beim Zuordnen des Run As-Kontos zu einem Run As-Profil die spezifischen Computernamen angeben müssen, an die die Run As-Anmeldeinformationen verteilt werden sollen. Indem Sie die Zielcomputer positiv identifizieren, können Sie das zuvor beschriebene Spoofingszenario verhindern. Wenn Sie die weniger sichere Option auswählen, müssen Sie keine bestimmten Computer angeben, und die Anmeldeinformationen werden an alle vom Agent verwalteten Computer verteilt.
Hinweis
Die Anmeldeinformationen, die Sie für das Konto "Ausführen als" auswählen, müssen mindestens über lokale Anmelderechte verfügen. andernfalls schlägt das Modul fehl.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für