Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Run As-Konten legen fest, welche Anmeldeinformationen für bestimmte Aktionen verwendet werden, die vom Operations Manager-Agenten durchgeführt werden. Diese Konten werden zentral über die Operationskonsole verwaltet und verschiedenen Run As-Profilen zugewiesen. Wenn einem bestimmten Vorgang kein Run As-Profil zugewiesen ist, wird er unter dem Standardaktionskonto ausgeführt. In einer Umgebung mit geringen Rechten verfügt das Standardkonto möglicherweise nicht über die erforderlichen Berechtigungen für eine bestimmte Aktion, und ein Run As-Profil kann verwendet werden, um diese Befugnis bereitzustellen. Management Packs können Run-As-Profile und Run-As-Konten installieren, um erforderliche Aktionen zu unterstützen. In diesem Fall sollte auf ihre Dokumentation für jede erforderliche Konfiguration verwiesen werden.
Standardmäßige Run As-Konten
In der folgenden Tabelle sind die standardmäßigen ausführenden Konten aufgeführt, die während des Setups von Operations Manager erstellt wurden.
| Name | Beschreibung | Anmeldeinformationen |
|---|---|---|
| Domain\ManagementServerAktionskonto | Das Benutzerkonto, unter dem alle Regeln standardmäßig auf Verwaltungsservern ausgeführt werden. | Domänenkonto, das während des Setups als Verwaltungsserveraktionskonto angegeben wurde. |
| Lokales Systemaktionskonto | Integriertes Systemkonto, das als Aktionskonto verwendet wird. | Lokales Windows-Systemkonto |
| APM-Konto | Konto zur Anwendungsleistungsüberwachung, das zur Bereitstellung von Schlüsseln für die Verschlüsselung sicherer Informationen verwendet wird, die während der Überwachung von der Anwendung gesammelt werden. Dieses Konto wird automatisch erstellt, nachdem Sie Ihren ersten .NET-Leistungsmonitor erstellt haben. | Verschlüsseltes Binärkonto |
| Rechenzentrum-Aktionskonto | Wird für die Authentifizierung mit SQL Server verwendet, der die OperationsManagerDW-Datenbank hostet. | Domänenkonto, das während der Einrichtung als Data Warehouse-Schreibzugriffskonto angegeben wurde. |
| Data Warehouse-Berichtsbereitstellungskonto | Wird zur Authentifizierung zwischen dem Verwaltungsserver und dem SQL Server verwendet, der die Operations Manager-Reporting Services hostet. | Domänenkonto, das während der Einrichtung als Datenlesekonto angegeben wurde. |
| Lokales Systemkonto Windows | Eingebautes SYSTEM-Konto, das vom Agentenaktionskonto verwendet wird. | Lokales Windows-Systemkonto |
| Netzwerkdienst-Windows-Konto | Integriertes Netzwerkdienstkonto | Windows-NetworkService-Konto |
Standardmäßige Ausführungsprofile
In der folgenden Tabelle sind die von Operations Manager während der Installation erstellten Run-As-Profile aufgeführt.
Hinweis
Wenn das "Run As"-Konto für ein bestimmtes Profil leer bleibt, wird das Standardaktionskonto verwendet (je nach Standort der Aktion entweder das Aktionskonto des Verwaltungsservers oder das Aktionskonto des Agents).
| Name | Beschreibung | Ausführendes Konto |
|---|---|---|
| Active Directory-basiertes Agentenzuweisungskonto | Konto, das vom Modul zur Active Directory-basierten Agentzuweisung zum Veröffentlichen von Zuweisungseinstellungen in Active Directory verwendet wird. | Lokales Systemkonto Windows |
| Automatisiertes Agentenverwaltungskonto | Dieses Konto wird verwendet, um Agentfehler automatisch zu diagnostizieren. | Keine |
| Konto für Kundenüberwachungsmaßnahmen | Wenn angegeben, wird dies vom Operations Manager verwendet, um alle Clientüberwachungsmodule auszuführen. Wenn nicht angegeben, verwendet Operations Manager das Standardaktionskonto. | Keine |
| Verbundenes Management-Gruppenkonto | Konto, das vom Operations Manager Management Pack verwendet wird, um die Verbindungsintegrität zu den verbundenen Verwaltungsgruppen zu überwachen. | Keine |
| Data Warehouse Konto | Wenn angegeben, wird dieses Konto verwendet, um alle Data Warehouse-Sammlungs- und Synchronisierungsregeln anstelle des Standardaktionskontos auszuführen. Wenn das Konto nicht durch das SQL Server-Authentifizierungskonto des Data Warehouse überschrieben wird, verwenden die Erfassungs‑ und Synchronisierungsregeln es, um mithilfe der integrierten Windows-Authentifizierung eine Verbindung zu den Data Warehouse-Datenbanken herzustellen. | Keine |
| Data Warehouse-Berichtsbereitstellungskonto | Dieses Konto wird von Verfahren zur automatischen Bereitstellung von Data Warehouse-Berichten verwendet, um verschiedene Vorgänge im Zusammenhang mit der Bereitstellung von Berichten auszuführen. | Data Warehouse-Berichtsbereitstellungskonto |
| Data Warehouse-SQL Server-Authentifizierungskonto | Wenn angegeben, werden dieser Anmeldename und dieses Kennwort von Erfassungs‑ und Synchronisierungsregeln verwendet, um mit der SQL Server-Authentifizierung eine Verbindung zu den Data Warehouse-Datenbanken herzustellen. | Data Warehouse-SQL Server-Authentifizierungskonto |
| MPUpdate-Aktionskonto | Dieses Konto wird vom MPUpdate-Notifier verwendet. | Keine |
| Benachrichtigungskonto | Windows-Konto, das von Benachrichtigungsregeln verwendet wird. Verwenden Sie die E-Mail-Adresse dieses Kontos als „Von“-Adresse für E-Mails und Chatnachrichten. | Keine |
| Betriebsdatenbankkonto | Dieses Konto wird verwendet, um Informationen in der Operations Manager-Datenbank zu lesen und in sie zu schreiben. | Keine |
| Privilegiertes Überwachungskonto | Dieses Profil wird für die Überwachung verwendet, die nur mit einem hohem Berechtigungsgrad für ein System durchgeführt werden kann, wie etwa Überwachung, die lokale System- oder Administratorberechtigungen erfordert. Dieses Profil wird standardmäßig auf „Lokales System“ festgelegt, es sei denn, es wird für ein Zielsystem explizit außer Kraft gesetzt. | Keine |
| Reporting-SDK SQL Server-Authentifizierungskonto | Wenn angegeben, wird dieser Anmeldename und dieses Kennwort vom SDK-Dienst verwendet, um mithilfe der SQL Server-Authentifizierung eine Verbindung mit den Data Warehouse-Datenbanken herzustellen. | Reporting-SDK SQL Server-Authentifizierungskonto |
| Reserviert | Dieses Profil ist reserviert und darf nicht verwendet werden. | Keine |
| Benachrichtigungsabonnementkonto überprüfen | Konto, das vom Modul zur Validierung von Warnungsabonnements verwendet wird, um zu überprüfen, ob Benachrichtigungsabonnements im Geltungsbereich liegen. Dieses Profil benötigt Adminrechte. | Lokales Systemkonto Windows |
| SNMP-Überwachungskonto | Dieses Konto wird für die SNMP-Überwachung verwendet. | Keine |
| SNMPv3-Überwachungskonto | Dieses Konto wird für die SNMPv3-Überwachung verwendet. | Keine |
| UNIX/Linux Aktionskonto | Dieses Konto wird für den Unix‑ und Linux-Zugriff mit geringen Rechten verwendet. | Keine |
| UNIX/Linux-Agent-Wartungskonto | Dieses Konto wird für privilegierte Wartungsvorgänge für UNIX‑ und Linux-Agents verwendet. Ohne dieses Konto funktioniert der Agent-Wartungsbetrieb nicht. | Keine |
| UNIX/Linux privilegiertes Konto | Dieses Konto wird für den Zugriff auf geschützte UNIX‑ und Linux-Ressourcen und ‑Aktionen verwendet, die hohe Berechtigungen erfordern. Ohne dieses Konto funktionieren einige Regeln, Diagnosen und Wiederherstellungen nicht. | Keine |
| Windows-Cluster-Aktionskonto | Dieses Profil wird für die Ermittlung und Überwachung von Windows Cluster-Komponenten verwendet. Dieses Profil verwendet standardmäßig Aktionskonten, es sei denn, es wird vom Benutzer ausgefüllt. | Keine |
| WS-Management-Aktionskonto | Dieses Profil wird für den WS-Management-Zugriff verwendet. | Keine |
Verstehen von Verteilung und Zielsetzung
Sowohl die Verteilung als auch das Targeting von Run As-Konten müssen ordnungsgemäß konfiguriert sein, damit das Run As-Profil funktionsfähig ist.
Wenn Sie ein ausführendes Profil konfigurieren, wählen Sie die ausführenden Konten aus, die Sie dem ausführenden Profil zuordnen möchten. Nachdem Sie diese Zuordnung erstellt haben, können Sie die Klasse, Gruppe oder das Objekt angeben, gegen die das Run As-Konto zum Ausführen von Aufgaben, Regeln, Monitoren und Ermittlungen verwendet werden soll.
Die Verteilung ist ein Attribut eines Run As-Kontos, und Sie können festlegen, welche Computer die Anmeldeinformationen des Run As-Kontos erhalten. Sie können die Anmeldeinformationen des "Run As"-Kontos an jeden agentverwalteten Computer oder nur an ausgewählte Computer verteilen.
Beispiel für die Zielzuordnung eines Ausführen-als-Kontos: Der physische Computer ABC hostet zwei Instanzen von Microsoft SQL Server: Instanz X und Instanz Y. Jede Instanz verwendet ein anderes Satz von Anmeldeinformationen für das sa-Konto. Sie erstellen ein Run As-Konto mit den sa-Anmeldeinformationen für Instanz X und ein anderes Run As-Konto mit den sa-Anmeldeinformationen für Instanz Y. Wenn Sie das Run As-Profil für SQL Server konfigurieren, ordnen Sie dem Profil die Anmeldeinformationen beider Run As-Konten zu, beispielsweise X und Y, und legen fest, dass die Anmeldeinformationen des Run As-Konto X für die SQL Server-Instanz X und die Anmeldeinformationen des Run As-Konto Y für die SQL Server-Instanz Y verwendet werden sollen. Anschließend müssen Sie die Verteilung der Anmeldeinformationen der Run As-Konten an den physischen Computer ABC konfigurieren.
Beispiel für die Verteilung eines Run As-Kontos: SQL Server1 und SQL Server2 sind zwei unterschiedliche physische Computer. SQL Server1 verwendet die Anmeldeinformationen „UserName1“ und „Password1“ für das SQL-SA-Konto. SQL Server2 verwendet den UserName2‑ und Password2-Satz von Anmeldeinformationen für das SQL-SA-Konto. Das SQL-Management Pack verfügt über ein einzelnes SQL Run As-Profil, das für alle SQL Server verwendet wird. Anschließend können Sie ein Run-As-Konto für die Anmeldedaten von UserName1 und ein weiteres Run-As-Konto für die Anmeldedaten von UserName2 definieren. Beide dieser „Run As“-Konten können mit dem „Run As“-Profil des SQL Servers verknüpft werden und können so konfiguriert werden, dass sie an die entsprechenden Computer verteilt werden. Das heißt, UserName1 wird an SQL Server1 verteilt, und UserName2 wird an SQL Server2 verteilt. Kontoinformationen, die zwischen dem Verwaltungsserver und dem angegebenen Computer gesendet werden, sind verschlüsselt.
Sicherheit des Run As-Kontos
In System Center Operations Manager werden Run As-Kontenanmeldeinformationen nur an die von Ihnen angegebenen Computer verteilt (die sicherere Option). Wenn der Operations Manager das Konto „Ausführen als“ automatisch gemäß der Erkennung verteilt, würde ein Sicherheitsrisiko in Ihre Umgebung eingeführt, wie im folgenden Beispiel veranschaulicht. Aus diesem Grund wurde keine Option für die automatische Verteilung in Operations Manager integriert.
Beispielsweise identifiziert Operations Manager einen Computer als Host von SQL Server 2016 basierend auf dem Vorhandensein eines Registrierungsschlüssels. Es ist möglich, diesen Registrierungsschlüssel auf einem Computer zu erstellen, auf dem keine Instanz von SQL Server 2016 ausgeführt wird. Wenn Operations Manager die Anmeldeinformationen automatisch an alle von Agents verwalteten Computer verteilen würde, die als SQL Server 2016-Computer identifiziert wurden, würden die Anmeldeinformationen an den Imposter-SQL Server gesendet und wären für jeden mit Administrationsrechten auf diesem Server verfügbar.
Wenn Sie ein Run As-Konto mit Operations Manager erstellen, werden Sie aufgefordert, auszuwählen, ob das Run As-Konto weniger sicher oder sicherer behandelt werden soll. Die Auswahl von "Mehr Sicherheit" bedeutet, dass, wenn das Run-As-Konto mit einem Run-As-Profil verknüpft wird, Sie die spezifischen Computernamen angeben müssen, an die die Anmeldeinformationen verteilt werden sollen. Indem Sie die Zielcomputer positiv identifizieren, können Sie das zuvor beschriebene Spoofingszenario verhindern. Wenn Sie sich für die weniger sichere Option entscheiden, müssen Sie keine bestimmten Computer angeben, und die Anmeldeinformationen werden an alle von Agents verwalteten Computer verteilt.
Hinweis
Die Anmeldeinformationen, die Sie für das Run As-Konto auswählen, müssen mindestens über lokale Anmeldeberechtigungen verfügen; andernfalls schlägt das Modul fehl.