Operations Manager 2007安全模型概述

 

[ 原文作者 Jonathan Almquist ]

Operation Manager2007安全模型融合了Active Directory和SDK一起来保护对象和工作流。并且其存在于SCOM的方方面面，包括操作控制台，报表用户界面以及运行在代理管理计算机上的发现和监视工作流。

虽然我们手头有很多可用的指导书，不过，要想理解这些组件是如何构成的以及组件与组件之间的关系，我们仍然需要做大量的阅读工作，而且通常还需要有一定程度的亲身实践经验。在本文中，我将试着去打破这种情况，找到一种让所有人能够相对快速的理解这些概念的方法。

  

活动目录、用户角色以及运行方式账户之间的关系

在Operations Manager2007中，用户角色可以看成是包含了活动目录用户和组的容器，用来控制操作者在操作控制台上的访问权限类型。用户角色配置可以有不同类型的控制机制，这些机制描述了操作者在控制台上可以执行哪些任务以及可以查看哪些监视数据。

注意：用户角色作用域也会影响操作者使用命令外壳（Command Shell）时执行和查看的范围。

运行方式账户是和活动目录账户相关联的对象。运行方式账户是一种服务账户类型，它可以使得发现和监视工作流在代理管理计算机上正常运行。运行方式账户和活动目录账户之间具有一一对应的关系。

运行方式账户，运行方式配置文件以及计算机之间的关系

运行方式账户是在要求高级权限的资源上运行监视工作流的关键，特别是当默认操作账户在这些资源上没有足够的权限的时候。在代理管理计算机上，默认操作账户大部分都是本地系统账户。

运行方式配置文件定义在管理包里，是向代理管理计算机传送已配置的运行方式账户的媒介。运行方式账户也通过SCOM管理员配置的分发列表与计算机关联起来。一旦运行方式账户关联好了运行方式配置文件，同时又配置了分发列表，那么在管理包中定义的需要高级特权的发现和监控流程就可以使用这个账户来成功的运行工作流。

用户配置文件、用户角色和监视数据之间的关系

用户配置文件是一个模板，它定义了Operations Manager管理员可以创建的每一个用户角色。每一个用户配置文件都标配了一系列的权限，这些权限给出了用户角色在默认配置的控制台上允许或限制访问的特定区域。用户配置文件并没有对监视数据进行限制，而是限制了用户角色在控制台上所拥有的访问权限等级。除了默认的用户角色，管理员还可以创建新的用户角色，并划分相应监视数据作为其作用域。比如，管理员可以创建一个称作“SQL操作员”的用户角色，并指定其作用域。这样这些操作员就只能查看那些和SQL Server和SQL管理包相关的监测数据。

当你脑海中有了这样的概念，再来考虑一下你公司的流程。你可能希望允许公司的SQL小组来自定义的监视他们的SQL服务器。基于同样的思想，你可以利用高级操作员用户配置文件模板创建一个用户角色，并为其指定作用域。这样就可以使得SQL小组只能查看那些与SQL相关的监视数据，并且可以自定义（重写）那些影响SQL服务器的发现、规则和监视器。

注：此信息最初由微软Premier Field Engineer ， Jonathan Almquist发布在Operations Manager支持小组博客上 ： https://blogs.technet.com/operationsmgr/archive/2010/03/22/an-overview-of-the-operations-manager-2007-security-model.aspx