Compartir a través de


Cuentas de Operations Manager

 

Publicada: marzo de 2016

Se aplica a: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager

Para comunicarse con varias partes de la infraestructura de supervisión, el grupo de administración de System Center 2012 – Operations Manager, requiere dos cuentas: la cuenta de acción del servidor de administración, y la cuenta del servicio de configuración de System Center y del servicio de acceso a datos de System Center. Durante la instalación, el sistema solicita credenciales para estas cuentas.

Si instala informes, debe especificar las credenciales para dos cuentas adicionales: la cuenta de escritura de almacenamiento de datos y la cuenta de lectura de datos.

Al instalar un agente, el sistema solicita credenciales para la cuenta de detección de equipos y la cuenta de acción del agente. También se le pedirá una cuenta que tenga derechos de administrador en los equipos donde va a instalar el agente.

Cuenta de acción

La cuenta de acción se usa para reunir información sobre el equipo administrado, así como para ejecutar respuestas en él (un equipo administrado es un servidor de administración o un equipo con un agente instalado). Los procesos de MonitoringHost.exe se ejecutan en la cuenta de acción o en una cuenta de ejecución específica. Es posible que exista más de un proceso de MonitoringHost.exe en ejecución en el agente en un momento determinado.

Algunas de las acciones que realiza MonitoringHost.exe son:

  • Supervisión y recopilación de datos del registro de eventos de Windows.

  • Supervisión y recopilación de datos del contador de rendimiento de Windows.

  • Supervisión y recopilación de datos del Instrumental de administración de Windows (WMI).

  • Ejecutar acciones como scripts o lotes.

La separación del proceso del servicio de mantenimiento en usos simples y usos múltiples del proceso de MonitoringHost significa que si un script que se ejecuta en un equipo administrado se bloquea o tiene un error, no afectará a la funcionalidad del servicio de Operations Manager u otras respuestas del equipo administrado.

La cuenta de acción puede administrarse a través de la cuenta de acción predeterminada que se encuentra en los Perfiles de ejecución del área de trabajo Administración.

Uso de cuentas con pocos privilegios

Cuando instale Operations Manager, tendrá la posibilidad de especificar una cuenta de dominio o usar la cuenta de sistema local. La opción más segura es especificar una cuenta de dominio que le permita seleccionar un usuario con la cantidad mínima de privilegios necesarios para el entorno.

Puede usar una cuenta con pocos privilegios como cuenta de acción del agente. En equipos con Windows Server 2003 y Windows Vista, la cuenta debe tener los privilegios mínimos siguientes:

  • Miembro del grupo Usuarios local

  • Miembro del grupo Usuarios del monitor de rendimiento local

  • Permiso “Permitir el inicio de sesión local” (SetInteractiveLogonRight)

System_CAPS_importantImportante

Los privilegios mínimos descritos anteriormente son los privilegios más bajos que admite Operations Manager para la cuenta de acción. Otras cuentas de ejecución pueden tener privilegios más bajos. Los privilegios reales que necesitarán la cuenta de acción y las cuentas de ejecución dependerán de los módulos de administración que se ejecuten en el equipo y de la forma en que estén configurados. Para obtener más información acerca de los privilegios específicos necesarios, consulte la guía del módulo de administración correspondiente.

Tenga en cuenta los puntos siguientes para elegir las credenciales de la cuenta de acción del servidor de administración:

  • Una cuenta con privilegios bajos sólo puede usarse en equipos con Windows Server 2003 y Windows Vista. En equipos que ejecutan Windows 2000 y Windows XP, la cuenta de acción debe pertenecer al grupo de seguridad local de Administradores o al sistema local.

  • Usar una cuenta de dominio con privilegios bajos requiere tener una contraseña coherente con las directivas de caducidad de la contraseña.

  • No puede habilitar la Supervisión de excepciones sin agente (AEM) en un servidor de administración con una cuenta de acción de privilegios bajos.

  • Si un módulo de administración debe leer el evento en el registro de eventos de seguridad, es necesario asignar a la cuenta de acción el privilegio de administración de registro de seguridad y de auditoría mediante la directiva Local o Global.

Cuentas de acción y base de datos de Operations Manager

Durante la instalación, asignó credenciales a la cuenta de acción. De manera predeterminada, la cuenta de acción tiene acceso a la base de datos de Operations Manager. Para aumentar la seguridad, puede quitar el acceso a la base de datos de Operations Manager desde la cuenta de acción y crear una nueva cuenta de identificación por separado para obtener acceso a la base de datos de Operations Manager.

Cuenta del servicio de configuración de System Center y servicio de acceso a datos de System Center

Los servicios de configuración de administración de System Center y de acceso a datos de System Center utilizan la cuenta de servicio de configuración de System Center y servicio de acceso a datos de System Center para actualizar la información de la base de datos de Operations Manager. Las credenciales usadas para la cuenta de acción se asignarán al rol sdk_user en la base de datos de Operations Manager.

La cuenta usada por la cuenta de servicio de configuración y SDK debe tener derechos administrativos locales en el equipo del servidor de administración raíz. La cuenta debe ser usuario de dominio o sistema local. No se admite el uso de la cuenta de usuario local. Se recomienda usar una cuenta diferente a la usada para la cuenta de acción del servidor de administración.

Cuenta de instalación de agente

Al implementar el agente basado en detecciones, el sistema solicita una cuenta con privilegios de administrador. Esta cuenta se usará para instalar el agente en el equipo y, por tanto, debe ser un administrador local en todos los equipos en los que va a implementar agentes. Esta cuenta se cifra antes de usarse y, a continuación, se descarta.

Cuenta de acción de notificación

Es la cuenta de acción que se usa para crear y enviar notificaciones. Asegúrese de que las credenciales que usa para esta cuenta tengan suficientes derechos para el servidor SMTP, el servidor de mensajería instantánea o el servidor SIP que vaya a usar para las notificaciones.