Cuentas necesarias durante la instalación
Publicado: julio de 2016
Se aplica a: System Center 2012 SP1 - Service Manager, System Center 2012 R2 Service Manager, System Center 2012 - Service Manager
Tendrá que proporcionar credenciales para las cuentas de la siguiente tabla durante la instalación de System Center 2012 – Service Manager y los servidores de administración del almacenamiento de datos.
Nota
Las cuentas de usuario y las cuentas de grupo necesarias para la instalación de Service Manager deben residir en una unidad organizativa (OU) de usuarios en Active Directory Domain Services (AD DS).
Cuentas que proporciona durante la instalación de un servidor de administración de Service Manager
| Cuenta | Permisos | Cómo se utiliza en Service Manager |
|---|---|---|
| Administradores del grupo de administración | - Debe ser un usuario o un grupo de dominio. Important: La cuenta del usuario que ha iniciado sesión en el equipo durante la instalación de un servidor de administración Service Manager inicial se agrega automáticamente a dicho grupo. | - Agregado a la función de usuario Administradores de Service Manager. |
| Cuenta de los servicios de Service Manager | - Debe ser un usuario o un grupo de dominio. - Debe ser miembro de los administradores locales. |
- Se convierte en la cuenta del sistema operativa. - Se asigna a la cuenta de inicio de sesión para el servicio de acceso de datos de System Center. - Se asigna a la cuenta de inicio de sesión para el servicio de configuración de administración de System Center. - Se convierte en miembro de las funciones de base de datos sdk_users y configsvc_users de la base de datos de Service Manager. - Si cambia las credenciales de estos dos servicios, asegúrese de que la nueva cuenta tenga un inicio de sesión de SQL en la base de datos de ServiceManager y de que sea miembro del grupo Integrado\Administradores. |
| Cuenta de flujo de trabajo | - Debe ser un usuario o un grupo de dominio. - Debe tener permisos para enviar correo electrónico y poseer un buzón en el servidor SMTP (Protocolo simple de transferencia de correo) (necesario para la característica Incidente de correo electrónico). - Debe ser miembro del grupo de seguridad local Usuarios. - Debe hacerse miembro de la función de usuario Administradores de Service Manager para que las notificaciones de correo electrónico funcionen correctamente. |
- Esta cuenta se utiliza para todos los flujos de trabajo y se convierte en miembro de la función de usuario Flujos de trabajo de Service Manager. |
Procedimientos recomendados de seguridad para las cuentas
Al asignar cuentas de Active Directory para utilizarlas con cuentas de identificación de Service Manager, se recomienda usar cuentas de servicio. No se recomienda utilizar cuentas de usuario de Active Directory asociadas a personas individuales.
Para obtener más información sobre los procedimientos recomendados de seguridad, descargue una copia de Windows Server 2008 Security Guide (Guía de seguridad de Windows Server 2008), que actualmente forma parte de Windows Server 2008 Security Compliance Management Toolkit (Kit de herramientas para la administración del cumplimiento de seguridad de Windows Server 2008) y The Services and Serivce Accounts Security Planning Guide (Guía de planificación de seguridad de servicios y cuentas de servicios).
Cuentas que proporciona durante la instalación de un servidor de administración del almacenamiento de datos
| Cuenta | Permisos | Cómo se utiliza en Service Manager |
|---|---|---|
| Administradores del grupo de administración | - Debe ser un usuario o un grupo de dominio. | - Agregado a la función de usuario administradores del almacenamiento de datos. |
| Cuenta de servicios de Service Manager | - Debe ser un usuario o un grupo de dominio. - Debe ser miembro de los administradores locales en el servidor de administración del almacenamiento de datos. - Debe ser la misma cuenta que usó para la cuenta de servicios de servidor de administración de Service Manager. |
- Se convierte en la cuenta de identificación del sistema del almacenamiento de datos. - Asignado a la cuenta del servicio SDK de ServiceManager SDK. - Asignado a la cuenta de configuración de ServiceManager. - Se convierte en miembro de las funciones de base de datos sdk_users y configsvc_users de la base de datos DWDataMart. - Se convierte en miembro de la función de base de datos db_datareader de la base de datos DWRepository. - Se convierte en miembro de la función de base de datos configsvc_users de la base de datos de Service Manager. |
| Cuenta de informes | - Debe ser una cuenta de dominio. | - La utiliza SQL Server Reporting Services (SSRS) para obtener acceso a la base de datos DWDataMart con el fin de recopilar datos para los informes. - Se convierte en miembro de la función de base de datos db_datareader de la base de datos DWDataMart. - Se convierte en miembro de la función de base de datos reportuser de la base de datos DWDatamart. |
| Cuenta de SQL Server 2008 R2 | - Debe ser una cuenta de dominio. | - Se utiliza para comunicarse con data marts. - La cuenta se agrega como un rol de administrador a la base de datos del servidor de Analysis Services (DWASDataBase) para el procesamiento de la base de datos y la lectura de cubo. |
Registrar el grupo de administración de Service Manager con el grupo de administración del almacenamiento de datos
Como parte del proceso de instalación, registrará el grupo de administración de Service Manager con el grupo de administración del almacenamiento de datos. Durante este proceso, se le pedirá que proporcione credenciales. Las credenciales de cuenta que proporcione deben corresponder a una cuenta de dominio. Asimismo, deberá proporcionar una cuenta con los siguientes permisos:
Debe ser miembro de la función de usuario Administrador tanto en el grupo de administración de Service Manager como en el del almacenamiento de datos.
Debe ser miembro del grupo de administradores locales de usuarios en el servidor de administración del almacenamiento de datos.
Cuentas necesarias para crear conectores
Al crear conectores, se le pedirán las credenciales que utilizará el conector para realizar su función. La siguiente tabla describe los permisos que necesitará esta cuenta y los procedimientos recomendados para garantizar la seguridad.
Conector de alertas de Operations Manager 2007
| Permisos | Procedimientos recomendados |
|---|---|
| - Debe ser una cuenta de dominio. - Debe ser miembro del grupo de seguridad local Usuarios en el servidor de administración de Service Manager. - Debe ser un administrador de Operations Manager 2007. |
Una cuenta de dominio creada específicamente para este propósito que solamente esté en el grupo de seguridad local Usuarios y en una función de usuario Administrador de Operations Manager, además de en una función de usuario Operador avanzado de Service Manager. |
Conector de elementos de configuración de Operations Manager 2007
| Permisos | Procedimientos recomendados |
|---|---|
| - Debe ser una cuenta de dominio. - Debe ser miembro del grupo de seguridad local Usuarios en el servidor de administración. - Debe ser un operador de Operations Manager 2007. |
Una cuenta de dominio creada específicamente para este propósito que solamente esté en el grupo de seguridad local Usuarios y en una función de usuario Operador de Operations Manager, además de en una función de usuario Operador avanzado de Service Manager. |
Conector de Active Directory
| Permisos | Procedimientos recomendados |
|---|---|
| - Debe ser una cuenta de dominio. - Debe ser miembro del grupo de seguridad local Usuarios en el servidor de administración de Service Manager. - Debe tener permisos para enlazar con el controlador de dominio desde el cual el conector leerá los datos. - Necesita derechos de lectura genéricos para los objetos que se sincronizan en la base de datos de Service Manager desde AD DS. |
Una cuenta de dominio creada específicamente para este propósito que solamente esté en el grupo de seguridad local Usuarios y en una función de usuario Operador avanzado de Service Manager y que tenga permisos de sólo lectura en AD DS. |
Conector de Configuration Manager 2007
| Permisos | Procedimientos recomendados |
|---|---|
| - Debe ser una cuenta de dominio. - Debe ser miembro del grupo de seguridad local Usuarios en el servidor de administración de Service Manager. |
Una cuenta de dominio creada específicamente para este propósito que solamente esté en el grupo de seguridad local Usuarios, debe ser miembro de smsdbrole_extract y db_datareader en la base de datos de System Center Configuration Manager y en una función de usuario Operador avanzado de Service Manager. |