Distribución y destino para cuentas de ejecución y perfiles de identificación

Las cuentas de ejecución están asociadas a perfiles de identificación para proporcionar las credenciales necesarias para los flujos de trabajo que usan ese perfil de ejecución para ejecutarse correctamente. Tanto la distribución como el destino de las cuentas de ejecución deben configurarse correctamente para que el perfil de identificación funcione correctamente.

Al configurar un perfil de ejecución, seleccione las cuentas de ejecución que desea asociar con el perfil de ejecución. Al crear esa asociación, especifique la clase, el grupo o el objeto que se usará la cuenta de ejecución para administrar, como se muestra en la siguiente imagen. Esto establece el destino de la cuenta de ejecución.

La distribución es un atributo de una cuenta de ejecución en la que se especifican los equipos que recibirán las credenciales de la cuenta de ejecución. Puede elegir distribuir las credenciales de la cuenta de ejecución a todos los equipos administrados por agente o solo a los equipos seleccionados.

Ejemplo de destino y distribución de cuentas de ejecución:

El equipo físico ABC hospeda dos instancias de Microsoft SQL Server, la instancia X y la instancia Y. Cada instancia usa un conjunto diferente de credenciales para la cuenta sa . Cree una cuenta de ejecución con las credenciales sa de la instancia X y otra cuenta de ejecución con las credenciales sa de la instancia Y. Al configurar el perfil de ejecución de SQL Server, asocie las credenciales de la cuenta de ejecución para la instancia X e Y del perfil y especifique que las credenciales X de la instancia de cuenta de ejecución se usarán para la instancia X de SQL Server y que se usarán las credenciales Y de la cuenta de ejecución para la instancia de SQL Server Y. A continuación, configurará las dos cuentas de ejecución para que se distribuyan al equipo físico ABC.

Selección de un destino para una cuenta de ejecución

Como se muestra en la imagen anterior, las opciones para seleccionar un destino para una cuenta de ejecución son Todos los objetos de destino y Una clase, grupo u objeto seleccionados.

Al seleccionar Todos los objetos de destino, el perfil de ejecución usará esta cuenta de ejecución para todos los objetos de los flujos de trabajo que usan el perfil de ejecución.

Al seleccionar Una clase, un grupo o un objeto seleccionados, puede limitar el uso de la cuenta de ejecución a la clase, el grupo o el objeto que especifique.

Nota:

Las credenciales de la cuenta de ejecución deben distribuirse los sistemas administrados por agente específicos con los que debe autenticarse la credencial de ejecución antes de configurar el perfil de ejecución.

Comparación de una distribución más segura y menos segura

Operations Manager distribuye las credenciales de la cuenta de ejecución a todos los equipos administrados por agente (la opción menos segura) o solo a los equipos que especifique (la opción más segura). Si Operations Manager distribuye automáticamente la cuenta de ejecuciones según la detección, se introduciría un riesgo de seguridad en el entorno, como se muestra en el ejemplo siguiente. Este es el motivo por el que no se incluyó una opción de distribución automática en Operations Manager.

Por ejemplo, Operations Manager identifica un equipo como el hospedaje de SQL Server 2014 en función de la presencia de una clave del Registro. Es posible crear esa misma clave del Registro en un equipo que realmente no ejecuta una instancia de SQL Server 2014. Si Operations Manager distribuira automáticamente las credenciales a todos los equipos administrados por el agente identificados como equipos con SQL Server 2014, las credenciales se enviarían al imposter SQL Server y estarían disponibles para alguien con derechos de administrador en ese servidor.

Al crear una cuenta de ejecución, se le pedirá que elija si la cuenta de ejecución debe tratarse de forma menos segura o más segura . Más seguro significa que, al asociar la cuenta de ejecución con un perfil de ejecución, debe proporcionar los nombres de equipo específicos a los que desea distribuir las credenciales de ejecución. Al identificar positivamente los equipos de destino, puede evitar el escenario de suplantación de identidad que se describió antes. Si elige la opción menos segura, no tendrá que proporcionar ningún equipo específico y las credenciales se distribuirán a todos los equipos administrados por agente.

Nota:

Operations Manager realizará pruebas para validar las credenciales de ejecución, incluido si las credenciales se pueden usar para iniciar sesión localmente en el equipo. Si la cuenta no tiene derecho a iniciar sesión localmente, se generará una alerta.

Pasos siguientes

• Para comprender cómo crear una cuenta de ejecución, cómo modificar una cuenta de ejecución existente y cómo configurar un perfil de ejecución para usar una cuenta de ejecución, consulte Creación de una cuenta de ejecución y Asociación con un perfil de ejecución.