Administrar cuentas y perfiles de ejecución

Los flujos de trabajo de System Center Operations Manager, como reglas, tareas, monitores y detecciones, requieren credenciales para ejecutarse en un agente o equipo de destino. De forma predeterminada, los flujos de trabajo usan la cuenta de acción predeterminada para el agente o el equipo. Las credenciales de la cuenta de acción predeterminada se configuran cuando se instala Operations Manager.

Cuando un flujo de trabajo requiere derechos y privilegios que la cuenta de acción predeterminada no puede proporcionar, el flujo de trabajo se puede escribir para usar un perfil de ejecución. Un perfil de ejecución puede tener varias cuentas de ejecución asociadas. Las cuentas de ejecución permiten especificar las credenciales necesarias para equipos específicos. Varios flujos de trabajo pueden usar el mismo perfil de ejecución. En la imagen siguiente se muestra la relación entre flujos de trabajo, perfiles de ejecución y cuentas de ejecución.

En la imagen, tres flujos de trabajo usan el mismo perfil de ejecución. El perfil de ejecución tiene tres cuentas de ejecución asociadas. En este ejemplo, cada flujo de trabajo que use el perfil de ejecución se ejecutará en el equipo A con las credenciales de la cuenta de ejecución 1, en el equipo B y C con las credenciales de la cuenta de ejecución 2 y en el equipo D con las credenciales de la cuenta de ejecución 3.

Los perfiles de ejecución se definen en módulos de administración por el autor del módulo de administración. Un perfil de ejecución se usa siempre que su módulo de administración primario esté activo. Por ejemplo, el módulo de administración de SQL Server 2014 contiene el perfil de ejecución de SQL, por lo que el perfil de ejecución de SQL estaría activo en todos los servidores que ejecutan SQL Server 2014 supervisados por el módulo de administración de SQL Server 2014. El perfil de ejecución es una asociación de una o varias cuentas de ejecución y los objetos administrados a los que se deben aplicar las cuentas de ejecución.

En algunos casos, el perfil de ejecución se importa en Operations Manager cuando se importa el módulo de administración que lo contiene. En otros casos, es posible que tenga que crearlo manualmente. En todos los casos, los perfiles de identificación deben asociarse manualmente con una cuenta de ejecución.

Una cuenta de ejecución contiene un único conjunto de credenciales, que se almacenan en la base de datos operativa de Operations Manager. Cada cuenta de ejecución tiene una clasificación de seguridad (más segura o menos segura) que controla cómo se distribuyen las credenciales para su uso. Si elige una distribución de credenciales más segura, debe configurar la asignación de los equipos a los que se distribuyen las credenciales.

Deshabilitación de cuentas de ejecución

Con Operations Manager 2022, los administradores pueden administrar las credenciales de los usuarios necesarias para realizar las tareas en la consola de Operations Manager.

En versiones anteriores, de manera predeterminada, los usuarios con permisos limitados tienen habilitada la opción Usar la cuenta de ejecución predefinida. Ahora los administradores pueden deshabilitar esta opción. Cuando se deshabilita, todos los usuarios que no son administradores deberán proporcionar las credenciales para ejecutar las tareas mediante la consola o el cmd start-SCOMTask de PowerShell.

Para deshabilitar la opción, los administradores deben ir a Configuración>Ejecución de tareas varias> y, a continuación, seleccionar Deshabilitado.

Puede tener varios grupos de administración conectados entre sí y ver alertas de diferentes grupos de administración en una única consola de operaciones.

Los usuarios también pueden ejecutar tareas en máquinas de los otros grupos de administración. La configuración será efectiva desde el grupo de administración desde el que se ejecuta la consola de operaciones o la sesión de PowerShell.

Por ejemplo, si el grupo de administración 1 (MG1) tiene la opción como Habilitado y el grupo de administración 2 (MG2) la tiene como Deshabilitado, los usuarios pueden ejecutar la tarea desde una consola de MG1 sin credenciales, independientemente de si el objeto de destino está en MG1 o MG2.

Del mismo modo, si un usuario ejecuta una tarea desde PowerShell en MG2, necesitará credenciales para la tarea si el destino está en MG1.

Pasos siguientes

• Distribución y destino para cuentas de ejecución y perfiles

  En este artículo se explica la diferencia entre la distribución y el destino, las opciones para distribuir cuentas de ejecución y las opciones para seleccionar destinos para perfiles de ejecución.

• Cómo crear una cuenta de ejecución y asociar con un perfil de ejecución

  En este artículo se explica cómo crear una cuenta de ejecución, cómo modificar una cuenta de ejecución existente y cómo configurar un perfil de ejecución para usar una cuenta de ejecución.

• Cómo crear una nueva cuenta de acción

  En este artículo se explica cómo crear una nueva cuenta de acción de ejecución que usarán los servidores de administración en el grupo de administración.