Cuentas y perfiles de ejecución
Las cuentas de ejecución definen qué credenciales se usan para determinadas acciones realizadas por el agente de Operations Manager. Estas cuentas se administran de forma centralizada a través de la consola del operador y se asignan a diferentes perfiles de ejecución. Si un perfil de ejecución no está asignado a una acción determinada, se lleva a cabo en la cuenta de acción predeterminada. En un entorno con pocos privilegios, es posible que la cuenta predeterminada no tenga los permisos necesarios para una acción determinada y se puede usar un perfil de ejecución para proporcionar esta autoridad. Los módulos de administración pueden instalar perfiles de ejecución y cuentas de ejecución para admitir las acciones necesarias. Si es así, se debe hacer referencia a su documentación para cualquier configuración necesaria.
Cuentas de ejecución predeterminadas
En la tabla siguiente se enumeran las cuentas de ejecución predeterminadas creadas por Operations Manager durante la instalación.
| Nombre | Descripción | Credenciales |
|---|---|---|
| Domain\ManagementServerActionAccount | La cuenta de usuario con la que todas las reglas se ejecutan de forma predeterminada en los servidores de administración. | Cuenta de dominio especificada como cuenta de acción del servidor de administración durante la instalación. |
| Cuenta de acción del sistema local | Cuenta del sistema integrada que se usa como una cuenta de acción. | Cuenta del sistema local de Windows |
| Cuenta de APM | Aplicación Monitor de rendimiento cuenta que se usa para proporcionar claves para cifrar información segura recopilada de la aplicación durante la supervisión. Esta cuenta se crea automáticamente una vez creada la primera Monitor de rendimiento de .NET. | Cuenta binaria cifrada |
| Cuenta de acción de almacenamiento de datos | Se usa para autenticarse con SQL Server que hospeda la base de datos OperationsManagerDW. | Cuenta de dominio especificada durante la instalación como cuenta de escritura de Almacenamiento de datos. |
| Cuenta de implementación de informes de almacenamiento de datos | Se usa para autenticarse entre el servidor de administración y SQL Server que hospeda Operations Manager Reporting Services. | Cuenta de dominio especificada durante la instalación como cuenta lector de datos. |
| Cuenta de Windows del sistema local | Cuenta SYSTEM integrada usada por la cuenta de acción del agente. | Cuenta del sistema local de Windows |
| Cuenta de Windows del servicio de red | Cuenta de servicio de red integrada. | Cuenta de Windows NetworkService |
Perfiles de ejecución predeterminados
En la tabla siguiente se enumeran los perfiles de ejecución creados por Operations Manager durante la instalación.
Nota:
Si la cuenta de ejecución se deja en blanco para un perfil determinado, se usa la cuenta de acción predeterminada (ya sea la cuenta de acción del servidor de administración o la cuenta de acción del agente en función de la ubicación de la acción).
| Nombre | Descripción | Cuenta de ejecución |
|---|---|---|
| Cuenta de asignación de agente basada en Active Directory | Cuenta usada por el módulo de asignación de agentes basado en Active Directory para publicar la configuración de asignación en Active Directory. | Cuenta de Windows del sistema local |
| Cuenta de administración automática del agente | Esta cuenta se usa para diagnosticar automáticamente errores del agente. | None |
| Cuenta de acción de supervisión de cliente | Si se especifica, usado por Operations Manager para ejecutar todos los módulos de supervisión de cliente. Si no se especifica, Operations Manager usa la cuenta de acción predeterminada. | None |
| Cuenta de grupo de administración conectada | Cuenta usada por el módulo de administración de Operations Manager para supervisar el estado de conexión a los grupos de administración conectados. | None |
| Cuenta de almacenamiento de datos | Si se especifica, esta cuenta se usa para ejecutar todas las reglas de sincronización y recopilación de Data Warehouse en lugar de la cuenta de acción predeterminada. Si la cuenta de autenticación de SQL Server de Almacenamiento de datos no invalida esta cuenta, las reglas de recopilación y sincronización usan esta cuenta para conectarse a las bases de datos de Almacenamiento de datos mediante la autenticación integrada de Windows. | None |
| Cuenta de implementación de informes de almacenamiento de datos | Los procedimientos de implementación automática del informe de Almacenamiento de datos usan esta cuenta para ejecutar varias operaciones relacionadas con la implementación de informes. | Cuenta de implementación de informes de almacenamiento de datos |
| Cuenta de autenticación de SQL Server de almacenamiento de datos | Si se especifica, las reglas de recopilación y sincronización usan este nombre de inicio de sesión y contraseña para conectarse a las bases de datos de Almacenamiento de datos mediante la autenticación de SQL Server. | Cuenta de autenticación de SQL Server de almacenamiento de datos |
| Cuenta de acción de MPUpdate | El notificador MPUpdate usa esta cuenta. | None |
| Cuenta de notificación | Cuenta de Windows que usan las reglas de notificación. Use la dirección de correo electrónico de esta cuenta como el correo electrónico y el mensaje instantáneo "From". | None |
| Cuenta de base de datos operativa | Esta cuenta se usa para leer y escribir información en la base de datos de Operations Manager. | None |
| Cuenta de supervisión con privilegios | Este perfil se usa para la supervisión, que solo se puede hacer con un alto nivel de privilegios para un sistema; por ejemplo, la supervisión que requiere permisos de sistema local o administrador local. Este perfil tiene como valor predeterminado Sistema local, a menos que se invalide específicamente para un sistema de destino. | None |
| Cuenta de autenticación de SQL Server del SDK de informes | Si se especifica, el servicio sdk usa este nombre de inicio de sesión y contraseña para conectarse a las bases de datos de Almacenamiento de datos mediante la autenticación de SQL Server. | Cuenta de autenticación de SQL Server del SDK de informes |
| Reserved | Este perfil está reservado y no debe usarse. | None |
| Validar la cuenta de suscripción de alertas | Cuenta usada por el módulo validar la suscripción de alertas que valida que las suscripciones de notificación están en el ámbito. Este perfil necesita derechos de administrador. | Cuenta de Windows del sistema local |
| Cuenta de supervisión de SNMP | Esta cuenta se usa para la supervisión de SNMP. | None |
| Cuenta de supervisión de SNMPv3 | Esta cuenta se usa para la supervisión de SNMPv3. | None |
| Cuenta de acción de UNIX/Linux | La cuenta de THis se usa para el acceso a UNIX y Linux con pocos privilegios. | None |
| Cuenta de mantenimiento del agente UNIX/Linux | Esta cuenta se usa para las operaciones de mantenimiento con privilegios para agentes UNIX y Linux. Sin esta cuenta, las operaciones de mantenimiento del agente no funcionan. | None |
| Cuenta con privilegios de UNIX/Linux | Esta cuenta se usa para acceder a recursos y acciones de UNIX y Linux protegidos que requieren privilegios elevados. Sin esta cuenta, algunas reglas, diagnósticos y recuperaciones no funcionan. | None |
| Cuenta de acción del clúster de Windows | Este perfil se usa para toda la detección y supervisión de componentes de clúster de Windows. Este perfil tiene como valor predeterminado las cuentas de acción usadas a menos que el usuario lo rellene. | None |
| Cuenta de acción WS-Management | Este perfil se usa para el acceso de WS-Management. | None |
Descripción de la distribución y la segmentación
Tanto la distribución de la cuenta de ejecución como el destino de la cuenta de ejecución deben configurarse correctamente para que el perfil de ejecución funcione correctamente.
Al configurar un perfil de ejecución, seleccione las cuentas de ejecución que desea asociar con el perfil de ejecución. Después de crear esa asociación, puede especificar la clase, el grupo o el objeto para los que se usará la cuenta de ejecución para ejecutar tareas, reglas, monitores y detecciones.
La distribución es un atributo de una cuenta de ejecución y puede especificar qué equipos reciben las credenciales de la cuenta de ejecución. Puede elegir distribuir las credenciales de la cuenta de ejecución a todos los equipos administrados por agente o solo a los equipos seleccionados.
Ejemplo de destino de la cuenta de ejecución: el equipo físico ABC hospeda dos instancias de Microsoft SQL Server: instancia X e instancia Y. Cada instancia usa un conjunto diferente de credenciales para la cuenta sa. Cree una cuenta de ejecución con las credenciales sa de la instancia X y cree una cuenta de ejecución diferente con las credenciales sa de la instancia Y. Al configurar el perfil de ejecución de SQL Server, se asocian las credenciales de cuenta de ejecución (por ejemplo, X e Y) con el perfil y se especifica que las credenciales X de la instancia de cuenta de ejecución X se usarán para la instancia X de SQL Server y que se usarán las credenciales Y de la cuenta de ejecución para la instancia de SQL Server Y. A continuación, también debe configurar cada conjunto de credenciales de cuenta de ejecución para distribuirse a ABC del equipo físico.
Ejemplo de distribución de cuentas de ejecución: SQL Server1 y SQL Server2 son dos equipos físicos diferentes. SQL Server1 usa el conjunto UserName1 y Password1 de credenciales para la cuenta sa de SQL. SQL Server2 usa el conjunto UserName2 y Password2 de credenciales para la cuenta sa de SQL. El módulo de administración de SQL tiene un único perfil de ejecución de SQL que se usa para todos los servidores SQL Server. A continuación, puede definir una cuenta de ejecución para el conjunto de credenciales UserName1 y otra cuenta de ejecución para el conjunto de credenciales UserName2. Ambas cuentas de ejecución se pueden asociar con el perfil de ejecución de SQL Server y se pueden configurar para que se distribuyan a los equipos adecuados. Es decir, UserName1 se distribuye a SQL Server1 y UserName2 se distribuye a SQL Server2. La información de la cuenta enviada entre el servidor de administración y el equipo designado se cifra.
Seguridad de la cuenta de ejecución
En System Center Operations Manager, las credenciales de la cuenta de ejecución solo se distribuyen a los equipos que especifique (la opción más segura). Si Operations Manager distribuye automáticamente la cuenta de ejecuciones según la detección, se introduciría un riesgo de seguridad en el entorno, como se muestra en el ejemplo siguiente. Este es el motivo por el que no se incluyó una opción de distribución automática en Operations Manager.
Por ejemplo, Operations Manager identifica un equipo como el hospedaje de SQL Server 2016 en función de la presencia de una clave del Registro. Es posible crear esa misma clave del Registro en un equipo que realmente no ejecuta una instancia de SQL Server 2016. Si Operations Manager distribuira automáticamente las credenciales a todos los equipos administrados por el agente identificados como equipos con SQL Server 2016, las credenciales se enviarían al imposter SQL Server y estarían disponibles para cualquier persona con derechos de administrador en ese servidor.
Al crear una cuenta de ejecución mediante Operations Manager, se le pedirá que elija si la cuenta de ejecución debe tratarse de forma menos segura o Más segura. "Más seguro" significa que, al asociar la cuenta de ejecución con un perfil de ejecución, debe proporcionar los nombres de equipo específicos a los que desea distribuir las credenciales de ejecución. Al identificar positivamente los equipos de destino, puede evitar el escenario de suplantación de identidad que se describió antes. Si elige la opción menos segura, no tendrá que proporcionar ningún equipo específico y las credenciales se distribuirán a todos los equipos administrados por agente.
Nota:
Las credenciales que seleccione para la cuenta de ejecución deben tener como mínimo derechos de inicio de sesión localmente; De lo contrario, se producirá un error en el módulo.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de