• Article

Distribution et ciblage de comptes et de profils d'identification

 

Publication: mars 2016

S'applique à: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager

Des comptes d'identification sont associés à des profils d'identification afin de fournir les informations d'identification nécessaires pour les flux de travail qui utilisent ce profil d'identification pour s'exécuter avec succès. La distribution et le ciblage des comptes d'identification doivent être correctement configurés pour que le profil d'identification fonctionne correctement.

Lorsque vous configurez un profil d'identification, vous sélectionnez les comptes d'identification que vous voulez associer au profil d'identification. Lorsque vous créez cette association, vous spécifiez la classe, le groupe ou l'objet que le compte d'identification devra gérer, comme l'indique l'image suivante. Ceci établit la cible du compte d'identification.

Sélectionner une cible pour le profil et le compte d'identification

La distribution est un attribut d'un compte d'identification dans lequel vous spécifiez les ordinateurs qui recevront les informations d'identification du compte d'identification. Vous pouvez choisir de distribuer les informations d'identification du compte d'identification à tous les ordinateurs gérés par agent ou uniquement aux ordinateurs sélectionnés.

Exemple de ciblage et de distribution de compte d'identification : 

L'ordinateur physique ABC héberge deux instances de Microsoft SQL Server, l'instance X et l'instance Y. Chaque instance utilise un jeu différent d'informations d'identification pour le compte sa. Vous créez un compte d'identification avec les informations d'identification sa pour l'instance X et un compte d'identification différent avec les informations d'identification sa pour l'instance Y. Lorsque vous configurez le profil d'identification SQL Server, vous associez les informations d'identification des deux comptes d'identification pour les instances X et Y au profil et vous spécifiez que les informations d'identification de l'instance X du compte d'identification doivent être utilisées pour l'instance X SQL Server et que les informations d'identification de l'instance Y du compte d'identification doivent être utilisées pour l'instance Y SQL Server. Ensuite, vous configurez les deux comptes d'identification à distribuer à l'ordinateur physique ABC.

Sélection d'une cible pour un compte d'identification

Comme l'indique l'image précédente, vos options pour la sélection d'une cible pour un compte d'identification sont Tous les objets ciblés et Une classe, un groupe ou un objet sélectionné(e).

Lorsque vous sélectionnez Tous les objets ciblés, le profil d'identification utilisera ce compte d'identification pour tous les objets pour les flux de travail qui utilisent le profil d'identification. …

Lorsque vous sélectionnez Une classe, un groupe ou un objet sélectionné(e), vous pouvez limiter l'utilisation du compte d'identification à la classe, au groupe ou à l'objet que vous spécifiez. …

Notes

Les informations d'identification du compte d'identification doivent être distribuées à...

Comparaison entre une distribution plus sécurisée et une distribution moins sécurisée

Operations Manager distribue les informations d'identification du compte d'identification à tous les ordinateurs gérés par agent (option la moins sécurisée) ou uniquement aux ordinateurs qui vous spécifiez (option la plus sécurisée). Si Operations Manager a distribué automatiquement le compte d'identification en fonction de la détection, cela introduirait un risque de sécurité dans votre environnement comme illustré dans l'exemple suivant. C'est pourquoi une option de distribution automatique n'a pas été incluse dans Operations Manager.

Par exemple, Operations Manager identifie un ordinateur qui héberge SQL Server 2005 en fonction de la présence d'une clé de registre. Il est possible de créer cette même clé de registre sur un ordinateur n'exécutant pas vraiment une instance de SQL Server 2005. Si Operations Manager distribuait automatiquement les informations d'identification à tous les ordinateurs gérés par agent identifiés en tant qu'ordinateurs SQL Server 2005, les informations d'identification seraient envoyées au SQL Server imposteur et seraient disponibles pour toute personne disposant de droits d'administrateur sur ce serveur.

Lorsque vous créez un compte d'identification, vous êtes invité à choisir si le compte d'identification doit être traité en mode Moins sécurisé ou Plus sécurisé. Plus sécurisé signifie que, lorsque vous associez le compte d'identification à un profil d'identification, vous devez fournir les noms des ordinateurs spécifiques sur lesquels vous voulez distribuer les informations d'identification. En identifiant clairement les ordinateurs de destination, vous pouvez éviter le scénario d'usurpation d'identité qui a été décrit précédemment. Si vous choisissez l'option la moins sécurisée, vous n'aurez pas à fournir d'ordinateurs spécifiques et les informations d'identification seront distribuées à tous les ordinateurs gérés par agent.

Notes

Operations Manager effectuera des tests pour valider les informations d'identification, notamment si les informations d'identification peuvent être utilisées pour ouvrir une session localement sur l'ordinateur. Si le compte ne dispose pas du droit d'ouvrir une session localement, une alerte est générée.