Comptes et profils d’identification
Les comptes d’identification définissent les informations d’identification utilisées pour certaines actions effectuées par l’agent Operations Manager. Ces comptes sont gérés de manière centralisée via la console Opérateur et affectés à différents profils d’identification. Si un profil d’identification n’est pas affecté à une action particulière, il est effectué sous le compte d’action par défaut. Dans un environnement à privilèges faibles, le compte par défaut peut ne pas disposer des autorisations requises pour une action particulière, et un profil d’identification peut être utilisé pour fournir cette autorité. Les packs d’administration peuvent installer des profils d’identification et des comptes d’identification pour prendre en charge les actions requises. Dans ce cas, leur documentation doit être référencée pour toute configuration requise.
Comptes d’identification par défaut
Le tableau suivant répertorie les comptes d’identification par défaut créés par Operations Manager lors de l’installation.
| Nom | Description | Informations d'identification |
|---|---|---|
| Domain\ManagementServerActionAccount | Compte d’utilisateur sous lequel toutes les règles s’exécutent par défaut sur les serveurs d’administration. | Compte de domaine spécifié comme compte d’action du serveur d’administration pendant l’installation. |
| Compte d’action système local | Compte système intégré utilisé comme compte d’action. | Compte système local Windows |
| Compte APM | Application Analyseur de performances compte utilisé pour fournir des clés pour chiffrer les informations sécurisées collectées à partir de l’application pendant la surveillance. Ce compte est créé automatiquement une fois que vous avez créé votre premier Analyseur de performances .NET. | Compte binaire chiffré |
| Compte d’action de l’entrepôt de données | Utilisé pour s’authentifier auprès de SQL Server hébergeant la base de données OperationsManagerDW. | Compte de domaine spécifié lors de l’installation en tant que compte d’écriture de l’entrepôt de données. |
| Compte de déploiement des rapports de l'entrepôt de données | Utilisé pour s’authentifier entre le serveur d’administration et SQL Server hébergeant Operations Manager Reporting Services. | Compte de domaine spécifié lors de l’installation en tant que compte Lecteur de données. |
| Compte Windows système local | Compte SYSTEM intégré utilisé par le compte d’action de l’agent. | Compte système local Windows |
| Compte Windows du service réseau | Compte de service réseau intégré. | Compte Windows NetworkService |
Profils d’identification par défaut
Le tableau suivant répertorie les profils d’identification créés par Operations Manager lors de l’installation.
Remarque
Si le compte d’identification est laissé vide pour un profil particulier, le compte d’action par défaut (le compte d’action du serveur d’administration ou le compte d’action de l’agent en fonction de l’emplacement de l’action) est utilisé.
| Nom | Description | Compte d’identification |
|---|---|---|
| Compte d’affectation d’agent basé sur Active Directory | Compte utilisé par le module d’affectation d’agent basé sur Active Directory pour publier les paramètres d’affectation dans Active Directory. | Compte Windows système local |
| Compte de gestion automatique des agents | Ce compte est utilisé pour diagnostiquer automatiquement les échecs de l’agent. | Aucune |
| Compte d’action de surveillance du client | S’il est spécifié, utilisé par Operations Manager pour exécuter tous les modules d’analyse du client. Si ce n’est pas spécifié, Operations Manager utilise le compte d’action par défaut. | Aucune |
| Compte de groupe d’administration connecté | Compte utilisé par le pack d’administration Operations Manager pour surveiller l’intégrité de la connexion aux groupes d’administration connectés. | Aucune |
| Compte d’entrepôt de données | Si spécifié, ce compte est utilisé pour exécuter toutes les règles de collecte et de synchronisation de l’entrepôt de données au lieu du compte d’action par défaut. Si ce compte n’est pas remplacé par le compte d’authentification SQL Server data Warehouse, ce compte est utilisé par les règles de collecte et de synchronisation pour se connecter aux bases de données Data Warehouse à l’aide de l’authentification intégrée Windows. | Aucune |
| Compte de déploiement des rapports de l'entrepôt de données | Ce compte est utilisé par les procédures de déploiement automatique du rapport Data Warehouse pour exécuter diverses opérations liées au déploiement de rapports. | Compte de déploiement des rapports de l'entrepôt de données |
| compte d'authentification SQL Server de l'entrepôt de données | Si spécifié, ce nom de connexion et ce mot de passe sont utilisés par les règles de collecte et de synchronisation pour se connecter aux bases de données Data Warehouse à l’aide de l’authentification SQL Server. | compte d'authentification SQL Server de l'entrepôt de données |
| Compte d’action MPUpdate | Ce compte est utilisé par l’notificateur MPUpdate. | Aucune |
| Compte de notification | Compte Windows utilisé par les règles de notification. Utilisez l’adresse de messagerie de ce compte comme adresse e-mail et message instantané « From ». | Aucune |
| Compte de base de données opérationnel | Ce compte est utilisé pour lire et écrire des informations dans la base de données Operations Manager. | Aucune |
| Compte de surveillance privilégié | Ce profil est utilisé pour la surveillance, qui ne peut être effectué qu’avec un niveau élevé de privilèges pour un système ; par exemple, la surveillance qui nécessite des autorisations système local ou administrateur local. Ce profil est défini par défaut sur le système local, sauf s’il est spécifiquement remplacé pour un système cible. | Aucune |
| Compte d’authentification SQL Server du Kit de développement logiciel (SDK) Reporting | S’il est spécifié, ce nom de connexion et ce mot de passe sont utilisés par le service SDK pour se connecter aux bases de données Data Warehouse à l’aide de l’authentification SQL Server. | Compte d’authentification SQL Server du Kit de développement logiciel (SDK) Reporting |
| Reserved | Ce profil est réservé et ne doit pas être utilisé. | Aucune |
| Valider le compte d’abonnement aux alertes | Compte utilisé par le module valider l’abonnement aux alertes qui valide que les abonnements aux notifications sont dans l’étendue. Ce profil a besoin des droits d’administrateur. | Compte Windows système local |
| Compte de supervision SNMP | Ce compte est utilisé pour la surveillance SNMP. | Aucune |
| Compte de surveillance SNMPv3 | Ce compte est utilisé pour la surveillance SNMPv3. | Aucune |
| Compte d’action UNIX/Linux | Le compte THis est utilisé pour l’accès UNIX et Linux à faible privilège. | Aucune |
| Compte de maintenance de l’agent UNIX/Linux | Ce compte est utilisé pour les opérations de maintenance privilégiées pour les agents UNIX et Linux. Sans ce compte, les opérations de maintenance de l’agent ne fonctionnent pas. | Aucune |
| Compte privilégié UNIX/Linux | Ce compte est utilisé pour accéder aux ressources et actions UNIX et Linux protégées qui nécessitent des privilèges élevés. Sans ce compte, certaines règles, diagnostics et récupérations ne fonctionnent pas. | Aucune |
| Compte d’action de cluster Windows | Ce profil est utilisé pour toutes les fonctionnalités de découverte et de surveillance des composants de cluster Windows. Ce profil utilise par défaut des comptes d’action, sauf s’il est rempli par l’utilisateur. | Aucune |
| Compte d’action de gestion WS | Ce profil est utilisé pour l’accès WS-Management. | Aucune |
Présentation de la distribution et du ciblage
La distribution de compte d’identification et le ciblage de compte d’identification doivent être correctement configurés pour que le profil d’identification fonctionne correctement.
Lorsque vous configurez un profil d'identification, vous sélectionnez les comptes d'identification que vous voulez associer au profil d'identification. Après avoir créé cette association, vous pouvez spécifier la classe, le groupe ou l’objet pour lequel le compte d’identification doit être utilisé pour exécuter des tâches, des règles, des analyses et des découvertes.
La distribution est un attribut d’un compte d’identification, et vous pouvez spécifier les ordinateurs qui reçoivent les informations d’identification du compte d’identification. Vous pouvez choisir de distribuer les informations d'identification du compte d'identification à tous les ordinateurs gérés par agent ou uniquement aux ordinateurs sélectionnés.
Exemple de ciblage de compte d’identification : l’ordinateur physique ABC héberge deux instances de Microsoft SQL Server : instance X et instance Y. Chaque instance utilise un ensemble différent d’informations d’identification pour le compte sa. Vous créez un compte d’identification avec les informations d’identification sa, par exemple X, et vous créez un autre compte d’identification avec les informations d’identification sa pour l’instance Y. Lorsque vous configurez le profil d’identification SQL Server, vous associez les informations d’identification du compte d’identification (par exemple, X et Y) au profil et spécifiez que les informations d’identification X de l’instance de compte d’identification X doivent être utilisées pour l’instance SQL Server X et que les informations d’identification Y du compte d’identification doivent être utilisées pour l’instance Y de SQL Server. Ensuite, vous devez également configurer chaque ensemble d’informations d’identification du compte d’identification pour qu’ils soient distribués à l’ordinateur physique ABC.
Exemple de distribution de compte d’identification : SQL Server1 et SQL Server2 sont deux ordinateurs physiques différents. SQL Server1 utilise l’ensemble d’informations d’identification UserName1 et Password1 pour le compte SA SQL. SQL Server2 utilise l’ensemble d’informations d’identification UserName2 et Password2 pour le compte SA SQL. Le pack d’administration SQL a un seul profil d’identification SQL utilisé pour tous les serveurs SQL. Vous pouvez ensuite définir un compte d’identification pour un ensemble d’informations d’identification UserName1 et un autre compte d’identification pour l’ensemble d’informations d’identification UserName2. Ces deux comptes d’identification peuvent être associés au profil d’identification SQL Server et peuvent être configurés pour être distribués aux ordinateurs appropriés. Autrement dit, UserName1 est distribué à SQL Server1 et UserName2 est distribué à SQL Server2. Les informations de compte envoyées entre le serveur d’administration et l’ordinateur désigné sont chiffrées.
Sécurité du compte d’identification
Dans System Center Operations Manager, les informations d’identification du compte d’identification sont distribuées uniquement aux ordinateurs que vous spécifiez (option plus sécurisée). Si Operations Manager a distribué automatiquement le compte d’exécution en fonction de la découverte, un risque de sécurité est introduit dans votre environnement, comme illustré dans l’exemple suivant. C’est pourquoi une option de distribution automatique n’a pas été incluse dans Operations Manager.
Par exemple, Operations Manager identifie un ordinateur comme hébergeant SQL Server 2016 en fonction de la présence d’une clé de Registre. Il est possible de créer cette même clé de Registre sur un ordinateur qui n’exécute pas réellement une instance de SQL Server 2016. Si Operations Manager devait distribuer automatiquement les informations d’identification à tous les ordinateurs gérés par l’agent qui ont été identifiés comme ordinateurs SQL Server 2016, les informations d’identification sont envoyées à l’imposteur SQL Server et elles sont disponibles pour toute personne disposant de droits d’administrateur sur ce serveur.
Lorsque vous créez un compte d’identification à l’aide d’Operations Manager, vous êtes invité à choisir si le compte d’identification doit être traité de manière moins sécurisée ou plus sécurisée. « Plus sécurisé » signifie que lorsque vous associez le compte d’identification à un profil d’identification, vous devez fournir les noms d’ordinateur spécifiques auxquels vous souhaitez distribuer les informations d’identification. En identifiant clairement les ordinateurs de destination, vous pouvez éviter le scénario d'usurpation d'identité qui a été décrit précédemment. Si vous choisissez l’option moins sécurisée, vous n’aurez pas besoin de fournir d’ordinateurs spécifiques, et les informations d’identification seront distribuées à tous les ordinateurs gérés par l’agent.
Remarque
Les informations d’identification que vous sélectionnez pour le compte d’identification doivent avoir au minimum des droits d’ouverture de session localement ; sinon, le module échoue.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour