Comptes et profils d'identification
Important
Cette version d’Operations Manager a atteint la fin du support. Nous vous recommandons de mettre à niveau vers Operations Manager 2022.
Les comptes d’identification définissent les informations d’identification utilisées pour certaines actions effectuées par l’agent Operations Manager. Ces comptes sont gérés de manière centralisée via la console Opérateur et affectés à différents profils d’identification. Si un profil d’identification n’est pas affecté à une action particulière, il est effectué sous le compte Action par défaut. Dans un environnement à faible privilège, il est possible que le compte par défaut ne dispose pas des autorisations requises pour une action particulière, et un profil d’identification peut servir à fournir cette autorité. Les packs d’administration peuvent installer des profils et comptes d’identification pour prendre en charge les actions requises. Dans ce cas, leur documentation doit être référencée pour toute configuration requise.
Comptes d’identification par défaut
Le tableau suivant répertorie les comptes d’identification par défaut créés par Operations Manager pendant l’installation.
| Nom | Description | Informations d'identification |
|---|---|---|
| Domaine\ManagementServerActionAccount | Compte d’utilisateur sous lequel toutes les règles s’exécutent par défaut sur les serveurs d’administration. | Compte de domaine spécifié en tant que compte d’action du serveur d’administration pendant l’installation. |
| Compte d’action du système local | Compte système intégré utilisé en tant que compte d’action. | Compte système local Windows |
| Compte APM | Compte d’analyse des performances des applications utilisé pour fournir des clés de chiffrement des informations sécurisées collectées à partir de l’application pendant l’analyse. Ce compte est créé automatiquement une fois que vous avez créé votre première Analyseur de performances .NET. | Compte binaire chiffré |
| compte d'action d'entrepôt de données | Utilisé pour s’authentifier auprès du serveur SQL Server hébergeant la base de données OperationsManagerDW. | Compte de domaine spécifié pendant l’installation en tant que compte d’écriture d’entrepôt de données. |
| Compte de déploiement des rapports de l'entrepôt de données | Utilisé pour l’authentification entre le serveur d’administration et le serveur SQL Server hébergeant Operations Manager Reporting Services. | Compte de domaine spécifié pendant l’installation en tant que compte de lecteur de données |
| Compte système local Windows | Compte SYSTÈME intégré utilisé par le compte d’action d’agent. | Compte système local Windows |
| Compte de service réseau Windows | Compte de service réseau intégré. | Compte de service réseau Windows |
Profils d’identification par défaut
Le tableau suivant répertorie les profils d’identification créés par Operations Manager pendant l’installation.
Notes
Si le compte d’identification est laissé vide pour un profil particulier, le compte Action par défaut (soit le compte d’action du serveur d’administration, soit le compte d’action de l’agent selon l’emplacement de l’action) est utilisé.
| Nom | Description | compte d'identification |
|---|---|---|
| Compte d'assignation d'agent basé sur Active Directory | Compte utilisé par le module d’assignation d’agent basé sur Active Directory pour publier les paramètres d’assignation sur Active Directory. | Compte système local Windows |
| Compte d'administration d'agent automatique | Ce compte est utilisé pour diagnostiquer automatiquement les défaillances de l’agent. | None |
| Compte d'action d'analyse client | S’il est spécifié, utilisé par Operations Manager pour exécuter tous les modules d’analyse du client. S’il n’est pas spécifié, Operations Manager utilise le compte d’action par défaut. | None |
| Compte du groupe d'administration connecté | Compte utilisé par le pack d’administration Operations Manager pour analyser l’intégrité de la connexion des groupes d’administration connectés. | None |
| compte d'entrepôt de données | Si ce compte est spécifié, ce compte sert à exécuter toutes les règles de collecte et de synchronisation de l'entrepôt de données à la place du compte d'action par défaut. Si ce compte n’est pas remplacé par le compte d’authentification Data Warehouse SQL Server, il est utilisé par les règles de collecte et de synchronisation pour se connecter aux bases de données Data Warehouse à l’aide de l’authentification intégrée Windows. | None |
| Compte de déploiement des rapports de l'entrepôt de données | Les procédures de déploiement automatique des rapports de l’entrepôt de données utilisent ce compte pour exécuter diverses opérations relatives au déploiement des rapports. | Compte de déploiement des rapports de l'entrepôt de données |
| compte d'authentification SQL Server de l'entrepôt de données | S’il est spécifié, ce nom de connexion et ce mot de passe sont utilisés par les règles de collecte et de synchronisation pour se connecter aux bases de données Data Warehouse à l’aide de l’authentification SQL Server. | compte d'authentification SQL Server de l'entrepôt de données |
| Compte d'action de mise à jour de packs d'administration | Ce compte est utilisé par le notificateur de mise à jour de packs d’administration. | None |
| Compte de notification | Compte Windows utilisé par des règles de notification. Utilisez l’adresse e-mail de ce compte comme adresse d’expéditeur pour l’e-mail et la messagerie instantanée. | None |
| Compte de base de données opérationnel | Ce compte est utilisé pour lire et écrire des informations dans la base de données Operations Manager. | None |
| Compte d'analyse à droits élevés | Ce profil est utilisé pour l’analyse qui peut uniquement être effectuée à un niveau de privilège élevé sur un système, par exemple l’analyse exigeant les autorisations Administrateur local ou Système local. Par défaut, ce profil correspond à Système local, à moins d’être spécifiquement remplacé pour un système cible. | None |
| compte d'authentification SQL Server du SDK Reporting | S’ils sont spécifiés, ce nom de connexion et ce mot de passe sont utilisés par le service SDK pour se connecter aux bases de données Data Warehouse à l’aide de l’authentification SQL Server. | compte d'authentification SQL Server du SDK Reporting |
| Réservé | Ce profil est réservé et ne peut pas être utilisé. | None |
| Compte de validation d'abonnement d'alerte | Compte utilisé par le module d’abonnement d’alerte de validation qui valide que les abonnements aux notifications sont dans l’étendue. Ce profil a besoin de droits d’administrateur. | Compte système local Windows |
| Compte d'analyse SNMP | Ce compte est utilisé pour l'analyse SNMP. | None |
| Compte d'analyse SNMPv3 | Ce compte est utilisé pour l'analyse SNMPv3. | None |
| Compte d'action UNIX/Linux | Ce compte est utilisé pour les accès UNIX et Linux à faible privilège. | None |
| Compte de maintenance d'agent UNIX/Linux | Ce compte est utilisé pour les opérations de maintenance privilégiées des agents UNIX et Linux. Sans ce compte, les opérations de maintenance de l’agent ne fonctionnent pas. | None |
| Compte privilégié UNIX/Linux | Ce compte est utilisé pour l'accès aux ressources et actions UNIX et Linux protégées nécessitant des privilèges élevés. Sans ce compte, certaines règles, diagnostics et les récupérations ne fonctionnent pas. | None |
| Compte d'action de cluster Windows | Ce profil est utilisé pour toutes les détections et les analyses des composants cluster Windows. Ce profil est défini par défaut sur les comptes d’action utilisés, sauf s’il est rempli par l’utilisateur. | None |
| Compte d'action WS-Management | Ce profil est utilisé pour accéder au service Gestion des services Web. | None |
Présentation de la distribution et du ciblage
La distribution et le ciblage des comptes d’identification doivent être correctement configurés pour que le profil d’identification fonctionne convenablement.
Lorsque vous configurez un profil d'identification, vous sélectionnez les comptes d'identification que vous voulez associer au profil d'identification. Après avoir créé cette association, vous pouvez spécifier la classe, le groupe ou l’objet pour lequel le compte d’identification doit être utilisé pour l’exécution des tâches, règles, analyses et détections.
La distribution est un attribut d’un compte d’identification et vous pouvez spécifier les ordinateurs qui reçoivent les informations d’identification du compte d’identification. Vous pouvez choisir de distribuer les informations d'identification du compte d'identification à tous les ordinateurs gérés par agent ou uniquement aux ordinateurs sélectionnés.
Exemple de ciblage de compte d’identification : l’ordinateur physique ABC héberge deux instances de Microsoft SQL Server : instance X et instance Y. Chaque instance utilise un ensemble d’informations d’identification différent pour le compte sa. Vous créez un compte d’identification avec les informations d’identification sa pour l’instance X et un compte d’identification différent avec les informations d’identification sa pour l’instance Y. Quand vous configurez le profil d’identification SQL Server, vous associez les informations d’identification des deux comptes d’identification, par exemple X et Y, au profil et vous spécifiez que les informations d’identification de l’instance X du compte d’identification doivent être utilisées pour l’instance X SQL Server et que les informations d’identification de l’instance Y du compte d’identification doivent être utilisées pour l’instance Y SQL Server. Ensuite, vous devez également configurer chaque ensemble d’informations d’identification des comptes d’identification à distribuer à l’ordinateur physique ABC.
Exemple de distribution de compte d’identification : SQL Server1 et SQL Server2 sont deux ordinateurs physiques différents. SQL Server1 utilise l’ensemble d’informations d’identification UserName1 et Password1 pour le compte sa SQL. SQL Server2 utilise l’ensemble d’informations d’identification UserName2 et Password2 pour le compte sa SQL. Le pack d’administration SQL a un seul profil d’identification SQL qui est utilisé pour tous les serveurs SQL Server. Vous pouvez ensuite définir un compte d’identification pour l’ensemble d’informations d’identification UserName1 et un autre compte d’identification pour l’ensemble d’informations d’identification UserName2. Ces deux comptes d’identification peuvent être associés au profil d’identification SQL Server et configurés pour être distribués aux ordinateurs appropriés. Autrement dit, UserName1 est distribué à SQL Server1 et UserName2 est distribué à SQL Server2. Les informations de compte qui transitent entre le serveur d’administration et l’ordinateur cible sont chiffrées.
Sécurité du compte d’identification
Dans System Center Operations Manager, les informations d’identification du compte d’identification sont distribuées uniquement aux ordinateurs que vous spécifiez (option la plus sécurisée). Si Operations Manager distribuait automatiquement le compte d’identification en fonction de la détection, cela introduirait un risque de sécurité dans votre environnement, comme illustré dans l’exemple suivant. C’est pourquoi une option de distribution automatique n’a pas été incluse dans Operations Manager.
Par exemple, Operations Manager identifie un ordinateur comme hébergeant SQL Server 2016 en fonction de la présence d’une clé de Registre. Il est possible de créer cette même clé de Registre sur un ordinateur qui n’exécute pas réellement une instance de SQL Server 2016. Si Operations Manager devait distribuer automatiquement les informations d’identification à tous les ordinateurs gérés par agent identifiés en tant qu’ordinateurs SQL Server 2016, les informations d’identification seraient envoyées à l’ordinateur SQL Server imposteur et disponibles pour toute personne disposant de droits d’administrateur sur ce serveur.
Lorsque vous créez un compte d’identification à l’aide d’Operations Manager, vous êtes invité à choisir si le compte d’identification doit être traité de manière moins sécurisée ou plus sécurisée. « Plus sécurisé » signifie que, quand vous associez le compte d’identification à un profil d’identification, vous devez fournir les noms des ordinateurs spécifiques auxquels vous voulez distribuer les informations d’identification. En identifiant clairement les ordinateurs de destination, vous pouvez éviter le scénario d'usurpation d'identité qui a été décrit précédemment. Si vous choisissez l’option moins sécurisée, vous n’aurez pas à fournir d’ordinateurs spécifiques et les informations d’identification seront distribuées à tous les ordinateurs gérés par un agent.
Notes
Les informations d’identification que vous sélectionnez pour le compte d’identification doivent posséder au minimum des droits de connexion en local. Dans le cas contraire, le module échoue.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour