Szolgáltatás-, felhasználó- és biztonsági fiókok
Fontos
Az Operations Manager ezen verziója elérte a támogatás végét. Javasoljuk, hogy frissítsen az Operations Manager 2022-re.
Az Operations Manager beállítása és napi műveletei során a rendszer kérni fogja, hogy adjon meg hitelesítő adatokat több fiókhoz. Ez a cikk az egyes fiókokról nyújt információkat, beleértve az SDK- és konfigurációs szolgáltatást, az ügynöktelepítést, a Data Warehouse írási és adatolvasói fiókokat.
Megjegyzés
Az Operations Manager telepítése kiépít minden szükséges SQL-engedélyt.
Ha tartományi fiókokat használ, és a tartományi Csoportházirend objektum (GPO) alapértelmezett jelszólejárati szabályzata szükség szerint van beállítva, akkor vagy módosítania kell a szolgáltatásfiókok jelszavát az ütemezésnek megfelelően, rendszerfiókokat kell használnia, vagy úgy kell konfigurálnia a fiókokat, hogy a jelszavak soha ne járjanak le.
Műveleti fiókok
A System Center Operations Managerben a felügyeleti kiszolgálók, az átjárókiszolgálók és az ügynökök mindegyike végrehajt egy MonitoringHost.exe nevű folyamatot. MonitoringHost.exe olyan figyelési tevékenységek végrehajtására szolgál, mint például egy figyelő végrehajtása vagy egy feladat futtatása. A MonitoringHost.exe végrehajtandó műveletek további példái a következők:
- A Windows eseménynapló-adatainak monitorozása és gyűjtése
- A Windows teljesítményszámlálóinak adatainak monitorozása és gyűjtése
- A Windows Management Instrumentation (WMI) adatainak monitorozása és gyűjtése
- Műveletek, például szkriptek vagy kötegek futtatása
A MonitoringHost.exe folyamat futtatásához használt fiók a műveleti fiók. Ezeket a műveleteket a MonitoringHost.exe folyamat futtatja a műveleti fiókhoz megadott hitelesítő adatok használatával. Minden fiókhoz a MonitoringHost.exe egy új példánya jön létre. Az ügynökön futó MonitoringHost.exe folyamat műveleti fiókja az ügynökműveleti fiók. A felügyeleti kiszolgálón futó MonitoringHost.exe folyamat műveleti fiókja a felügyeleti kiszolgáló műveleti fiókja. Az átjárókiszolgálón futó MonitoringHost.exe folyamat műveleti fiókja az átjárókiszolgáló műveleti fiókja. Javasoljuk, hogy a felügyeleti csoport összes felügyeleti kiszolgálóján helyi rendszergazdai jogosultságokat adjon a fióknak, kivéve, ha a szervezet informatikai biztonsági szabályzata megköveteli a minimális jogosultsági szintű hozzáférést.
Ha nincs társítva művelet futtató profilhoz, a művelet végrehajtásához használt hitelesítő adatok a műveleti fiókhoz megadott hitelesítő adatok lesznek. A futtató fiókokról és futtató profilokról további információt talál a Futtató fiókok című témakörben. Amikor egy ügynök az alapértelmezett műveleti fiók és/vagy futtató fiók(ok) nevében hajt végre műveleteket, akkor minden egyes fiókhoz a MonitoringHost.exe egy új példánya jön létre.
Az Operations Manager telepítésekor megadhatja a tartományi fiókot, vagy használhatja a LocalSystemet. A biztonságosabb módszer egy tartományi fiók megadása, amely lehetővé teszi, hogy a környezethez szükséges legkisebb jogosultságokkal rendelkező felhasználót válassza ki.
Az ügynök műveleti fiókjához minimális jogosultságú fiókot is használhat. A Windows Server 2008 R2 vagy újabb operációs rendszert futtató számítógépeken a fióknak legalább a következő jogosultságokkal kell rendelkeznie:
- A helyi Felhasználók csoport tagja
- A helyi Teljesítményfigyelő felhasználók csoport tagja
- Helyi bejelentkezés engedélyezése (SetInteractiveLogonRight) engedély (az Operations Manager 2019-ben és újabb verzióiban nem alkalmazható).
Megjegyzés
A fenti minimális jogosultságok az Operations Manager által a műveleti fiók esetében támogatott legalacsonyabb jogosultságok. Más futtató fiókok rendelkezhetnek alacsonyabb szintű jogosultságokkal. A műveleti fiókhoz és a futtató fiókokhoz szükséges tényleges jogosultságok attól függnek, hogy mely felügyeleti csomagok futnak a számítógépen, és hogyan vannak konfigurálva. Azzal kapcsolatban, hogy pontosan mely jogosultságokra van szükség, a megfelelő felügyeleti csomag útmutatójában talál további információkat.
A műveleti fiókhoz megadott tartományi fiókhoz a Bejelentkezés szolgáltatásként (SeServiceLogonRight) vagy a Bejelentkezés Batchként (SeBatchLogonRight) engedély adható meg, ha a biztonsági szabályzat nem teszi lehetővé, hogy a szolgáltatásfiók interaktív bejelentkezési munkamenetet kapjon, például ha intelligens kártyás hitelesítésre van szükség. Módosítsa a beállításjegyzék-értéket HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\System Center\Health Service:
A műveleti fiókhoz megadott tartományi fiók a Bejelentkezés szolgáltatásként (SeServiceLogonRight) engedéllyel van megadva. Az állapotfigyelő szolgáltatás bejelentkezési típusának módosításához módosítsa a beállításjegyzék-értéketHKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\System Center\Health Service:
- Név: Feldolgozói folyamat bejelentkezési típusa
- Típus: REG_DWORD
- Értékek: Négy (4) – Bejelentkezés kötegként, Kettő (2) – Helyi bejelentkezés engedélyezése és Öt (5) – Bejelentkezés szolgáltatásként. Az alapértelmezett érték 2.
- Értékek: Négy (4) – Bejelentkezés Batchként, Kettő (2) – Helyi bejelentkezés engedélyezése, öt (5) – Bejelentkezés szolgáltatásként. Az alapértelmezett érték 5.
A beállítást központilag kezelheti a Csoportházirend használatával, ha átmásolja az ADMX-fájlt a mappában C:\Windows\PolicyDefinitions található felügyeleti kiszolgálóról vagy ügynök által felügyelt rendszerből, és konfigurálja a Monitoring Action Account Logon Type (Figyelési műveleti fiók bejelentkezési típusa) beállítást a mappábanComputer Configuration\Administrative Templates\System Center - Operations Manager.healthservice.admx Az Csoportházirend ADMX-fájlok kezelésével kapcsolatos további információkért lásd: Csoportházirend ADMX-fájlok kezelése.
A System Center konfigurációs szolgáltatás és a System Center adatelérési szolgáltatás fiókja
A System Center konfigurációs szolgáltatás és a System Center adatelérési szolgáltatás fiókját a System Center adatelérési szolgáltatás és a System Center felügyeleti konfigurációs szolgáltatás használja az operatív adatbázisban található információk frissítésére. A műveleti fiók hitelesítő adatait az sdk_user szerepkörhöz rendeli a program az Operations Manager-adatbázisban.
A fióknak tartományi felhasználónak vagy LocalSystemnek kell lennie. Az SDK- és konfigurációs szolgáltatásfiókhoz használt fióknak helyi rendszergazdai jogosultságokat kell biztosítani a felügyeleti csoport összes felügyeleti kiszolgálóján. A helyi felhasználói fiók használata nem támogatott. A nagyobb biztonság érdekében azt javasoljuk, hogy használjon tartományi felhasználói fiókot, és ez egy másik fiók, mint amelyet a felügyeleti kiszolgáló műveleti fiókjához használt. A LocalSystem-fiók a Legmagasabb jogosultsági szintű fiók a Windows rendszerű számítógépeken, még a helyi rendszergazdai fióknál is magasabb. Amikor egy szolgáltatás a LocalSystem környezetében fut, a szolgáltatás teljes mértékben felügyeli a számítógép helyi erőforrásait, és a számítógép identitását használja a távoli erőforrások hitelesítéséhez és eléréséhez. A LocalSystem-fiók használata biztonsági kockázatot jelent, mivel nem felel meg a minimális jogosultság elvének. Az Operations Manager-adatbázist üzemeltető SQL Server példányon szükséges jogosultságok miatt a biztonsági kockázatok elkerülése érdekében a felügyeleti csoport felügyeleti kiszolgálójának biztonsága érdekében legalább jogosultsági engedélyekkel rendelkező tartományi fiókra van szükség. Ennek okai a következők:
- A LocalSystem nem rendelkezik jelszóval
- Nem rendelkezik saját profillal
- Kiterjedt jogosultságokkal rendelkezik a helyi számítógépen
- Bemutatja a számítógép hitelesítő adatait a távoli számítógépeknek
Megjegyzés
Ha az Operations Manager-adatbázis a felügyeleti kiszolgálótól eltérő számítógépre van telepítve, és a LocalSystem van kiválasztva az Adatelérési és konfigurációs szolgáltatásfiókhoz, a felügyeleti kiszolgáló számítógépfiókja sdk_user szerepkörhöz lesz rendelve az Operations Manager adatbázis-számítógépén.
További információ: LocalSystem.
Adatraktáríró fiók
Az adattárházíró fiók a felügyeleti kiszolgálóról érkező adatokat a jelentéskészítési adattárházba írja, valamint adatokat olvas be az Operations Manager adatbázisából. A következő táblázat a telepítés során a tartományi felhasználói fiókhoz rendelt szerepköröket és tagságokat ismerteti.
| Alkalmazás | Adatbázis/szerepkör | Szerepkör/fiók |
|---|---|---|
| Microsoft SQL Server | OperationsManager | db_datareader |
| Microsoft SQL Server | OperationsManager | dwsync_user |
| Microsoft SQL Server | OperationsManagerDW | OpsMgrWriter |
| Microsoft SQL Server | OperationsManagerDW | db_owner |
| Operations Manager | Felhasználói szerepkör | Operations Manager jelentésbiztonsági rendszergazdái |
| Operations Manager | Futtató fiók | Adatraktár műveleti fiókja |
| Operations Manager | Futtató fiók | Adatraktár-konfiguráció szinkronizációs olvasófiókja |
Adatolvasó fiók
Az adatolvasó fiók használatos a jelentések telepítéséhez, annak meghatározásához, hogy az SQL Server Reporting Services mely felhasználót használja a jelentéskészítési adattárházon végzett lekérdezéséhez, valamint a felügyeleti kiszolgálóhoz csatlakozó SQL Server Reporting Services-fiók meghatározásához. A tartományi felhasználói fiók a jelentés-rendszergazdai felhasználói profilhoz lesz hozzáadva. A következő táblázat a telepítés során a fiókhoz rendelt szerepköröket és tagságokat ismerteti.
| Alkalmazás | Adatbázis/szerepkör | Szerepkör/fiók |
|---|---|---|
| Microsoft SQL Server | Reporting Services telepítési példánya | Jelentéskészítő kiszolgáló futtatási fiókja |
| Microsoft SQL Server | OperationsManagerDW | OpsMgrReader |
| Operations Manager | Felhasználói szerepkör | Operations Manager jelentéskezelők |
| Operations Manager | Felhasználói szerepkör | Operations Manager jelentésbiztonsági rendszergazdái |
| Operations Manager | Futtató fiók | Adatraktár jelentéstelepítési fiókja |
| Windows-szolgáltatás | SQL Server Reporting Services | Bejelentkezési fiók |
Ellenőrizze, hogy az adatolvasó fiókhoz használni kívánt fiók rendelkezik-e a Bejelentkezés szolgáltatásként (2019-es és újabb verziókhoz) vagy a Bejelentkezés szolgáltatásként és a Helyi bejelentkezés engedélyezése (korábbi kiadás esetén) jogosultsággal minden felügyeleti kiszolgálóhoz, valamint a jelentéskészítő kiszolgálói szerepkört futtató SQL Server.
Ügynöktelepítési fiók
A felderítési alapú ügynöktelepítés végrehajtásakor rendszergazdai jogosultságokkal rendelkező fiókra van szükség az ügynöktelepítésre szánt számítógépeken. Az ügynöktelepítés alapértelmezett fiókja a felügyeleti kiszolgáló műveleti fiókja. Ha a felügyeleti kiszolgáló műveleti fiókja nem rendelkezik rendszergazdai jogosultságokkal, az operátornak meg kell adnia egy rendszergazdai jogosultságokkal rendelkező felhasználói fiókot és jelszót a célszámítógépeken. A rendszer a használata előtt titkosítja a fiókot, majd utána eldobja.
Értesítési műveleti fiók
A rendszer az Értesítési műveleti fiókot használja az értesítések létrehozásához és küldéséhez. A fióknak megfelelő jogosultságokkal kell rendelkeznie az értesítésekhez használt SMTP-, azonnali üzenetküldési vagy SIP-kiszolgálóhoz.