Megosztás a következőn keresztül:


Szolgáltatás-, felhasználó- és biztonsági fiókok

Fontos

Az Operations Manager ezen verziója elérte a támogatás végét. Javasoljuk, hogy frissítsen az Operations Manager 2022-re.

Az Operations Manager beállítása és napi műveletei során a rendszer kérni fogja, hogy adjon meg hitelesítő adatokat több fiókhoz. Ez a cikk az egyes fiókokról nyújt információkat, beleértve az SDK- és konfigurációs szolgáltatást, az ügynöktelepítést, a Data Warehouse írási és adatolvasói fiókokat.

Megjegyzés

Az Operations Manager telepítése kiépít minden szükséges SQL-engedélyt.

Ha tartományi fiókokat használ, és a tartományi Csoportházirend objektum (GPO) alapértelmezett jelszólejárati szabályzata szükség szerint van beállítva, akkor vagy módosítania kell a szolgáltatásfiókok jelszavát az ütemezésnek megfelelően, rendszerfiókokat kell használnia, vagy úgy kell konfigurálnia a fiókokat, hogy a jelszavak soha ne járjanak le.

Műveleti fiókok

A System Center Operations Managerben a felügyeleti kiszolgálók, az átjárókiszolgálók és az ügynökök mindegyike végrehajt egy MonitoringHost.exe nevű folyamatot. MonitoringHost.exe olyan figyelési tevékenységek végrehajtására szolgál, mint például egy figyelő végrehajtása vagy egy feladat futtatása. A MonitoringHost.exe végrehajtandó műveletek további példái a következők:

  • A Windows eseménynapló-adatainak monitorozása és gyűjtése
  • A Windows teljesítményszámlálóinak adatainak monitorozása és gyűjtése
  • A Windows Management Instrumentation (WMI) adatainak monitorozása és gyűjtése
  • Műveletek, például szkriptek vagy kötegek futtatása

A MonitoringHost.exe folyamat futtatásához használt fiók a műveleti fiók. Ezeket a műveleteket a MonitoringHost.exe folyamat futtatja a műveleti fiókhoz megadott hitelesítő adatok használatával. Minden fiókhoz a MonitoringHost.exe egy új példánya jön létre. Az ügynökön futó MonitoringHost.exe folyamat műveleti fiókja az ügynökműveleti fiók. A felügyeleti kiszolgálón futó MonitoringHost.exe folyamat műveleti fiókja a felügyeleti kiszolgáló műveleti fiókja. Az átjárókiszolgálón futó MonitoringHost.exe folyamat műveleti fiókja az átjárókiszolgáló műveleti fiókja. Javasoljuk, hogy a felügyeleti csoport összes felügyeleti kiszolgálóján helyi rendszergazdai jogosultságokat adjon a fióknak, kivéve, ha a szervezet informatikai biztonsági szabályzata megköveteli a minimális jogosultsági szintű hozzáférést.

Ha nincs társítva művelet futtató profilhoz, a művelet végrehajtásához használt hitelesítő adatok a műveleti fiókhoz megadott hitelesítő adatok lesznek. A futtató fiókokról és futtató profilokról további információt talál a Futtató fiókok című témakörben. Amikor egy ügynök az alapértelmezett műveleti fiók és/vagy futtató fiók(ok) nevében hajt végre műveleteket, akkor minden egyes fiókhoz a MonitoringHost.exe egy új példánya jön létre.

Az Operations Manager telepítésekor megadhatja a tartományi fiókot, vagy használhatja a LocalSystemet. A biztonságosabb módszer egy tartományi fiók megadása, amely lehetővé teszi, hogy a környezethez szükséges legkisebb jogosultságokkal rendelkező felhasználót válassza ki.

Az ügynök műveleti fiókjához minimális jogosultságú fiókot is használhat. A Windows Server 2008 R2 vagy újabb operációs rendszert futtató számítógépeken a fióknak legalább a következő jogosultságokkal kell rendelkeznie:

  • A helyi Felhasználók csoport tagja
  • A helyi Teljesítményfigyelő felhasználók csoport tagja
  • Helyi bejelentkezés engedélyezése (SetInteractiveLogonRight) engedély (az Operations Manager 2019-ben és újabb verzióiban nem alkalmazható).

Megjegyzés

A fenti minimális jogosultságok az Operations Manager által a műveleti fiók esetében támogatott legalacsonyabb jogosultságok. Más futtató fiókok rendelkezhetnek alacsonyabb szintű jogosultságokkal. A műveleti fiókhoz és a futtató fiókokhoz szükséges tényleges jogosultságok attól függnek, hogy mely felügyeleti csomagok futnak a számítógépen, és hogyan vannak konfigurálva. Azzal kapcsolatban, hogy pontosan mely jogosultságokra van szükség, a megfelelő felügyeleti csomag útmutatójában talál további információkat.

A műveleti fiókhoz megadott tartományi fiókhoz a Bejelentkezés szolgáltatásként (SeServiceLogonRight) vagy a Bejelentkezés Batchként (SeBatchLogonRight) engedély adható meg, ha a biztonsági szabályzat nem teszi lehetővé, hogy a szolgáltatásfiók interaktív bejelentkezési munkamenetet kapjon, például ha intelligens kártyás hitelesítésre van szükség. Módosítsa a beállításjegyzék-értéket HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\System Center\Health Service:

A műveleti fiókhoz megadott tartományi fiók a Bejelentkezés szolgáltatásként (SeServiceLogonRight) engedéllyel van megadva. Az állapotfigyelő szolgáltatás bejelentkezési típusának módosításához módosítsa a beállításjegyzék-értéketHKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\System Center\Health Service:

  • Név: Feldolgozói folyamat bejelentkezési típusa
  • Típus: REG_DWORD
  • Értékek: Négy (4) – Bejelentkezés kötegként, Kettő (2) – Helyi bejelentkezés engedélyezése és Öt (5) – Bejelentkezés szolgáltatásként. Az alapértelmezett érték 2.
  • Értékek: Négy (4) – Bejelentkezés Batchként, Kettő (2) – Helyi bejelentkezés engedélyezése, öt (5) – Bejelentkezés szolgáltatásként. Az alapértelmezett érték 5.

A beállítást központilag kezelheti a Csoportházirend használatával, ha átmásolja az ADMX-fájlt a mappában C:\Windows\PolicyDefinitions található felügyeleti kiszolgálóról vagy ügynök által felügyelt rendszerből, és konfigurálja a Monitoring Action Account Logon Type (Figyelési műveleti fiók bejelentkezési típusa) beállítást a mappábanComputer Configuration\Administrative Templates\System Center - Operations Manager.healthservice.admx Az Csoportházirend ADMX-fájlok kezelésével kapcsolatos további információkért lásd: Csoportházirend ADMX-fájlok kezelése.

A System Center konfigurációs szolgáltatás és a System Center adatelérési szolgáltatás fiókja

A System Center konfigurációs szolgáltatás és a System Center adatelérési szolgáltatás fiókját a System Center adatelérési szolgáltatás és a System Center felügyeleti konfigurációs szolgáltatás használja az operatív adatbázisban található információk frissítésére. A műveleti fiók hitelesítő adatait az sdk_user szerepkörhöz rendeli a program az Operations Manager-adatbázisban.

A fióknak tartományi felhasználónak vagy LocalSystemnek kell lennie. Az SDK- és konfigurációs szolgáltatásfiókhoz használt fióknak helyi rendszergazdai jogosultságokat kell biztosítani a felügyeleti csoport összes felügyeleti kiszolgálóján. A helyi felhasználói fiók használata nem támogatott. A nagyobb biztonság érdekében azt javasoljuk, hogy használjon tartományi felhasználói fiókot, és ez egy másik fiók, mint amelyet a felügyeleti kiszolgáló műveleti fiókjához használt. A LocalSystem-fiók a Legmagasabb jogosultsági szintű fiók a Windows rendszerű számítógépeken, még a helyi rendszergazdai fióknál is magasabb. Amikor egy szolgáltatás a LocalSystem környezetében fut, a szolgáltatás teljes mértékben felügyeli a számítógép helyi erőforrásait, és a számítógép identitását használja a távoli erőforrások hitelesítéséhez és eléréséhez. A LocalSystem-fiók használata biztonsági kockázatot jelent, mivel nem felel meg a minimális jogosultság elvének. Az Operations Manager-adatbázist üzemeltető SQL Server példányon szükséges jogosultságok miatt a biztonsági kockázatok elkerülése érdekében a felügyeleti csoport felügyeleti kiszolgálójának biztonsága érdekében legalább jogosultsági engedélyekkel rendelkező tartományi fiókra van szükség. Ennek okai a következők:

  • A LocalSystem nem rendelkezik jelszóval
  • Nem rendelkezik saját profillal
  • Kiterjedt jogosultságokkal rendelkezik a helyi számítógépen
  • Bemutatja a számítógép hitelesítő adatait a távoli számítógépeknek

Megjegyzés

Ha az Operations Manager-adatbázis a felügyeleti kiszolgálótól eltérő számítógépre van telepítve, és a LocalSystem van kiválasztva az Adatelérési és konfigurációs szolgáltatásfiókhoz, a felügyeleti kiszolgáló számítógépfiókja sdk_user szerepkörhöz lesz rendelve az Operations Manager adatbázis-számítógépén.

További információ: LocalSystem.

Adatraktáríró fiók

Az adattárházíró fiók a felügyeleti kiszolgálóról érkező adatokat a jelentéskészítési adattárházba írja, valamint adatokat olvas be az Operations Manager adatbázisából. A következő táblázat a telepítés során a tartományi felhasználói fiókhoz rendelt szerepköröket és tagságokat ismerteti.

Alkalmazás Adatbázis/szerepkör Szerepkör/fiók
Microsoft SQL Server OperationsManager db_datareader
Microsoft SQL Server OperationsManager dwsync_user
Microsoft SQL Server OperationsManagerDW OpsMgrWriter
Microsoft SQL Server OperationsManagerDW db_owner
Operations Manager Felhasználói szerepkör Operations Manager jelentésbiztonsági rendszergazdái
Operations Manager Futtató fiók Adatraktár műveleti fiókja
Operations Manager Futtató fiók Adatraktár-konfiguráció szinkronizációs olvasófiókja

Adatolvasó fiók

Az adatolvasó fiók használatos a jelentések telepítéséhez, annak meghatározásához, hogy az SQL Server Reporting Services mely felhasználót használja a jelentéskészítési adattárházon végzett lekérdezéséhez, valamint a felügyeleti kiszolgálóhoz csatlakozó SQL Server Reporting Services-fiók meghatározásához. A tartományi felhasználói fiók a jelentés-rendszergazdai felhasználói profilhoz lesz hozzáadva. A következő táblázat a telepítés során a fiókhoz rendelt szerepköröket és tagságokat ismerteti.

Alkalmazás Adatbázis/szerepkör Szerepkör/fiók
Microsoft SQL Server Reporting Services telepítési példánya Jelentéskészítő kiszolgáló futtatási fiókja
Microsoft SQL Server OperationsManagerDW OpsMgrReader
Operations Manager Felhasználói szerepkör Operations Manager jelentéskezelők
Operations Manager Felhasználói szerepkör Operations Manager jelentésbiztonsági rendszergazdái
Operations Manager Futtató fiók Adatraktár jelentéstelepítési fiókja
Windows-szolgáltatás SQL Server Reporting Services Bejelentkezési fiók

Ellenőrizze, hogy az adatolvasó fiókhoz használni kívánt fiók rendelkezik-e a Bejelentkezés szolgáltatásként (2019-es és újabb verziókhoz) vagy a Bejelentkezés szolgáltatásként és a Helyi bejelentkezés engedélyezése (korábbi kiadás esetén) jogosultsággal minden felügyeleti kiszolgálóhoz, valamint a jelentéskészítő kiszolgálói szerepkört futtató SQL Server.

Ügynöktelepítési fiók

A felderítési alapú ügynöktelepítés végrehajtásakor rendszergazdai jogosultságokkal rendelkező fiókra van szükség az ügynöktelepítésre szánt számítógépeken. Az ügynöktelepítés alapértelmezett fiókja a felügyeleti kiszolgáló műveleti fiókja. Ha a felügyeleti kiszolgáló műveleti fiókja nem rendelkezik rendszergazdai jogosultságokkal, az operátornak meg kell adnia egy rendszergazdai jogosultságokkal rendelkező felhasználói fiókot és jelszót a célszámítógépeken. A rendszer a használata előtt titkosítja a fiókot, majd utána eldobja.

Értesítési műveleti fiók

A rendszer az Értesítési műveleti fiókot használja az értesítések létrehozásához és küldéséhez. A fióknak megfelelő jogosultságokkal kell rendelkeznie az értesítésekhez használt SMTP-, azonnali üzenetküldési vagy SIP-kiszolgálóhoz.