Futtató fiókok és profilok
Fontos
Az Operations Manager ezen verziója elérte a támogatás végét. Javasoljuk, hogy frissítsen az Operations Manager 2022-re.
A futtató fiókok határozzák meg, hogy mely hitelesítő adatokat használják az Operations Manager-ügynök által végrehajtott bizonyos műveletekhez. A fiókok különböző futtató profilokhoz vannak hozzárendelve, központi felügyeletük az operatív konzolon keresztül történik. Ha egy futtató profil nincs hozzárendelve egy adott művelethez, azt az Alapértelmezett művelet fiókban hajtja végre. Alacsony jogosultsági szintű környezetben az alapértelmezett fiók nem mindig rendelkezik az adott művelet végrehajtásához szükséges engedélyekkel – ezek az engedélyek futtató profillal adhatók meg. A felügyeleti csomagok futtató profilokat és fiókokat telepíthetnek a szükséges műveletek elvégzésének támogatásához. Ha igen, a dokumentációjukra hivatkozni kell a szükséges konfigurációkhoz.
Alapértelmezett futtató fiókok
Az alábbi táblázat az Operations Manager által a telepítés során létrehozott alapértelmezett futtató fiókokat sorolja fel.
Név | Leírás | Igazolás |
---|---|---|
Tartomány\Felügyeleti kiszolgáló műveleti fiókja | Az a felhasználói fiók, amely alatt az összes szabály alapértelmezés szerint fut a felügyeleti kiszolgálókon. | A telepítés során a felügyeleti kiszolgáló műveleti fiókjaként megadott tartományfiók. |
Helyi rendszerművelet fiók | Műveleti fiókként működő beépített rendszerfiók. | Helyi Windows-rendszerfiók |
APM-fiók | Az alkalmazásteljesítmény-figyelő fiókja, amely az alkalmazás figyelése során gyűjtött bizalmas adatok titkosítási kulcsait biztosítja. Ez a fiók automatikusan létrejön az első .NET-teljesítményfigyelő létrehozása után. | Titkosított bináris fiók |
Adatraktár műveleti fiókja | Az OperationsManagerDW-adatbázist tároló SQL Server-kiszolgálón történő hitelesítést elvégző fiók. | A telepítés során adatraktáríró fiókként megadott tartományfiók. |
Adatraktár jelentéskészítő fiókja | Az Operations Manager Reporting Services szolgáltatást üzemeltető SQL Server-kiszolgáló és a felügyeleti kiszolgáló közötti hitelesítést elvégző fiók. | A telepítése során adatolvasó fiókként megadott tartományfiók. |
Helyi rendszer Windows-fiókja | Az ügynök műveleti fiókja által használt beépített rendszerfiók. | Helyi Windows-rendszerfiók |
Hálózati szolgáltatás Windows-fiókja | Beépített hálózati szolgáltatásfiók. | Windows NetworkService fiók |
Alapértelmezett futtató profilok
Az alábbi táblázat az Operations Manager által a telepítés során létrehozott futtató profilokat sorolja fel.
Megjegyzés
Ha a futtató fiók üresen marad egy adott profilhoz, akkor az alapértelmezett műveletfiók (a művelet helyétől függően a Felügyeleti kiszolgáló műveleti fiókja vagy az Ügynökművelet-fiók) lesz használatban.
Név | Leírás | Futtató fiók |
---|---|---|
Active Directory-alapú ügynök-hozzárendelési fiók | Ezt a fiókot az Active Directory-alapú ügynök-hozzárendelési modul használja a hozzárendelési beállítások Active Directoryban történő közzétételéhez. | Helyi rendszer Windows-fiókja |
Automatikus ügynökkezelési fiók | Ez a fiók az ügynökhibák automatikus diagnosztizálására szolgál. | None |
Ügyfélfigyelő műveleti fiók | Ha meg van adva, az Operations Manager az összes ügyfélfigyelési modul futtatásához használja. Ha nincs megadva, akkor az Operations Manager az alapértelmezett műveleti fiókot használja. | None |
Csatlakoztatott felügyeleti csoport fiókja | Az Operations Manager felügyeleti csomagja által a csatlakoztatott felügyeleti csoportok kapcsolati állapotának figyeléséhez használt fiók. | None |
Adattárházfiók | Ha meg van adva, akkor az alapértelmezett műveleti fiók helyett ez alatt a fiók alatt fut az adattárházhoz meghatározott valamennyi gyűjtési és szinkronizálási szabály. Ha ezt a fiókot nem bírálja felül a Data Warehouse SQL Server Hitelesítési fiók, akkor ezt a fiókot gyűjtési és szinkronizálási szabályok használják a Data Warehouse adatbázisokhoz való csatlakozáshoz integrált Windows-hitelesítéssel. | None |
Adatraktár jelentéskészítő fiókja | Ezt a fiókot az adattárház automatikus jelentéskészítési eljárásai használják a jelentéskészítéssel kapcsolatos különféle műveletek végrehajtására. | Adatraktár jelentéskészítő fiókja |
Adatraktár – SQL Server-hitelesítési fiók | Ha meg van adva, a gyűjtési és szinkronizálási szabályok ezt a bejelentkezési nevet és jelszót használják a Data Warehouse adatbázisokhoz való csatlakozáshoz SQL Server hitelesítéssel. | Adatraktár – SQL Server-hitelesítési fiók |
MPUpdate műveleti fiók | Ezt a fiókot az MPUpdate-értesítő használja. | None |
Értesítésfeladó fiók | Az értesítési szabályok által használt Windows fiók. Az ehhez a fiókhoz tartozó e-mail-cím jelenik meg a levelezésben és az azonnali üzenetben a feladó címeként. | None |
Operatív adatbázis fiókja | Ezzel a fiókkal történik az adatok Operations Manager-adatbázisbeli olvasása és írása. | None |
Privilegizált figyelési fiók | Ezzel a profillal történik azoknak a figyelési műveleteknek a végrehajtása, amelyekhez magas szintű jogosultságokra van szükség az adott rendszeren. Ilyenek például a „Helyi rendszer” és a „Helyi rendszergazda” jogosultságot igénylő műveletek. Ez a profil alapesetben a helyi rendszer jogosultságait használja, hacsak az egyes célrendszerekre vonatkozóan felül nem bírálja az alapbeállítást. | None |
Jelentéstételi SDK – SQL Server-hitelesítési fiók | Ha meg van adva, az SDK szolgáltatás ezt a bejelentkezési nevet és jelszót használja a Data Warehouse adatbázisokhoz való csatlakozáshoz SQL Server hitelesítéssel. | Jelentéstételi SDK – SQL Server-hitelesítési fiók |
Fenntartva | Ez a profil fenntartott, és nem használható. | None |
Riasztási előfizetés ellenőrzésének fiókja | A riasztásokra való feliratkozásokat ellenőrző modul által használt fiók. A modul feladata annak ellenőrzése, hogy az értesítési feliratkozások a megfelelő hatókörben vannak-e. A profil használata csak rendszergazdai jogosultsággal lehetséges. | Helyi rendszer Windows-fiókja |
SNMP figyelési fiók | SNMP figyelésére szolgáló fiók. | None |
SNMPv3 figyelési fiók | SNMPv3 figyelésére szolgáló fiók. | None |
UNIX/Linux műveleti fiók | Ez a fiók a UNIX és Linux rendszerhez való alacsony jogosultságú hozzáféréshez szükséges. | None |
UNIX/Linux ügynök-karbantartási fiók | Ez a fiók a UNIX- és Linux-ügynökök kiemelt karbantartási műveleteinek elvégzéséhez szükséges. E fiók nélkül az ügynökkarbantartási műveletek nem működnek. | None |
UNIX/Linux rendszer-jogosultságú fiók | A program ezen a fiókon keresztül fér hozzá a védett UNIX- és Linux-erőforrásokhoz, illetve a magas szintű jogosultságot igénylő műveletekhez. E fiók nélkül egyes szabályok, diagnosztikák és helyreállítások nem működnek. | None |
Windows-fürt műveleti fiók | Ez a profil a Windows-fürt összetevőinek felderítésére és figyelésére szolgál. Ez a profil alapértelmezés szerint a használt műveleti fiókokat használja, kivéve, ha a felhasználó tölti ki. | None |
Rendszerfelügyeleti webszolgáltatások műveleti fiókja | Ez a profil a rendszerfelügyeleti webszolgáltatások eléréséhez szükséges. | None |
A terjesztés és a cél meghatározásának ismertetése
A futtató profilok megfelelő működéséhez mind a futtató fiókok terjesztését, mind pedig azok célját helyesen kell beállítani.
A futtató profilok konfigurálásakor ki kell választani az adott futtató profilhoz társítani kívánt futtató fiókokat. A társítás létrehozása után adja meg azt az osztályt, csoportot vagy objektumot, melyen a futtató fiók műveleteit (feladatok, szabályok, figyelők futtatását, valamint a felderítéseket) el kívánja végezni.
A disztribúció egy futtató fiók attribútuma, és megadhatja, hogy mely számítógépek kapják meg a futtató fiók hitelesítő adatait. A futtató fiókok hitelesítő adatai terjeszthetők minden ügynök által felügyelt számítógépre, illetve csak a kiválasztott számítógépekre.
Példa a futtató fiók célzására: Az ABC fizikai számítógép a Microsoft SQL Server két példányát üzemelteti: az X példányt és az Y példányt. Minden példány más hitelesítő adatokat használ az sa-fiókhoz. Létre kell hoznia egy futtató fiókot az X példány rendszergazdai hitelesítő adataival, valamint egy másik futtató fiókot az Y példány rendszergazdai hitelesítő adataival. Az SQL Server futtató profiljának konfigurálásakor mind az X, mind az Y példány futtató fiókjának hitelesítő adatait társítania kell a profilhoz, és meg kell adnia, hogy az X példány futtató fiókjának hitelesítő adatait az SQL Server X példányához, az Y példány futtató fiókjának hitelesítő adatait pedig az SQL Server Y példányához használja a rendszer. Végül be kell állítania, hogy mindkét futtató fiók hitelesítő adatainak terjesztése az ABC fizikai számítógépre történjen.
Példa a futtató fiók terjesztésének megadására: az SQL Server1 és SQL Server2 két külön fizikai számítógép. Az SQL Server1 az SQL-rendszergazdai fiókhoz a Felhasználónév1 és Jelszó1 hitelesítő adatokat használja. Az SQL Server2 az SQL-rendszergazdai fiókhoz a Felhasználónév2 és Jelszó2 hitelesítő adatokat használja. Az SQL-es felügyeleti csomag egyetlen olyan SQL-es futtató profilt tartalmaz, melyet minden SQL Server-kiszolgáló használ. Ezután definiálhat egy futtató fiókot a UserName1 hitelesítő adatok csoportjához, egy másik futtató fiókot pedig a UserName2 hitelesítő adatokhoz. Mindkét futtató fiók társítható az SQL Server egy-egy futtató profiljához, és konfigurálhatók a megfelelő számítógépekre történő terjesztésre. Vagyis a UserName1 az SQL Server1-be, a UserName2 pedig az SQL Server2-be van terjesztve. A felügyeleti kiszolgálóról a kijelölt számítógépre küldött fiókinformációk titkosítottak.
A futtató fiók biztonsága
A System Center Operations Managerben a futtató fiók hitelesítő adatai csak a megadott számítógépekre vannak osztva (ez a biztonságosabb beállítás). Ha az Operations Manager automatikusan, felderítés alapján terjesztené a futtató fiókot, akkor az alábbi példával szemléltetett módon biztonsági kockázat keletkezne a rendszerben. Ez az oka annak, hogy az Operations Manager nem tartalmazott automatikus terjesztési lehetőséget.
Tegyük fel, hogy az Operations Manager az SQL Server 2016 szoftvert futtató számítógépeket a beállításjegyzék egy adott kulcsa alapján azonosítja. Létrehozhatja ugyanazt a beállításkulcsot egy olyan számítógépen, amely valójában nem futtatja a 2016-os SQL Server-példányt. Ha az Operations Manager automatikusan terjesztené a hitelesítési adatokat az összes ügynök által felügyelt számítógépre, amelyet SQL Server 2016 szoftvert futtató számítógépként azonosítottak, akkor a hamisító SQL Server-kiszolgáló is hozzáférne az információkhoz, amelyeket az adott kiszolgálóhoz rendszergazdai jogosultsággal rendelkező felhasználók is megszerezhetnek.
Amikor futtató fiókot hoz létre az Operations Managerrel, a rendszer megkérdezi, hogy a futtató fiókot kevésbé biztonságos vagy biztonságosabb módon kell-e kezelni. A Biztonságosabb beállítás azt jelenti, hogy a futtató fiók futtató profilhoz társításakor meg kell adnia azoknak a számítógépeknek a nevét, amelyekre a futtató hitelesítési adatokat terjeszteni szeretné. A célszámítógépek kifejezett megadásával elkerülheti a fent leírt hamisítási kockázatot. Ha a kevésbé biztonságos beállítást választja, nem kell megadnia bizonyos számítógépeket, és a hitelesítő adatokat az összes ügynök által felügyelt számítógépen elosztja a rendszer.
Megjegyzés
A futtató fiók számára kijelölt hitelesítő adatoknak legalább helyi bejelentkezési jogosultsággal kell rendelkezniük; ellenkező esetben, a modul futtatása sikertelen.