Bagikan melalui


Akun Layanan, Pengguna, dan Keamanan

Penting

Versi Operations Manager ini telah mencapai akhir dukungan. Kami menyarankan Anda untuk meningkatkan ke Operations Manager 2022.

Selama penyiapan dan operasi harian Operations Manager, Anda akan diminta untuk memberikan kredensial untuk beberapa akun. Artikel ini menyediakan informasi tentang masing-masing akun ini, termasuk akun SDK dan Layanan Konfigurasi, Penginstalan Agen, Penulisan Gudang Data, dan Pembaca Data.

Catatan

Penginstalan Manajer Operasi menyediakan semua izin SQL yang diperlukan.

Jika Anda menggunakan akun domain dan domain Anda Kebijakan Grup Object (GPO) memiliki kebijakan kedaluwarsa kata sandi default yang ditetapkan sebagaimana diperlukan, Anda harus mengubah kata sandi pada akun layanan sesuai dengan jadwal, menggunakan akun sistem, atau mengonfigurasi akun sehingga kata sandi tidak pernah kedaluwarsa.

Akun tindakan

Di Manajer Operasi Pusat Sistem, server manajemen, server gateway, dan agen semuanya menjalankan proses yang disebut MonitoringHost.exe. MonitoringHost.exe digunakan untuk menyelesaikan aktivitas pemantauan seperti menjalankan monitor atau menjalankan tugas. Contoh lain dari tindakan yang MonitoringHost.exe lakukan meliputi:

  • Memantau dan mengumpulkan data log peristiwa Windows
  • Memantau dan mengumpulkan data penghitung kinerja Windows
  • Memantau dan mengumpulkan data Windows Management Instrumentation (WMI)
  • Menjalankan tindakan seperti skrip atau batch

Akun yang dijalankan proses MonitoringHost.exe seperti yang disebut akun tindakan. MonitoringHost.exe adalah proses yang menjalankan tindakan ini dengan menggunakan kredensial yang ditentukan dalam akun tindakan. Instans baru MonitoringHost.exe dibuat untuk setiap akun. Akun tindakan untuk proses MonitoringHost.exe yang berjalan pada agen disebut Akun Tindakan Agen. Akun tindakan yang digunakan oleh proses MonitoringHost.exe pada server manajemen disebut akun Tindakan Server Manajemen. Akun tindakan yang digunakan oleh proses MonitoringHost.exe di server gateway disebut Akun Tindakan Server Gateway. Di semua server manajemen dalam grup manajemen, kami sarankan Anda memberikan hak administratif lokal akun kecuali akses dengan hak istimewa paling sedikit diperlukan oleh kebijakan keamanan TI organisasi Anda.

Kecuali tindakan telah dikaitkan dengan profil Jalankan Sebagai, kredensial yang digunakan untuk melakukan tindakan adalah yang Anda tentukan untuk akun tindakan. Untuk informasi selengkapnya tentang Akun Jalankan Sebagai dan Profil Jalankan Sebagai, lihat bagian Akun Jalankan Sebagai. Saat agen menjalankan tindakan sebagai akun tindakan default dan/atau akun Jalankan Sebagai, instans baru MonitoringHost.exe dibuat untuk setiap akun.

Saat menginstal Operations Manager, Anda memiliki opsi untuk menentukan akun domain atau menggunakan LocalSystem. Pendekatan yang lebih aman adalah menentukan akun domain, yang memungkinkan Anda memilih pengguna dengan hak istimewa paling sedikit yang diperlukan untuk lingkungan Anda.

Anda dapat menggunakan akun hak istimewa paling sedikit untuk akun tindakan agen. Pada komputer yang menjalankan Windows Server 2008 R2 atau yang lebih tinggi, akun harus memiliki hak istimewa minimum berikut:

  • Anggota grup Pengguna lokal
  • Anggota grup Pengguna Monitor Performa lokal
  • Izinkan masuk secara lokal (SetInteractiveLogonRight) izin (tidak berlaku untuk Operations Manager 2019 dan yang lebih baru).

Catatan

Hak istimewa minimum yang dijelaskan di atas adalah hak istimewa terendah yang didukung Operations Manager untuk akun tindakan. Akun Jalankan Sebagai lainnya dapat memiliki hak istimewa yang lebih rendah. Hak istimewa aktual yang diperlukan untuk akun Tindakan dan akun Jalankan Sebagai akan bergantung pada paket manajemen mana yang berjalan di komputer dan bagaimana mereka dikonfigurasi. Untuk informasi selengkapnya tentang hak istimewa tertentu mana yang diperlukan, lihat panduan paket manajemen yang sesuai.

Akun domain yang ditentukan untuk akun tindakan dapat diberikan izin Masuk sebagai Layanan (SeServiceLogonRight) atau Masuk sebagai Batch (SeBatchLogonRight) jika kebijakan keamanan Anda tidak mengizinkan akun layanan diberikan sesi masuk interaktif, seperti ketika autentikasi kartu pintar diperlukan. Ubah nilai registri HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\System Center\Health Service:

Akun domain yang ditentukan untuk akun tindakan diberikan dengan izin Masuk sebagai Layanan (SeServiceLogonRight). Untuk mengubah jenis masuk untuk layanan kesehatan, ubah nilai registri HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\System Center\Health Service:

  • Nama: Jenis Masuk Proses Pekerja
  • Jenis: REG_DWORD
  • Nilai: Empat (4) - Masuk sebagai batch, Dua (2) - Izinkan masuk secara lokal dan Lima (5) - Masuk sebagai Layanan. Nilai defaultnya adalah 2.
  • Nilai: Empat (4) - Masuk sebagai Batch, Dua (2) - Izinkan masuk secara lokal, dan Lima (5) - Masuk sebagai Layanan. Nilai defaultnya adalah 5.

Anda dapat mengelola pengaturan secara terpusat menggunakan Kebijakan Grup dengan menyalin file healthservice.admx ADMX dari server manajemen atau sistem yang dikelola agen yang terletak di folder C:\Windows\PolicyDefinitions dan mengonfigurasi pengaturan Jenis Masuk Akun Tindakan Pemantauan di bawah folder Computer Configuration\Administrative Templates\System Center - Operations Manager. Untuk informasi selengkapnya tentang bekerja dengan Kebijakan Grup file ADMX, lihat Mengelola file ADMX Kebijakan Grup.

Layanan Konfigurasi Pusat Sistem dan akun Layanan Akses Data Pusat Sistem

Layanan Konfigurasi Pusat Sistem dan akun layanan Akses Data Pusat Sistem digunakan oleh layanan Akses Data Pusat Sistem dan Konfigurasi Manajemen Pusat Sistem untuk memperbarui informasi dalam database Operasional. Kredensial yang digunakan untuk akun tindakan akan ditetapkan ke peran sdk_user dalam database Operasional.

Akun harus berupa Pengguna Domain atau LocalSystem. Akun yang digunakan untuk akun SDK dan Config Service harus diberikan hak administratif lokal di semua server manajemen dalam grup manajemen. Penggunaan akun Pengguna Lokal tidak didukung. Untuk peningkatan keamanan, kami sarankan Anda menggunakan akun pengguna domain, dan ini adalah akun yang berbeda dari yang digunakan untuk Akun Tindakan Server Manajemen. Akun LocalSystem adalah akun hak istimewa tertinggi di komputer Windows, bahkan lebih tinggi dari Administrator lokal. Ketika layanan berjalan di bawah konteks LocalSystem, layanan memiliki kontrol penuh atas sumber daya lokal komputer, dan identitas komputer digunakan saat mengautentikasi ke dan mengakses sumber daya jarak jauh. Menggunakan akun LocalSystem adalah risiko keamanan karena tidak mematuhi prinsip hak istimewa paling sedikit. Karena hak yang diperlukan pada instans SQL Server yang menghosting database Operations Manager, akun domain dengan izin hak istimewa paling sedikit diperlukan untuk menghindari risiko keamanan jika server manajemen di grup manajemen disusupi. Alasannya adalah:

  • LocalSystem tidak memiliki kata sandi
  • Ini tidak memiliki profilnya sendiri
  • Ini memiliki hak istimewa yang luas di komputer lokal
  • Ini menyajikan kredensial komputer ke komputer jarak jauh

Catatan

Jika database Manajer Operasi diinstal di komputer yang terpisah dari server manajemen dan LocalSystem dipilih untuk akun layanan Akses Data dan Konfigurasi, akun komputer untuk komputer server manajemen diberi peran sdk_user pada komputer database Manajer Operasi.

Untuk informasi selengkapnya, lihat tentang LocalSystem.

Akun Tulis Gudang Data

Akun Penulisan Gudang Data adalah akun yang digunakan untuk menulis data dari server manajemen ke gudang data Pelaporan, dan membaca data dari database Operations Manager. Tabel berikut ini menjelaskan peran dan keanggotaan yang ditetapkan ke akun pengguna domain selama penyiapan.

Aplikasi Database/peran Peran/akun
Microsoft SQL Server OperationsManager db_datareader
Microsoft SQL Server OperationsManager dwsync_user
Microsoft SQL Server OperationsManagerDW OpsMgrWriter
Microsoft SQL Server OperationsManagerDW db_owner
Manajer Operasional Peran pengguna Administrator Keamanan Laporan Manajer Operasi
Manajer Operasional Akun Jalankan Sebagai Akun Tindakan Gudang Data
Manajer Operasional Akun Jalankan Sebagai Akun Pembaca Sinkronisasi Konfigurasi Gudang Data

Akun Pembaca Data

Akun Pembaca Data digunakan untuk menyebarkan laporan, menentukan pengguna apa yang SQL Server Reporting Services gunakan untuk menjalankan kueri terhadap gudang data Pelaporan, dan menentukan akun SQL Reporting Services untuk terhubung ke server manajemen. Akun pengguna domain ini ditambahkan ke Profil Pengguna Administrator Laporan. Tabel berikut ini menjelaskan peran dan keanggotaan yang ditetapkan ke akun selama penyiapan.

Aplikasi Database/peran Peran/akun
Microsoft SQL Server Instans Penginstalan Reporting Services Akun Eksekusi Server Laporan
Microsoft SQL Server OperationsManagerDW OpsMgrReader
Manajer Operasional Peran pengguna Operator Laporan Manajer Operasi
Manajer Operasional Peran pengguna Administrator Keamanan Laporan Manajer Operasi
Manajer Operasional Akun Jalankan Sebagai Akun Penyebaran Laporan Gudang Data
Layanan Windows Layanan Pelaporan SQL Server Akun masuk

Verifikasi akun yang Anda rencanakan untuk digunakan untuk akun Pembaca Data diberikan Log on as Service (untuk 2019 dan yang lebih baru) atau Masuk sebagai Layanan dan Izinkan Masuk Secara Lokal (untuk rilis sebelumnya), hak untuk setiap server manajemen, dan SQL Server menghosting peran Server Pelaporan.

Akun Penginstalan Agen

Saat melakukan penyebaran agen berbasis penemuan, akun diperlukan dengan hak istimewa Administrator pada komputer yang ditargetkan untuk penginstalan agen. Akun tindakan server manajemen adalah akun default untuk penginstalan agen. Jika akun tindakan server manajemen tidak memiliki hak administrator, operator harus memberikan akun pengguna dan kata sandi dengan hak administratif pada komputer target. Akun ini dienkripsi sebelum digunakan lalu dibuang.

Akun Tindakan Pemberitahuan

Akun Tindakan Pemberitahuan adalah akun yang digunakan untuk membuat dan mengirim pemberitahuan. Kredensial ini harus memiliki hak yang memadai untuk server SMTP, server pesan instan, atau server SIP yang digunakan untuk pemberitahuan.