• Articolo

Distribuzione e selezione di destinazioni per account e profili RunAs

 

Pubblicato: marzo 2016

Si applica a: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager

Gli account RunAs vengono associati ai profili RunAs per offrire le credenziali necessarie e consentire la corretta esecuzione dei flussi di lavoro che utilizzano un profilo RunAs. Per garantire il funzionamento appropriato del profilo RunAs, è necessario configurare correttamente la distribuzione e la definizione della destinazione degli account RunAs.

Quando si configura un profilo RunAs, è necessario selezionare gli account RunAs da associare al profilo. Per creare tale associazione, è necessario specificare la classe, il gruppo o l'oggetto che verrà gestito tramite l'account RunAs, come illustrato nella figura seguente. In tal modo si stabilisce la destinazione dell'account RunAs.

Seleziona destinazione per account e profilo RunAs

La distribuzione è un attributo dell'account RunAs che consente di specificare quali computer riceveranno le credenziali dell'account RunAs. È possibile scegliere di distribuire le credenziali dell'account RunAs a tutti i computer gestiti tramite agente o solo a computer selezionati.

Esempio di definizione della destinazione e di distribuzione di un account RunAs: 

il computer fisico ABC ospita due istanze di Microsoft SQL Server, ovvero l'istanza X e l'istanza Y. Per ogni istanza viene utilizzato un diverso set di credenziali per l'account sa. Si crea un account RunAs con le credenziali sa per l'istanza X e un diverso account RunAs con le credenziali sa per l'istanza Y. Quando si configura il profilo RunAs SQL Server, si associano al profilo entrambe le credenziali dell'account RunAs per le istanze X e Y; quindi, si specifica di utilizzare le credenziali dell'istanza Y dell'account RunAs per l'istanza X di SQL Server e le credenziali Y dell'account RunAs per l'istanza Y di SQL Server. Infine, si configura ciascun set di credenziali dell'account RunAs affinché venga distribuito al computer fisico ABC.

Selezione di una destinazione per un account RunAs

Come illustrato nell'immagine precedente, le opzioni disponibili per la selezione di una destinazione per l'account RunAs sono Tutti gli oggetti di destinazione e Classe, gruppo o oggetto selezionato.

Quando si seleziona Tutti gli oggetti di destinazione, il profilo RunAs utilizzerà questo account RunAs per tutti gli oggetti dei flussi di lavoro in cui viene utilizzato il profilo RunAs. …

Quando si seleziona Classe, gruppo o oggetto selezionato, è possibile limitare l'uso dell'account RunAs alla classe, al gruppo o all'oggetto specificato. …

Nota

Le credenziali dell'account RunAs devono essere distribuite a…

Confronto tra distribuzioni più o meno sicure

Operations Manager distribuisce le credenziali degli account RunAs a tutti i computer gestiti tramite agente (opzione Meno protetto) o solo ai computer specificati (opzione Più protetto). L'eventuale distribuzione automatica dell'account RunAs in base all'individuazione comporterebbe un rischio per la sicurezza dell'ambiente, come illustrato di seguito. È per questo motivo che in Operations Manager non è disponibile un'opzione per la distribuzione automatica.

Ad esempio, Operations Manager identifica un computer come host di SQL Server 2005 in base alla presenza di una chiave del Registro di sistema. È possibile creare la stessa chiave del Registro di sistema in un computer nel quale non è in esecuzione un’istanza di SQL Server 2005. Se Operations Manager fosse impostato per la distribuzione automatica delle credenziali a tutti i computer gestiti da agenti e identificati come computer SQL Server 2005, le credenziali verrebbero inviate al computer SQL Server impostore e diventerebbero accessibili a chiunque disponga dei diritti di amministratore per tale server.

Quando si crea un account RunAs, viene richiesto di scegliere se l'account RunAs deve essere trattato in modo Meno protetto o Più protetto. Più protetto significa che quando si associa l'account RunAs a un profilo RunAs, è necessario specificare i nomi dei computer a cui distribuire le credenziali RunAs. La corretta identificazione dei computer di destinazione consente di evitare lo scenario di spoofing descritto in precedenza. Con l'opzione Meno protetto, invece, non è necessario specificare i singoli computer e le credenziali vengono distribuite a tutti i computer gestiti tramite agente.

Nota

Operations Manager esegue dei test per convalidare le credenziali RunAs, inclusa la verifica della possibilità di utilizzare le credenziali per effettuare l'accesso al computer in locale. Se l'account non dispone del diritto per l'accesso in locale, verrà generato un avviso.