Account di servizio, utente e sicurezza
Importante
Questa versione di Operations Manager ha raggiunto la fine del supporto. È consigliabile eseguire l'aggiornamento a Operations Manager 2022.
Durante l'installazione e le operazioni giornaliere di Operations Manager, verrà chiesto di fornire le credenziali per diversi account. Questo articolo include informazioni su ciascuno di questi account, inclusi gli account SDK e del servizio di configurazione, quello di installazione dell'agente, nonché l'account scrittura data warehouse e l'account lettore dati.
Nota
L'installazione di Operations Manager esegue il provisioning di tutte le autorizzazioni SQL necessarie.
Se si usano account di dominio e il dominio Criteri di gruppo Oggetto (Oggetto Criteri di gruppo) dispone dei criteri di scadenza password predefiniti impostati in base alle esigenze, è necessario modificare le password negli account del servizio in base alla pianificazione, usare gli account di sistema o configurare gli account in modo che le password non scadano mai.
Account azione
In System Center Operations Manager i server di gestione, i server gateway e gli agenti eseguono tutti un processo denominato MonitoringHost.exe. MonitoringHost.exe viene usato per eseguire attività di monitoraggio, quali l'esecuzione di un monitoraggio o un'attività. Gli altri esempi delle azioni MonitoringHost.exe includono:
- Monitoraggio e raccolta di dati del registro eventi Windows;
- Monitoraggio e raccolta di dati del contatore prestazioni Windows;
- Monitoraggio e raccolta di dati di Strumentazione gestione Windows (WMI);
- Esecuzione di azioni come script o batch
Un processo MonitoringHost.exe esegue le attività come account azione. MonitoringHost.exe è il processo che esegue queste azioni usando le credenziali specificate nell'account azione. Per ogni account viene creata una nuova istanza di MonitoringHost.exe. L'account azione per il processo MonitoringHost.exe in esecuzione in un agente viene denominato account azione agente. L'account azione usato dal processo MonitoringHost.exe in un server di gestione viene denominato account azione del server di gestione. L'account azione usato dal processo MonitoringHost.exe in un server gateway viene denominato account azione del server gateway. In tutti i server di gestione del gruppo di gestione è consigliabile concedere all'account i diritti amministrativi locali, a meno che non sia richiesto l'accesso con privilegi minimi dai criteri di sicurezza IT dell'organizzazione.
A meno che un'azione sia stata associata a un profilo RunAs, le credenziali usate per eseguire l'azione saranno quelle definite per l'account azione. Per altre informazioni sugli account e i profili RunAs, vedere la sezione Account RunAs. Quando un agente esegue azioni come l'account azione predefinito e/o l'account RunAs, viene creata una nuova istanza di MonitoringHost.exe per ciascun account.
Quando si installa Operations Manager, è possibile specificare un account di dominio o usare l'account LocalSystem. L'approccio più sicuro è specificare un account di dominio che consente di selezionare un utente con i privilegi minimi necessari per l'ambiente in uso.
È possibile usare un account con privilegi minimi per l'account azione dell'agente. Nei computer che eseguono Windows Server 2008 R2 o versioni successive l'account deve disporre almeno dei privilegi seguenti:
- Membro del gruppo di utenti locale
- Membro del gruppo locale utenti monitoraggio prestazioni
- Consenti l'accesso in locale (SetInteractiveLogonRight) (non applicabile per Operations Manager 2019 e versioni successive).
Nota
I privilegi descritti in precedenza sono quelli minimi supportati da Operations Manager in relazione all'account azione. Altri account RunAs possono disporre di privilegi più limitati. I privilegi effettivi necessari per l'account Azione e gli account RunAs dipendono dai Management Pack in esecuzione nel computer e dal modo in cui sono configurati. Per ulteriori informazioni sui privilegi specifici necessari, vedere la guida del Management Pack appropriato.
L'account di dominio specificato per l'account azione può essere concesso l'accesso come servizio (SeServiceLogonRight) o l'autorizzazione Accesso come Batch (SeBatchLogonRight) se i criteri di sicurezza non consentono l'assegnazione di un account di servizio a una sessione interattiva, ad esempio quando è necessaria l'autenticazione della smart card. Modificare il valore del Registro di sistema HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\System Center\Health Service:
All'account di dominio specificato per l'account azione viene concessa l'autorizzazione Accesso come servizio (SeServiceLogonRight). Per cambiare il tipo di accesso per il servizio integrità, modificare il valore del Registro di sistema HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\System Center\Health Service:
- Nome: Tipo di accesso del processo di lavoro
- Tipo: REG_DWORD
- Valori: quattro (4) - Accedere come batch, Due (2) - Consenti l'accesso in locale e Cinque (5) - Accedere come servizio. Il valore predefinito è 2.
- Valori: quattro (4) - Accedere come Batch, Due (2) - Consenti l'accesso in locale e Cinque (5) - Accedere come servizio. Il valore predefinito è 5.
È possibile gestire centralmente l'impostazione usando Criteri di gruppo copiando il file healthservice.admx ADMX da un server di gestione o da un sistema gestito dall'agente nella cartella e configurando l'impostazione Monitoraggio del tipo di accesso dell'account azione nella cartella Computer Configuration\Administrative Templates\System Center - Operations ManagerC:\Windows\PolicyDefinitions . Per altre informazioni sull'utilizzo dei file ADMX di Criteri di gruppo, vedere Managing Group Policy ADMX files (Gestione dei file ADMX di Criteri di gruppo).
Account servizio di configurazione di System Center e servizio di accesso ai dati di System Center
L'account servizio di configurazione di System Center e servizio di accesso ai dati di System Center viene usato dai servizi di accesso ai dati e di configurazione della gestione di System Center per aggiornare le informazioni nel database operativo. Le credenziali usate per l'account azione verranno assegnate al ruolo sdk_user nel database operativo.
L'account dovrebbe essere di tipo Utente di dominio o LocalSystem. All'account usato per l'SDK e il servizio di configurazione devono essere concessi diritti amministrativi locali per tutti i server di gestione nel gruppo di gestione. L'uso dell'account utente locale non è supportato. Per aumentare la sicurezza, è consigliabile usare un account utente di dominio ed è un account diverso da quello usato per l'account azione server di gestione. L'account LocalSystem è l'account con i privilegi maggiori in un computer Windows, ancora più elevati rispetto all'amministratore locale. Quando un servizio viene eseguito nel contesto di LocalSystem, il servizio ha il controllo completo delle risorse locali del computer e l'identità del computer viene usata durante l'autenticazione e l'accesso alle risorse remote. L'uso dell'account LocalSystem è un rischio di sicurezza perché non rispetta il principio dei privilegi minimi. A causa dei diritti richiesti per l'istanza di SQL Server che ospita il database di Operations Manager, è necessario un account di dominio con privilegi minimi per evitare rischi di sicurezza in caso di compromissione del server di gestione nel gruppo di gestione. I motivi sono:
- LocalSystem non ha una password
- Non ha un proprio profilo
- Ha privilegi estesi sul computer locale
- Presenta le credenziali del computer ai computer remoti
Nota
Se il database di Operations Manager è installato in un computer separato dal server di gestione e viene selezionato LocalSystem per l'account del servizio di accesso ai dati e di configurazione, all'account computer per il computer del server di gestione viene assegnato il ruolo sdk_user nel computer del database di Operations Manager.
Per altre informazioni, vedere LocalSystem.
Account scrittura data warehouse
L'account di scrittura del data warehouse scrive i dati dal server di gestione nel data warehouse per reporting e legge i dati dal database di Operations Manager. La tabella seguente descrive i ruoli e le appartenenze assegnati all'account utente di dominio durante la configurazione.
| Applicazione | Database/Ruolo | Ruolo/Account |
|---|---|---|
| Microsoft SQL Server | OperationsManager | db_datareader |
| Microsoft SQL Server | OperationsManager | dwsync_user |
| Microsoft SQL Server | OperationsManagerDW | OpsMgrWriter |
| Microsoft SQL Server | OperationsManagerDW | db_owner |
| Operations Manager | Ruolo utente | Amministratori sicurezza report di Operations Manager |
| Operations Manager | account RunAs | Account azione data warehouse |
| Operations Manager | account RunAs | Account lettore sincronizzazione configurazione data warehouse |
Account lettore dati
L'account lettore dati viene usato per distribuire report e definire quale utente usa SQL Server Reporting Services per eseguire le query nel data warehouse per reporting. Viene usato inoltre per definire l'account SQL Reporting Services per la connessione al server di gestione. Questo account utente di dominio viene aggiunto al profilo utente Amministratore report. La tabella seguente descrive i ruoli e le appartenenze assegnati all'account durante la configurazione.
| Applicazione | Database/Ruolo | Ruolo/Account |
|---|---|---|
| Microsoft SQL Server | Istanza dell'installazione di Reporting Services | Account di esecuzione server di report |
| Microsoft SQL Server | OperationsManagerDW | OpsMgrReader |
| Operations Manager | Ruolo utente | Operatori report di Operations Manager |
| Operations Manager | Ruolo utente | Amministratori sicurezza report di Operations Manager |
| Operations Manager | account RunAs | Account distribuzione report data warehouse |
| Servizio Windows | SQL Server Reporting Services | Account di accesso |
Verificare che all'account che si intende usare per l'account del lettore dati siano concessi i diritti Accesso come servizio (per la versione 2019 e successive) oppure Accesso come servizio e Consenti accesso locale (per le versioni precedenti) per ogni server di gestione e per l'istanza di SQL Server che ospita il ruolo server di report.
Account installazione agente
Quando si esegue la distribuzione di un agente basato sull'individuazione, è necessario un account con privilegi di amministratore per i computer di destinazione dell'installazione dell'agente. L'account azione del server di gestione è l'account predefinito per l'installazione dell'agente. Se l'account azione del server di gestione non dispone dei diritti di amministratore, l'operatore deve fornire un account utente e una password con diritti amministrativi nei computer di destinazione. L'account viene crittografato prima dell'utilizzo e quindi viene annullato.
Account azione notifica
L'account azione notifica è l'account azione usato per creare e inviare notifiche. Queste credenziali devono disporre di diritti sufficienti per il server SMTP, il server di messaggistica istantanea o il server SIP usato per le notifiche.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per