Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Durante l'installazione e le operazioni quotidiane di Operations Manager, verrà chiesto di fornire le credenziali per diversi account. Questo articolo fornisce informazioni su ognuno di questi account, inclusi l'SDK e il servizio di configurazione, l'installazione dell'agente, la scrittura del data warehouse e gli account lettore dati.
Nota
L'installazione di Operations Manager effettua il provisioning di tutte le autorizzazioni SQL necessarie.
Se utilizzi account di dominio e l'Oggetto Criteri di Gruppo (GPO) del dominio ha impostato come richiesto i criteri predefiniti per la scadenza delle password, dovrai cambiare periodicamente le password degli account di servizio, usare account di sistema o configurare gli account in modo che le password non scadano mai.
Account azione
In System Center Operations Manager, i server di gestione, i server gateway e gli agenti eseguono tutti un processo denominato MonitoringHost.exe. MonitoringHost.exe viene usato per eseguire attività di monitoraggio, ad esempio l'esecuzione di un monitoraggio o l'esecuzione di un'attività. Gli altri esempi delle azioni MonitoringHost.exe eseguite includono:
- Monitoraggio e raccolta di dati del registro eventi Windows;
- Monitoraggio e raccolta di dati del contatore prestazioni Windows;
- Monitoraggio e raccolta di dati di Strumentazione gestione Windows (WMI);
- Esecuzione di azioni come script o batch
Il processo MonitoringHost.exe viene eseguito come "account di azione." MonitoringHost.exe è il processo che esegue queste azioni usando le credenziali specificate nell'account azione. Per ogni account viene creata una nuova istanza di MonitoringHost.exe. L'account azione per il processo MonitoringHost.exe in esecuzione su un agente è denominato Account azione dell'agente. L'account di azione utilizzato dal processo MonitoringHost.exe su un server di gestione è chiamato account di azione del server di gestione. L'account di azione usato dal processo MonitoringHost.exe su un Server Gateway è denominato Account di Azione del Server Gateway. In tutti i server di gestione del gruppo di gestione è consigliabile concedere all'account diritti amministrativi locali, a meno che l'accesso con privilegi minimi non sia richiesto dai criteri di sicurezza IT dell'organizzazione.
A meno che un'azione non sia stata associata a un profilo RunAs, le credenziali usate per eseguire l'azione saranno quelle definite per l'account azione. Per altre informazioni sugli account RunAs e sui profili RunAs, vedere la sezione Account RunAs. Quando un agente esegue azioni come account azione predefinito e/o account RunAs, viene creata una nuova istanza di MonitoringHost.exe per ogni account.
Quando si installa Operations Manager, è possibile specificare un account di dominio o usare LocalSystem. L'approccio più sicuro consiste nello specificare un account di dominio, che consente di selezionare un utente con i privilegi minimi necessari per l'ambiente.
È possibile usare un account con privilegi minimi per l'account azione dell'agente. Nei computer che eseguono Windows Server 2008 R2 o versione successiva, l'account deve disporre dei privilegi minimi seguenti:
- Membro del gruppo di utenti locale
- Membro del gruppo locale di utenti del monitoraggio prestazioni
- Consentire l'accesso in locale (SetInteractiveLogonRight) (non applicabile per Operations Manager 2019 e versioni successive).
Nota
I privilegi minimi descritti in precedenza sono i privilegi minimi supportati da Operations Manager per l'account azione. Altri account RunAs possono disporre di privilegi più limitati. I privilegi effettivi necessari per l'account Azione e gli account RunAs dipendono dai Management Pack in esecuzione nel computer e da come vengono configurati. Per ulteriori informazioni sui privilegi specifici necessari, vedere la guida del Management Pack appropriato.
All'account di dominio specificato per l'account azione è possibile concedere l'autorizzazione Accesso come servizio (SeServiceLogonRight) o Accesso come batch (SeBatchLogonRight) se i criteri di sicurezza non consentono a un account del servizio di concedere una sessione interattiva di accesso, ad esempio quando è necessaria l'autenticazione tramite smart card. Modificare il valore del Registro di sistema HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\System Center\Servizio salute:
All'account di dominio specificato per l'account dell'azione viene concessa l'autorizzazione Accesso come servizio (SeServiceLogonRight). Per modificare il tipo di accesso per il Servizio Sanitario, modificare il valore del Registro di sistema HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\System Center\Servizio Sanitario:
- Nome: Tipo di accesso del processo di lavoro
- Tipo: REG_DWORD
- Valori: Quattro (4) - Accedi come batch, Due (2) - Consenti accesso locale e Cinque (5) - Accedi come servizio. Il valore predefinito è 2.
- Valori: Quattro (4) - Accedi come Batch, Due (2) - Consenti l'accesso locale, e Cinque (5) - Accedi come servizio. Il valore predefinito è 5.
È possibile gestire centralmente l'impostazione usando Criteri di gruppo copiando il file healthservice.admx ADMX da un server di gestione o da un sistema gestito dall'agente che si trova nella cartella C:\Windows\PolicyDefinitions e configurando l'impostazione Monitoring Action Account Logon Type (Tipo di accesso account azione di monitoraggio) nella cartella Computer Configuration\Administrative Templates\System Center - Operations Manager. Per ulteriori informazioni sull'utilizzo dei file ADMX dei Criteri di gruppo, vedere Gestione dei file ADMX dei Criteri di gruppo.
Servizio di configurazione di System Center e account del servizio di accesso ai dati di System Center
Il servizio di configurazione di System Center e l'account del servizio di accesso ai dati di System Center vengono usati dai servizi System Center Data Access e System Center Management Configuration per aggiornare le informazioni nel database operativo. Le credenziali usate per l'account azione verranno assegnate al ruolo sdk_user nel database operativo.
L'account deve essere un utente di dominio o LocalSystem. All'account usato per l'SDK e l'account del servizio di configurazione devono essere concessi diritti amministrativi locali su tutti i server di gestione nel gruppo di gestione. L'uso dell'account utente locale non è supportato. Per una maggiore sicurezza, è consigliabile usare un account utente di dominio ed è un account diverso da quello usato per l'account azione del server di gestione. L'account LocalSystem è l'account con privilegi più elevati in un computer Windows, anche superiore a quello dell'amministratore locale. Quando un servizio viene eseguito nel contesto di LocalSystem, il servizio ha il controllo completo delle risorse locali del computer e l'identità del computer viene usata durante l'autenticazione e l'accesso alle risorse remote. L'uso dell'account LocalSystem è un rischio per la sicurezza perché non rispetta il principio dei privilegi minimi. A causa dei diritti richiesti nell'istanza di SQL Server che ospita il database di Operations Manager, è necessario un account di dominio con autorizzazioni con privilegi minimi per evitare eventuali rischi di sicurezza se il server di gestione nel gruppo di gestione viene compromesso. I motivi sono:
- LocalSystem non ha password
- Non ha un proprio profilo
- Dispone di privilegi estesi nel computer locale
- Presenta le credenziali del computer ai computer remoti
Nota
Se il database di Operations Manager è installato in un computer separato dal server di gestione e LocalSystem è selezionato per l'account del servizio accesso ai dati e configurazione, all'account computer del server di gestione viene assegnato il ruolo sdk_user nel computer di database di Operations Manager.
Per altre informazioni, vedere LocalSystem.
Account per la scrittura del data warehouse
L'account di scrittura del data warehouse è l'account usato per scrivere dati dal server di gestione al data warehouse di reporting e legge i dati dal database di Operations Manager. Nella tabella seguente vengono descritti i ruoli e l'appartenenza assegnati all'account utente di dominio durante l'installazione.
| Applicazione | Database/ruolo | Ruolo/account |
|---|---|---|
| Microsoft SQL Server | Responsabile delle Operazioni | db_datareader |
| Microsoft SQL Server | Responsabile delle Operazioni | dwsync_user |
| Microsoft SQL Server | OperationsManagerDW | OpsMgrWriter |
| Microsoft SQL Server | OperationsManagerDW | proprietario del database |
| Responsabile delle Operazioni | Ruolo utente | Amministratori della Sicurezza di Operations Manager Report |
| Responsabile delle Operazioni | Account esegui come | Account di azione del Data Warehouse |
| Responsabile delle Operazioni | Account esegui come | Account lettore per la sincronizzazione della configurazione del data warehouse |
Account di lettura dati
L'account Lettore Dati viene usato per distribuire i report, definire l'utente usato da SQL Server Reporting Services per eseguire query sul data warehouse di Reporting e definire l'account di SQL Reporting Services per connettersi al server di gestione. Questo account utente di dominio viene aggiunto al profilo utente dell'Amministratore dei report. Nella tabella seguente vengono descritti i ruoli e l'appartenenza assegnati all'account durante l'installazione.
| Applicazione | Database/ruolo | Ruolo/account |
|---|---|---|
| Microsoft SQL Server | Istanza di installazione di Reporting Services | Account di esecuzione del server dei report |
| Microsoft SQL Server | OperationsManagerDW | OpsMgrReader |
| Responsabile delle Operazioni | Ruolo utente | Operatori di report di Operations Manager |
| Responsabile delle Operazioni | Ruolo utente | Amministratori della Sicurezza di Operations Manager Report |
| Responsabile delle Operazioni | Account esegui come | Report di distribuzione account Data Warehouse |
| servizio Windows | SQL Server Reporting Services | Account di accesso |
Verificare che all'account che si intende usare per l'account lettore dati venga concesso il diritto di Accedi come servizio (per 2019 e versioni successive) o Accedi come servizio e Consenti accesso locale (per le versioni precedenti), per ciascun server di gestione e per il SQL Server che ospita il ruolo del server di report.
Account di installazione dell'agente
Quando si esegue la distribuzione dell'agente basata sull'individuazione, è necessario un account con privilegi di amministratore nei computer destinati all'installazione dell'agente. L'account delle azioni del server di gestione è l'account predefinito per l'installazione dell'agente. Se l'account azione del server di gestione non dispone dei diritti di amministratore, l'operatore deve fornire un account utente e una password con diritti amministrativi sui computer di destinazione. L'account viene crittografato prima dell'utilizzo e quindi viene annullato.
Azione di notifica dell'account
L'account azione di notifica è l'account usato per la creazione e l'invio di notifiche. Queste credenziali devono disporre di diritti sufficienti per il server SMTP, il server di messaggistica istantanea o il server SIP utilizzato per le notifiche.