Account e profili RunAs
Importante
Questa versione di Operations Manager ha raggiunto la fine del supporto. È consigliabile eseguire l'aggiornamento a Operations Manager 2022.
Gli account RunAs definiscono le credenziali usate per determinate azioni eseguite dall'agente di Operations Manager. Questi account sono gestiti in modo centralizzato tramite la Console operatore e vengono assegnati a differenti profili RunAs. Se un profilo RunAs non viene assegnato a un'azione specifica, viene eseguito nell'account Azione predefinito. In un ambiente con privilegi limitati, è possibile che l'account predefinito non disponga delle autorizzazioni necessarie per una determinata azione. In questi casi è possibile usare il profilo RunAs per fornire questa autorità. I Management Pack possono installare profili e account RunAs per supportare le azioni necessarie. In tal caso, la documentazione deve essere a cui fare riferimento per qualsiasi configurazione richiesta.
Account RunAs predefiniti
Nella tabella seguente sono elencati gli account RunAs predefiniti creati da Operations Manager durante l'installazione.
Nome | Descrizione | Titolo |
---|---|---|
Domain\ManagementServerActionAccount | Account utente in cui tutte le regole vengono eseguite per impostazione predefinita nei server di gestione. | Account di dominio specificato come account azione del server di gestione durante l'installazione. |
Account azione del sistema locale | Account di sistema predefinito da usare come account azione. | Account Windows del sistema locale |
Account APM | Account APM (Application Performance Monitoring) usato per fornire le chiavi per la crittografia delle informazioni sicure raccolte dall'applicazione durante il monitoraggio. Questo account viene creato automaticamente dopo aver creato la prima Monitor prestazioni .NET. | Account binario crittografato |
account azione data warehouse | Account usato per eseguire l'autenticazione con l'istanza di SQL Server che ospita il database del data warehouse di Operations Manager. | Account di dominio specificato durante l'installazione come account scrittura data warehouse. |
Account distribuzione report data warehouse | Account usato per eseguire l'autenticazione tra il server di gestione e l'istanza di SQL Server che ospita Operations Manager Reporting Services. | Account di dominio specificato durante l'installazione come account lettore dati. |
Account Windows del sistema locale | Account di sistema predefinito usato dall'account azione dell'agente. | Account Windows del sistema locale |
Account Windows del servizio di rete | Account del servizio di rete predefinito. | Account servizi di rete di Windows |
Profili RunAs predefiniti
Nella tabella seguente sono elencati i profili RunAs creati da Operations Manager durante l'installazione.
Nota
Se l'account RunAs viene lasciato vuoto per un determinato profilo, viene usato l'account Azione predefinita (l'account Azione server di gestione o l'account Azione agente a seconda della posizione dell'azione).
Nome | Descrizione | account RunAs |
---|---|---|
Account di assegnazione agente basato su Active Directory | Account usato dal modulo di assegnazione agente basato su Active Directory per inviare le impostazioni di assegnazione ad Active Directory. | Account Windows del sistema locale |
Account di gestione agente automatica | Questo account viene usato per diagnosticare automaticamente gli errori dell'agente. | Nessuno |
Account dell'azione di monitoraggio client | Se specificato, viene usato da Operations Manager per eseguire tutti i moduli di monitoraggio client. Se non specificato, Operations Manager usa l'account azione predefinito. | Nessuno |
Account gruppo di gestione connesso | Account usato dal Management Pack di Operations Manager per monitorare lo stato della connessione al gruppo di gestione connesso. | Nessuno |
account data warehouse | Se specificato, questo account è utilizzato per eseguire tutte le regole di sincronizzazione e raccolta data warehouse al posto dell'account azione predefinito. Se questo account non viene sottoposto a override dall'account di autenticazione Data Warehouse SQL Server, questo account viene usato dalle regole di raccolta e sincronizzazione per connettersi ai database di Data Warehouse usando l'autenticazione integrata di Windows. | Nessuno |
Account distribuzione report data warehouse | Questo account è usato dalle procedure di distribuzione automatica di report del data warehouse per eseguire diverse operazioni connesse alla distribuzione di report. | Account distribuzione report data warehouse |
account di autenticazione di SQL Server per il data warehouse | Se specificato, questo nome di accesso e la password vengono usati dalle regole di raccolta e sincronizzazione per connettersi ai database di Data Warehouse usando l'autenticazione SQL Server. | account di autenticazione di SQL Server per il data warehouse |
Account azione MPUpdate | Questo account viene usato dal programma di notifica MPUpdate. | Nessuno |
Account di notifica | Account Windows utilizzato dalle regole di notifica. Usare l'indirizzo di posta elettronica di questo account come mittente per la posta elettronica e la messaggistica istantanea. | Nessuno |
Account database operativo | Questo account viene usato per leggere e scrivere informazioni sul database di Operations Manager. | Nessuno |
Account di monitoraggio privilegiato | Questo profilo viene usato per il monitoraggio che può essere eseguito in un sistema solo con un livello di privilegi elevato. Ad esempio, il monitoraggio che richiede autorizzazioni LocalSystem o di amministratore locale. Il privilegio predefinito è LocalSystem, a meno che non venga espressamente sostituito per un sistema di destinazione. | Nessuno |
Account di autenticazione di SQL Server per l'SDK dei report | Se specificato, questo nome di accesso e la password vengono usati dal servizio SDK per connettersi ai database Data Warehouse usando l'autenticazione SQL Server. | Account di autenticazione di SQL Server per l'SDK dei report |
Riservato | Questo profilo è riservato e non può essere utilizzato. | Nessuno |
Account di sottoscrizione avvisi di convalida | Account usato dal modulo di sottoscrizione avvisi di convalida che attesta che le sottoscrizioni di notifica sono pertinenti. Per questo profilo sono necessari privilegi di amministratore DNS. | Account Windows del sistema locale |
Account di monitoraggio SNMP | Questo account viene utilizzato per il monitoraggio SNMP. | Nessuno |
Account monitoraggio SNMPv3 | Questo account viene utilizzato per il monitoraggio SNMPv3. | Nessuno |
Account azione UNIX/Linux | Questo account viene usato per l'accesso a UNIX e Linux con privilegi limitati. | Nessuno |
Account manutenzione agente UNIX/Linux | Questo account viene utilizzato per le operazioni di manutenzione con privilegi per gli agenti UNIX e Linux. Senza questo account, le operazioni di manutenzione dell'agente non funzionano. | Nessuno |
Account con privilegi UNIX/Linux | Questo account viene utilizzato per l'accesso ad azioni e risorse protette UNIX e Linux che richiedono privilegi estesi. Senza questo account, alcune regole, diagnostica e ripristino non funzionano. | Nessuno |
Account azione cluster Windows | Questo profilo è utilizzato per tutte le operazioni di individuazione e monitoraggio dei componenti cluster di Windows. Questo profilo viene predefinito per gli account azione usati, a meno che non venga popolato dall'utente. | Nessuno |
Account azione WS-Management | Questo profilo viene usato per l'accesso a WS-Management. | Nessuno |
Comprensione della distribuzione e definizione della destinazione
Per garantire il funzionamento appropriato del profilo RunAs, è necessario configurare correttamente la distribuzione e la definizione della destinazione degli account RunAs.
Quando si configura un profilo RunAs, è necessario selezionare gli account RunAs da associare al profilo. Dopo aver creato l'associazione, è possibile specificare la classe, il gruppo o l'oggetto per cui è necessario usare l'account RunAs per l'esecuzione di attività, regole, monitoraggi e individuazioni.
La distribuzione è un attributo di un account RunAs e è possibile specificare quali computer ricevono le credenziali dell'account RunAs. È possibile scegliere di distribuire le credenziali dell'account RunAs a tutti i computer gestiti tramite agente o solo a computer selezionati.
Esempio di destinazione dell'account RunAs: ABC computer fisico ospita due istanze di Microsoft SQL Server: istanza X e istanza Y. Ogni istanza usa un set diverso di credenziali per l'account sa. Si crea un account RunAs con le credenziali sa per l'istanza X e un diverso account RunAs con le credenziali sa per l'istanza Y. Quando si configura il profilo RunAs di SQL Server, si associano a tale profilo entrambe le credenziali dell'account RunAs, ad esempio X e Y. Si specifica quindi di usare le credenziali dell'istanza Y dell'account RunAs per l'istanza X di SQL Server e le credenziali Y dell'account RunAs per l'istanza Y di SQL Server. È infine necessario configurare ciascun set di credenziali dell'account RunAs per la distribuzione in un computer fisico ABC.
Esempio di distribuzione dell'account RunAs: SQL Server1 ed SQL Server2 sono due computer fisici differenti. SQL Server1 usa l'insieme di credenziali UserName1 e Password1 per l'account sa di SQL. SQL Server2 usa l'insieme di credenziali UserName2 e Password2 per l'account sa di SQL. Il Management Pack SQL dispone di un unico profilo RunAs SQL da usare per tutte le istanze di SQL Server. È quindi possibile definire un account RunAs per UserName1 set di credenziali e un altro account RunAs per userName2 set di credenziali. Questi account RunAs possono essere entrambi associati a un profilo RunAs di SQL Server ed è possibile configurarli per la distribuzione ai computer appropriati. Vale a dire, UserName1 viene distribuito a SQL Server1 e UserName2 viene distribuito a SQL Server2. Le informazioni sugli account scambiate tra il server di gestione e il computer di destinazione sono crittografate.
Sicurezza degli account RunAs
In System Center Operations Manager le credenziali degli account RunAs vengono distribuite soltanto ai computer specificati dall'utente. Questa è l'opzione più sicura. L'eventuale distribuzione automatica dell'account RunAs in base all'individuazione comporterebbe un rischio per la sicurezza dell'ambiente, come illustrato di seguito. Questo è il motivo per cui un'opzione di distribuzione automatica non è stata inclusa in Operations Manager.
Ad esempio, Operations Manager identifica un computer come host di SQL Server 2016 in base alla presenza di una chiave del Registro di sistema. È possibile creare la stessa chiave del Registro di sistema in un computer che non esegue effettivamente un'istanza di SQL Server 2016. Se Operations Manager fosse impostato per la distribuzione automatica delle credenziali a tutti i computer gestiti da agenti e identificati come computer SQL Server 2016, le credenziali verrebbero inviate al computer SQL Server impostore e diventerebbero accessibili a qualunque utente in possesso dei privilegi di amministratore per tale server.
Quando si crea un account RunAs usando Operations Manager, viene richiesto di scegliere se l'account RunAs deve essere trattato in modo meno sicuro o più sicuro. "Più protetto" significa che quando si associa l'account RunAs a un profilo RunAs, è necessario specificare i nomi dei computer a cui distribuire le credenziali RunAs. La corretta identificazione dei computer di destinazione consente di evitare lo scenario di spoofing descritto in precedenza. Se si sceglie l'opzione meno sicura, non sarà necessario fornire computer specifici e le credenziali verranno distribuite a tutti i computer gestiti dall'agente.
Nota
Affinché il modulo non segnali un errore, le credenziali selezionate per l'account RunAs devono disporre almeno dei diritti di accesso locale.
Commenti e suggerimenti
https://aka.ms/ContentUserFeedback.
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedereInvia e visualizza il feedback per