Service-, gebruikers- en beveiligingsaccounts
Belangrijk
Deze versie van Operations Manager heeft het einde van de ondersteuning bereikt. U wordt aangeraden een upgrade uit te voeren naar Operations Manager 2022.
Tijdens de installatie en de dagelijkse bewerkingen van Operations Manager wordt u gevraagd referenties op te geven voor verschillende accounts. Dit artikel bevat informatie over elk van deze accounts, met inbegrip van de ACCOUNTS SDK en Config Service, Installatie van agent, Data Warehouse Schrijven en Gegevenslezer.
Notitie
De installatie van Operations Manager richt alle benodigde SQL-machtigingen in.
Als u domeinaccounts gebruikt en uw domein groepsbeleid Object (GPO) het standaardbeleid voor wachtwoordverloop heeft ingesteld als vereist, moet u de wachtwoorden voor de serviceaccounts wijzigen volgens de planning, systeemaccounts gebruiken of de accounts zo configureren dat de wachtwoorden nooit verlopen.
Actie-accounts
In System Center Operations Manager voeren beheerservers, gatewayservers en agents allemaal een proces uit met de naam MonitoringHost.exe. MonitoringHost.exe wordt gebruikt om bewakingsactiviteiten uit te voeren, zoals het uitvoeren van een monitor of het uitvoeren van een taak. De andere voorbeelden van de acties die MonitoringHost.exe uitvoert, zijn:
- Windows-gebeurtenislogboekgegevens bewaken en verzamelen
- Gegevens van Windows-prestatiemeteritems bewaken en verzamelen
- WMI-gegevens (Windows Management Instrumentation) bewaken en verzamelen
- Acties uitvoeren, zoals scripts of batches
Het account dat door het proces MonitoringHost.exe wordt uitgevoerd, wordt het actie-account genoemd. Deze acties worden uitgevoerd met het proces MonitoringHost.exe, met behulp van de referenties die in het actie-account zijn opgegeven. Voor elk account wordt nieuw exemplaar van MonitoringHost.exe is gemaakt. Het actie-account voor het proces MonitoringHost.exe dat op een agent wordt uitgevoerd, wordt het actie-account van de agent genoemd. Het actie-account voor het proces MonitoringHost.exe op een beheerserver wordt het actie-account van de beheerserver genoemd. Het actie-account voor het proces MonitoringHost.exe op een gateway wordt het actie-account van de gateway genoemd. Op alle beheerservers in de beheergroep wordt u aangeraden het account lokale beheerdersrechten te verlenen, tenzij toegang met de minste bevoegdheden is vereist door het IT-beveiligingsbeleid van uw organisatie.
Tenzij een actie is gekoppeld aan een Uitvoeren als-profiel, zijn de referenties die worden gebruikt om de actie uit te voeren de referenties die u hebt gedefinieerd voor het actieaccount. Zie de sectie Run As Accounts (Uitvoeren als-accounts) voor meer informatie over Uitvoeren als-accounts en Run As-profielen. Als een agent acties uitvoert onder het standaardactie-account en/of een of meer Uitvoeren als-accounts, wordt voor elk account een nieuw exemplaar van MonitoringHost.exe gemaakt.
Wanneer u Operations Manager installeert, hebt u de optie om een domeinaccount op te geven of LocalSystem te gebruiken. De veiligere benadering is het opgeven van een domeinaccount, waarmee u een gebruiker kunt selecteren met de minste bevoegdheden die nodig zijn voor uw omgeving.
U kunt een account met de minste bevoegdheden gebruiken voor het actie-account van de agent. Op computers met Windows Server 2008 R2 of hoger moet het account de volgende minimale bevoegdheden hebben:
- Lid van de lokale groep Gebruikers
- Lid van de lokale groep Prestatiemetergebruikers
- Lokaal aanmelden toestaan (SetInteractiveLogonRight) (niet van toepassing op Operations Manager 2019 en hoger).
Notitie
De minimale bevoegdheden die hierboven worden beschreven, zijn de minimale bevoegdheden die Operations Manager ondersteunt voor het actie-account. Andere Run As-accounts kunnen nog minder bevoegdheden hebben. De werkelijke bevoegdheden die zijn vereist voor het Actie-account en de Uitvoeren als-accounts, zijn afhankelijk van welke management packs op de computer worden uitgevoerd en hoe deze zijn geconfigureerd. Zie de handleiding bij een management pack voor meer informatie over de vereiste bevoegdheden.
Aan het domeinaccount dat is opgegeven voor het actie-account, kan de machtiging Log on as a Service (SeServiceLogonRight) of Log on as Batch (SeBatchLogonRight) worden verleend als uw beveiligingsbeleid niet toestaat dat aan een serviceaccount een interactieve aanmeldingssessie wordt verleend, bijvoorbeeld wanneer smartcardverificatie is vereist. Wijzig de registerwaarde HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\System Center\Health Service:
Het domeinaccount dat is opgegeven voor het actie-account, wordt verleend met de machtiging Aanmelden als een service (SeServiceLogonRight). Als u het aanmeldingstype voor health service wilt wijzigen, wijzigt u de registerwaarde HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\System Center\Health Service:
- Naam: Aanmeldingstype werkproces
- Type: REG_DWORD
- Waarden: Vier (4) - Aanmelden als batch, twee (2) - Lokaal aanmelden toestaan en Vijf (5) - Aanmelden als service. De standaardwaarde is 2.
- Waarden: Vier (4) - Aanmelden als batch, twee (2) - Lokaal aanmelden toestaan en Vijf (5) - Aanmelden als service. De standaardwaarde is 5.
U kunt de instelling centraal beheren met behulp van groepsbeleid door het ADMX-bestand healthservice.admx
te kopiëren van een beheerserver of door een agent beheerd systeem dat zich in de map C:\Windows\PolicyDefinitions
bevindt en de instelling Aanmeldingstype van het bewakingsactieaccount onder de map Computer Configuration\Administrative Templates\System Center - Operations Manager
te configureren. Zie ADMX-bestanden beheren voor meer informatie over het werken met groepsbeleid groepsbeleid ADMX-bestanden.
Account van de System Center Configuration-service en System Center Data Access-service
Het account van de System Center Configuration-service en de System Center Data Access-service wordt door de System Center Data Access-service en de System Center Management Configuration-service gebruikt om informatie in de operationele database bij te werken. De referenties van het actie-account worden toegewezen aan de rol Sdk_user in de operationele database.
Het account moet een domeingebruiker of een LocalSystem zijn. Aan het account dat wordt gebruikt voor het SDK- en configuratieserviceaccount, moet lokale beheerdersrechten worden verleend op alle beheerservers in de beheergroep. Het gebruik van het lokale gebruikersaccount wordt niet ondersteund. Voor een betere beveiliging raden we u aan een domeingebruikersaccount te gebruiken. Dit is een ander account dan het account dat wordt gebruikt voor het actie-account van de beheerserver. LocalSystem-account is het account met de hoogste bevoegdheden op een Windows-computer, zelfs hoger dan de lokale beheerder. Wanneer een service wordt uitgevoerd in de context van LocalSystem, heeft de service volledige controle over de lokale bronnen van de computer en wordt de identiteit van de computer gebruikt voor verificatie bij en toegang tot externe resources. Het gebruik van een LocalSystem-account is een beveiligingsrisico omdat het niet aan het principe van minimale bevoegdheden wordt gehouden. Vanwege de vereiste rechten op het SQL Server exemplaar dat als host fungeert voor de Operations Manager-database, is een domeinaccount met machtigingen met minimale bevoegdheden nodig om beveiligingsrisico's te voorkomen als de beheerserver in de beheergroep wordt aangetast. De redenen zijn:
- LocalSystem heeft geen wachtwoord
- Het heeft geen eigen profiel
- Het heeft uitgebreide bevoegdheden op de lokale computer
- De referenties van de computer worden gepresenteerd aan externe computers
Notitie
Als de Operations Manager-database is geïnstalleerd op een computer die gescheiden is van de beheerserver en LocalSystem is geselecteerd voor het data access- en configuratieserviceaccount, krijgt het computeraccount voor de beheerservercomputer de rol sdk_user toegewezen op de Operations Manager-databasecomputer.
Zie LocalSystem voor meer informatie.
Datawarehouse-schrijfaccount
Het Datawarehouse-schrijfaccount is het account waarmee gegevens worden geschreven van de beheerserver naar het rapportagedatawarehouse en het leest gegevens van de Operations Manager-database. De volgende tabel bevat een beschrijving van de rollen en het lidmaatschap die tijdens de installatie aan het domeingebruikersaccount worden toegewezen.
Toepassing | Database/Rol | Rol/Account |
---|---|---|
Microsoft SQL Server | OperationsManager | db_datareader |
Microsoft SQL Server | OperationsManager | dwsync_user |
Microsoft SQL Server | OperationsManagerDW | OpsMgrWriter |
Microsoft SQL Server | OperationsManagerDW | db_owner |
Operations Manager | Gebruikersrol | Administrators voor rapportbeveiliging in Operations Manager |
Operations Manager | Run As-account | Actie-account van datawarehouse |
Operations Manager | Run As-account | Lezer-account voor synchronisatie van datawarehouseconfiguratie |
Gegevenslezer-account
Het Gegevenslezer-account wordt gebruikt om rapporten te implementeren en te definiëren welke gebruiker query's op het rapportagedatawarehouse kan uitvoeren met SQL Server Reporting Services. Daarnaast wordt met dit account het SQL Reporting Services-account gedefinieerd om verbinding te maken met de beheerserver. Dit domeingebruikersaccount wordt toegevoegd aan het gebruikersprofiel voor rapportbeheerders. De volgende tabel beschrijft de rollen en het lidmaatschap die tijdens de installatie aan het account worden toegewezen.
Toepassing | Database/Rol | Rol/Account |
---|---|---|
Microsoft SQL Server | Exemplaar van Reporting Services-installatie | Uitvoeringsaccount rapportserver |
Microsoft SQL Server | OperationsManagerDW | OpsMgrReader |
Operations Manager | Gebruikersrol | Rapportoperators in Operations Manager |
Operations Manager | Gebruikersrol | Administrators voor rapportbeveiliging in Operations Manager |
Operations Manager | Run As-account | Implementatie-account voor datawarehouserapporten |
Windows-service | SQL Server Reporting Services | Aanmeldingsaccount |
Controleer of aan het account dat u voor het Gegevenslezer-account wilt gebruiken, de optie Aanmelden als service (voor 2019 en hoger) of Aanmelden als service en Lokaal aanmelden toestaan (voor eerdere versie) is verleend voor elke beheerserver, en de SQL Server die de rol Rapportageserver host.
Account voor agentinstallatie
Bij het uitvoeren van op detectie gebaseerde agentimplementatie is een account met beheerdersbevoegdheden vereist op de computers waarop de agentinstallatie is gericht. Het actieaccount van de beheerserver is het standaardaccount voor agentinstallatie. Als het actie-account van de beheerserver geen beheerdersrechten heeft, moet de operator een gebruikersaccount en wachtwoord met beheerdersrechten opgeven op de doelcomputers. Dit account wordt versleuteld vóór gebruik en vervolgens verwijderd.
Actie-account voor meldingen
Het actie-account voor meldingen is het account dat wordt gebruikt om meldingen te maken en te verzenden. Deze referenties moeten over voldoende rechten beschikken voor de SMTP-server, chatberichtenserver of de SIP-server die voor de meldingen wordt gebruikt.