Konta usług, użytkowników i zabezpieczeń
Podczas instalacji i codziennych operacji programu Operations Manager zostanie wyświetlony monit o podanie poświadczeń dla kilku kont. Ten artykuł zawiera informacje o każdym z tych kont, w tym na kontach zestawu SDK i usługi konfiguracji, instalacji agenta, zapisu magazynu danych i czytnika danych.
Uwaga
Instalacja programu Operations Manager aprowizuje wszystkie niezbędne uprawnienia SQL.
Jeśli używasz kont domeny, a obiekt zasad grupy domeny (GPO) ma domyślne zasady wygasania haseł ustawione zgodnie z wymaganiami, musisz zmienić hasła na kontach usług zgodnie z harmonogramem, użyć kont systemowych lub skonfigurować konta, aby hasła nigdy nie wygasały.
Konta akcji
W programie System Center Operations Manager serwery zarządzania, serwery bramy i agenci wykonują proces o nazwie MonitoringHost.exe. MonitoringHost.exe służy do monitorowania działań, takich jak wykonywanie monitora lub uruchamianie zadania. Inne przykłady akcji MonitoringHost.exe są następujące:
- Monitorowanie i zbieranie danych dziennika zdarzeń systemu Windows
- Monitorowanie i zbieranie danych licznika wydajności systemu Windows
- Monitorowanie i zbieranie danych instrumentacji zarządzania Windows (WMI)
- Uruchamianie akcji, takich jak skrypty lub partie
Konto, w ramach którego jest uruchamiany proces MonitoringHost.exe, jest nazywane kontem działania. MonitoringHost.exe to proces, który uruchamia te akcje przy użyciu poświadczeń określonych na koncie działania. Dla każdego konta jest tworzone nowe wystąpienie MonitoringHost.exe. Konto działania dla procesu MonitoringHost.exe uruchomionego na agencie jest nazywane kontem działania agenta. Konto działania używane przez proces MonitoringHost.exe na serwerze zarządzania jest nazywane kontem działania serwera zarządzania. Konto działania używane przez proces MonitoringHost.exe na serwerze bramy jest nazywane kontem działania serwera bramy. Na wszystkich serwerach zarządzania w grupie zarządzania zalecamy przyznanie kontu lokalnych praw administracyjnych, chyba że zasady zabezpieczeń IT organizacji wymagają dostępu z najniższymi uprawnieniami.
Jeśli akcja nie została skojarzona z profilem Uruchom jako, poświadczenia używane do wykonania akcji będą tymi, które zostały zdefiniowane dla konta działania. Aby uzyskać więcej informacji na temat kont Uruchom jako i profilów Uruchom jako, zobacz sekcję Konta Uruchom jako. Gdy agent uruchamia akcje jako domyślne konto działania i/lub konto Uruchom jako, dla każdego konta zostanie utworzone nowe wystąpienie MonitoringHost.exe.
Podczas instalowania programu Operations Manager możesz określić konto domeny lub użyć systemu lokalnego. Bardziej bezpieczne podejście polega na określeniu konta domeny, które umożliwia wybranie użytkownika z najmniejszymi uprawnieniami niezbędnymi dla danego środowiska.
Dla konta działania agenta można użyć konta z najniższymi uprawnieniami. Na komputerach z systemem Windows Server 2008 R2 lub nowszym konto musi mieć następujące minimalne uprawnienia:
- Członek lokalnej grupy Użytkownicy
- Członek lokalnej grupy użytkowników monitor wydajności
- Zezwalaj na logowanie lokalne (SetInteractiveLogonRight) uprawnienia (nie dotyczy programu Operations Manager 2019 i nowszych).
Uwaga
Minimalne uprawnienia opisane powyżej to najniższe uprawnienia obsługiwane przez program Operations Manager dla konta działania. Inne konta Uruchom jako mogą mieć niższe uprawnienia. Rzeczywiste uprawnienia wymagane dla konta działania i konta Uruchom jako będą zależeć od tego, które pakiety administracyjne są uruchomione na komputerze i jak są skonfigurowane. Aby uzyskać więcej informacji na temat wymaganych uprawnień, zobacz odpowiedni przewodnik po pakiecie administracyjnym.
Konto domeny określone dla konta działania może mieć przyznane uprawnienie Zaloguj się jako usługa (SeServiceLogonRight) lub Zaloguj się jako usługa Batch (SeBatchLogonRight), jeśli zasady zabezpieczeń nie zezwalają na przyznanie konta usługi interakcyjnego logowania, na przykład w przypadku, gdy wymagane jest uwierzytelnianie kart inteligentnych. Zmodyfikuj wartość rejestru HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\System Center\Usługa kondycji:
Konto domeny określone dla konta działania ma uprawnienie Log on as a Service (SeServiceLogonRight). Aby zmienić typ logowania dla usługi kondycji, zmodyfikuj wartość rejestru HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\System Center\Usługa kondycji:
- Nazwa: Typ logowania procesu roboczego
- Typ: REG_DWORD
- Wartości: Cztery (4) — logowanie jako partia, dwa (2) — zezwalaj na logowanie lokalne i pięć (5) — logowanie jako usługa. Wartość domyślna to 2.
- Wartości: Cztery (4) — logowanie jako partia, dwa (2) — zezwalaj na logowanie lokalne i pięć (5) — logowanie jako usługa. Wartość domyślna to 5.
Ustawienie można centralnie zarządzać za pomocą zasad grupy, kopiując plik healthservice.admx ADMX z serwera zarządzania lub systemu zarządzanego przez agenta znajdującego się w folderze i konfigurując ustawienie Monitorowanie typ logowania konta działania w folderze C:\Windows\PolicyDefinitions Computer Configuration\Administrative Templates\System Center - Operations Manager. Aby uzyskać więcej informacji na temat pracy z plikami ADMX zasad grupy, zobacz Zarządzanie plikami ADMX zasad grupy.
Konto usługi System Center Configuration i usługi System Center Data Access
Usługa System Center Configuration i konto usługi System Center Data Access są używane przez usługi System Center Data Access i System Center Management Configuration w celu zaktualizowania informacji w operacyjnej bazie danych. Poświadczenia używane dla konta działania zostaną przypisane do roli sdk_user w operacyjnej bazie danych.
Konto powinno być użytkownikiem domeny lub systemem lokalnym. Konto używane dla zestawu SDK i konta usługi konfiguracji powinno mieć przyznane lokalne prawa administracyjne na wszystkich serwerach zarządzania w grupie zarządzania. Korzystanie z konta użytkownika lokalnego nie jest obsługiwane. W celu zwiększenia bezpieczeństwa zalecamy użycie konta użytkownika domeny i jest to inne konto niż konto używane na koncie działania serwera zarządzania. Konto LocalSystem jest najwyższym kontem uprzywilejowanym na komputerze z systemem Windows, nawet wyższym niż administrator lokalny. Gdy usługa działa w kontekście localSystem, usługa ma pełną kontrolę nad zasobami lokalnymi komputera, a tożsamość komputera jest używana podczas uwierzytelniania i uzyskiwania dostępu do zasobów zdalnych. Korzystanie z konta LocalSystem jest zagrożeniem bezpieczeństwa, ponieważ nie przestrzega zasady najniższych uprawnień. Ze względu na uprawnienia wymagane w wystąpieniu programu SQL Server hostowanym w bazie danych programu Operations Manager konto domeny z uprawnieniami najniższymi uprawnieniami jest niezbędne, aby uniknąć ryzyka zabezpieczeń, jeśli serwer zarządzania w grupie zarządzania zostanie naruszony. Oto przyczyny:
- System lokalny nie ma hasła
- Nie ma własnego profilu
- Ma on szerokie uprawnienia na komputerze lokalnym
- Przedstawia poświadczenia komputera komputerom zdalnym
Uwaga
Jeśli baza danych programu Operations Manager jest zainstalowana na komputerze innym niż serwer zarządzania, a dla konta usługi Dostęp do danych i konfiguracja wybrano opcję LocalSystem, konto komputera dla komputera serwera zarządzania ma przypisaną rolę sdk_user na komputerze bazy danych programu Operations Manager.
Aby uzyskać więcej informacji, zobacz temat LocalSystem.
Konto zapisu magazynu danych
Konto zapisu magazynu danych to konto używane do zapisywania danych z serwera zarządzania do magazynu danych raportowania i odczytuje dane z bazy danych programu Operations Manager. W poniższej tabeli opisano role i członkostwo przypisane do konta użytkownika domeny podczas instalacji.
| Aplikacja | Baza danych/rola | Rola/konto |
|---|---|---|
| Microsoft SQL Server | OperationsManager | db_datareader |
| Microsoft SQL Server | OperationsManager | dwsync_user |
| Microsoft SQL Server | OperationsManagerDW | OpsMgrWriter |
| Microsoft SQL Server | OperationsManagerDW | db_owner |
| Operations Manager | Rola użytkownika | Administratorzy zabezpieczeń raportów programu Operations Manager |
| Operations Manager | Konto Uruchom jako | Konto działania magazynu danych |
| Operations Manager | Konto Uruchom jako | Konto czytelnika synchronizacji konfiguracji magazynu danych |
Konto czytelnika danych
Konto czytelnika danych służy do wdrażania raportów, definiowania użytkownika używanego przez usługi SQL Server Reporting Services do wykonywania zapytań względem magazynu danych raportowania oraz definiowania konta usług SQL Reporting Services w celu nawiązania połączenia z serwerem zarządzania. To konto użytkownika domeny jest dodawane do profilu użytkownika administratora raportów. W poniższej tabeli opisano role i członkostwo przypisane do konta podczas instalacji.
| Aplikacja | Baza danych/rola | Rola/konto |
|---|---|---|
| Microsoft SQL Server | Wystąpienie instalacji usług Reporting Services | Konto wykonywania serwera raportów |
| Microsoft SQL Server | OperationsManagerDW | OpsMgrReader |
| Operations Manager | Rola użytkownika | Operatory raportów programu Operations Manager |
| Operations Manager | Rola użytkownika | Administratorzy zabezpieczeń raportów programu Operations Manager |
| Operations Manager | Konto Uruchom jako | Konto wdrażania raportów magazynu danych |
| Usługa systemu Windows | SQL Server Reporting Services | Konto logowania |
Sprawdź, czy konto, którego chcesz użyć dla konta czytelnika danych, ma przyznane konto Logowanie jako usługa (dla wersji 2019 lub nowszej) lub Logowanie jako usługa i Zezwalaj na logowanie lokalne (w przypadku wcześniejszej wersji), odpowiednie dla każdego serwera zarządzania oraz program SQL Server hostujący rolę serwera raportowania.
Konto instalacji agenta
Podczas wdrażania agenta opartego na odnajdywania konto jest wymagane z uprawnieniami administratora na komputerach przeznaczonych do instalacji agenta. Konto działania serwera zarządzania jest domyślnym kontem instalacji agenta. Jeśli konto działania serwera zarządzania nie ma uprawnień administratora, operator musi podać konto użytkownika i hasło z uprawnieniami administracyjnymi na komputerach docelowych. To konto jest szyfrowane przed rozpoczęciem użycia, a następnie odrzucone.
Konto działania powiadomień
Konto działania powiadomień to konto używane do tworzenia i wysyłania powiadomień. Te poświadczenia muszą mieć wystarczające uprawnienia dla serwera SMTP, serwera wiadomości błyskawicznych lub serwera SIP używanego do powiadomień.