Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Podczas instalacji i codziennych operacji programu Operations Manager zostanie wyświetlony monit o podanie poświadczeń dla kilku kont. Ten artykuł zawiera informacje o każdym z tych kont, w tym konta SDK i Usługi Konfiguracyjnej, instalacji agenta, zapisu do magazynu danych oraz konta do odczytu danych.
Uwaga
Instalacja programu Operations Manager przydziela wszystkie niezbędne uprawnienia SQL.
Jeśli używasz kont domeny, a obiekt zasad grupy domeny (GPO) ma domyślne zasady wygasania haseł ustawione zgodnie z wymaganiami, musisz zmienić hasła na kontach usług zgodnie z harmonogramem, użyć kont systemowych lub skonfigurować konta, aby hasła nigdy nie wygasały.
Konta akcji
W programie System Center Operations Manager serwery zarządzania, serwery bramy i agenci wykonują proces o nazwie MonitoringHost.exe. MonitoringHost.exe służy do monitorowania działań, takich jak wykonywanie monitora lub uruchamianie zadania. Inne przykłady akcji MonitoringHost.exe są następujące:
- Monitorowanie i zbieranie danych dziennika zdarzeń systemu Windows
- Monitorowanie i zbieranie danych licznika wydajności systemu Windows
- Monitorowanie i zbieranie danych instrumentacji zarządzania Windows (WMI)
- Uruchamianie akcji, takich jak skrypty lub serie wsadowe
Konto, w ramach którego jest uruchamiany proces MonitoringHost.exe, jest nazywane kontem działania. MonitoringHost.exe to proces, który uruchamia te akcje przy użyciu poświadczeń określonych na koncie działania. Dla każdego konta tworzone jest nowe wystąpienie MonitoringHost.exe. Konto działania dla procesu MonitoringHost.exe uruchomionego na agencie jest nazywane kontem działania agenta. Konto działania używane przez proces MonitoringHost.exe na serwerze zarządzania jest nazywane kontem działania serwera zarządzania. Konto akcji używane przez proces MonitoringHost.exe na serwerze bramy nazywa się Kontem Akcji Serwera Bramy. Na wszystkich serwerach zarządzania w grupie zarządzania zalecamy przyznanie kontu lokalnych praw administracyjnych, chyba że zasady zabezpieczeń IT organizacji wymagają dostępu z najniższymi uprawnieniami.
Jeśli akcja nie została skojarzona z profilem Uruchom jako, poświadczenia używane do wykonania akcji będą tymi, które zostały zdefiniowane dla konta akcji. Aby uzyskać więcej informacji na temat kont Uruchom jako i profilów Uruchom jako, zobacz sekcję Kont Uruchom jako. Gdy agent uruchamia akcje jako konto domyślne do działań lub jako konto Uruchom jako, dla każdego z tych kont powstaje nowa instancja MonitoringHost.exe.
Podczas instalowania programu Operations Manager możesz określić konto domeny lub użyć systemu lokalnego. Bardziej bezpieczne podejście polega na określeniu konta domeny, które umożliwia wybranie użytkownika z najmniejszymi uprawnieniami niezbędnymi dla danego środowiska.
Dla konta działania agenta można użyć konta z najniższymi uprawnieniami. Na komputerach z systemem Windows Server 2008 R2 lub nowszym konto musi mieć następujące minimalne uprawnienia:
- Członek lokalnej grupy Użytkownicy
- Członek lokalnej grupy użytkowników Monitora Wydajności
- Uprawnienia Zezwalaj na logowanie lokalne (SetInteractiveLogonRight) nie mają zastosowania do programu Operations Manager 2019 i nowszych.
Uwaga
Minimalne uprawnienia opisane powyżej to najniższe uprawnienia obsługiwane przez program Operations Manager dla konta działania. Inne konta Uruchom jako mogą mieć niższe uprawnienia. Rzeczywiste uprawnienia wymagane dla konta działania i konta Uruchom jako będą zależeć od tego, które pakiety zarządzania są uruchomione na komputerze oraz w jaki sposób zostały skonfigurowane. Aby uzyskać więcej informacji na temat wymaganych uprawnień, zobacz odpowiedni przewodnik po pakiecie administracyjnym.
Konto domenowe określone dla konta działania może mieć przyznane uprawnienie Zaloguj się jako usługa (SeServiceLogonRight) lub Zaloguj się wsadowo (SeBatchLogonRight), jeśli zasady zabezpieczeń nie zezwalają na przyznawanie kontu usługi interakcyjnego logowania, na przykład, gdy wymagane jest uwierzytelnianie kart inteligentnych. Zmodyfikuj wartość rejestru HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\System Center\Health Service:
Konto domeny, które zostało określone dla konta działania, ma przyznane uprawnienie Log on as a Service (SeServiceLogonRight). Aby zmienić typ logowania dla usługi kondycji, zmodyfikuj wartość rejestru HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\System Center\Usługa kondycji:
- Nazwa: Typ logowania procesu roboczego
- Typ: REG_DWORD
- Wartości: Cztery (4) — logowanie jako partia, dwa (2) — zezwalaj na logowanie lokalne i pięć (5) — logowanie jako usługa. Wartość domyślna to 2.
- Wartości: Cztery (4) — logowanie jako partia, dwa (2) — zezwalaj na logowanie lokalne i pięć (5) — logowanie jako usługa. Wartość domyślna to 5.
Za pomocą Zasad grupy można centralnie zarządzać tym ustawieniem, kopiując plik ADMX z serwera zarządzania lub systemu zarządzanego przez agenta znajdującego się w folderze healthservice.admx i konfigurując ustawienie C:\Windows\PolicyDefinitions w folderze . Aby uzyskać więcej informacji na temat pracy z plikami ADMX dla zasad grupy, zobacz Zarządzanie plikami ADMX zasad grupy.
Konto usługi System Center Configuration i usługi System Center Data Access
Usługa System Center Configuration i konto usługi System Center Data Access są używane przez usługi System Center Data Access i System Center Management Configuration w celu zaktualizowania informacji w operacyjnej bazie danych. Poświadczenia używane dla konta akcji zostaną przypisane do roli sdk_user w bazie danych operacyjnej.
Konto powinno być kontem użytkownika domenowego lub LocalSystem. Konto używane dla SDK i usługi konfiguracji powinno mieć nadane lokalne prawa administracyjne na wszystkich serwerach zarządzania w grupie zarządzania. Korzystanie z konta użytkownika lokalnego nie jest obsługiwane. W celu zwiększenia bezpieczeństwa zalecamy użycie konta użytkownika domeny i jest to inne konto niż konto używane na koncie działania serwera zarządzania. Konto LocalSystem jest najwyższym kontem uprzywilejowanym na komputerze z systemem Windows, nawet wyższym niż administrator lokalny. Gdy usługa działa w kontekście localSystem, usługa ma pełną kontrolę nad zasobami lokalnymi komputera, a tożsamość komputera jest używana podczas uwierzytelniania i uzyskiwania dostępu do zasobów zdalnych. Korzystanie z konta LocalSystem jest zagrożeniem bezpieczeństwa, ponieważ nie przestrzega zasady najniższych uprawnień. Ze względu na uprawnienia wymagane na wystąpieniu programu SQL Server, który hostuje bazę danych Operations Manager, niezbędne jest konto domenowe z minimalnymi uprawnieniami, aby uniknąć ryzyka bezpieczeństwa, w przypadku gdy serwer zarządzania w grupie zarządzania zostanie naruszony. Oto przyczyny:
- System lokalny nie ma hasła
- Nie ma własnego profilu
- Ma on szerokie uprawnienia na komputerze lokalnym
- Przedstawia poświadczenia komputera komputerom zdalnym
Uwaga
Jeśli baza danych programu Operations Manager jest zainstalowana na komputerze innym niż serwer zarządzania, a dla konta usługi Dostęp do danych i konfiguracja wybrano opcję LocalSystem, konto komputera dla komputera serwera zarządzania ma przypisaną rolę sdk_user na komputerze bazy danych programu Operations Manager.
Aby uzyskać więcej informacji, zobacz temat LocalSystem.
Konto dostępu zapisu do magazynu danych
Konto do zapisu w magazynie danych to konto używane do zapisywania danych z serwera zarządzania do magazynu danych do raportowania oraz odczytuje dane z bazy danych Operations Managera. W poniższej tabeli opisano role i członkostwo przypisane do konta użytkownika domeny podczas instalacji.
| Aplikacja | Baza danych/rola | Rola/konto |
|---|---|---|
| Microsoft SQL Server | Menedżer Operacji | db_datareader |
| Microsoft SQL Server | Menedżer Operacji | użytkownik_dwsync |
| Microsoft SQL Server | OperationsManagerDW | OpsMgrWriter |
| Microsoft SQL Server | OperationsManagerDW | właściciel_bazy_danych |
| Kierownik Operacyjny | Rola użytkownika | Administratorzy ds. zabezpieczeń raportów w programie Operations Manager |
| Kierownik Operacyjny | Konto uruchom jako | Konto działania magazynu danych |
| Kierownik Operacyjny | Konto uruchom jako | Konto czytelnika synchronizacji konfiguracji magazynu danych |
Konto czytelnika danych
Konto czytelnika danych służy do wdrażania raportów, definiowania użytkownika używanego przez usługi SQL Server Reporting Services do wykonywania zapytań względem magazynu danych raportowania oraz definiowania konta usług SQL Reporting Services w celu nawiązania połączenia z serwerem zarządzania. To konto użytkownika domeny jest dodawane do profilu użytkownika administratora raportów. W poniższej tabeli opisano role i członkostwo przypisane do konta podczas instalacji.
| Aplikacja | Baza danych/rola | Rola/konto |
|---|---|---|
| Microsoft SQL Server | Instancja instalacji usług Reporting Services | Konto wykonawcze serwera raportów |
| Microsoft SQL Server | OperationsManagerDW | OpsMgrReader |
| Kierownik Operacyjny | Rola użytkownika | Operatory raportów programu Operations Manager |
| Kierownik Operacyjny | Rola użytkownika | Administratorzy ds. zabezpieczeń raportów w programie Operations Manager |
| Kierownik Operacyjny | Konto uruchom jako | Konto wdrażania raportów magazynu danych |
| Usługa systemu Windows | SQL Server Reporting Services | Konto logowania |
Sprawdź, czy konto do wykorzystania jako konto czytelnika danych ma przyznane uprawnienia Logowanie jako usługa (dla wersji 2019 lub nowszej) lub Logowanie jako usługa i Zezwalaj na logowanie lokalne (w przypadku wcześniejszej wersji), odpowiednie prawa na każdym serwerze zarządzania oraz na serwerze SQL hostującym rolę serwera raportowania.
Konto agenta instalacji
Podczas wdrażania agenta opartego na wykrywaniu, wymagane jest konto z uprawnieniami administratora na komputerach docelowych do instalacji agenta. Konto działania serwera zarządzania jest domyślnym kontem instalacji agenta. Jeśli konto działania serwera zarządzania nie ma uprawnień administratora, operator musi podać konto użytkownika i hasło z uprawnieniami administracyjnymi na komputerach docelowych. To konto jest szyfrowane przed rozpoczęciem użycia, a następnie odrzucone.
Konto działania powiadomień
Konto działania powiadomień to konto używane do tworzenia i wysyłania powiadomień. Te poświadczenia muszą mieć wystarczające uprawnienia dla serwera SMTP, serwera wiadomości błyskawicznych lub serwera SIP używanego do powiadomień.