Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Konta Run As definiują poświadczenia używane dla określonych działań wykonywanych przez agenta Operations Manager. Te konta są centralnie zarządzane za pośrednictwem konsoli Operacyjnej i przypisane do różnych profili Uruchom jako. Jeśli profil Uruchom jako nie jest przypisany do określonej akcji, akcja zostanie przeprowadzona na koncie domyślnej akcji. W środowisku o niskich uprawnieniach, domyślne konto może nie mieć wymaganych uprawnień do wykonania określonej akcji, a profil 'Uruchom jako' może być użyty do przydzielenia tych uprawnień. Pakiety administracyjne mogą instalować profile Uruchom jako i konta Uruchom jako w celu obsługi wymaganych działań. Jeśli tak, należy sięgnąć do dokumentacji w celu uzyskania informacji na temat wymaganej konfiguracji.
Domyślne konta Uruchom jako
W poniższej tabeli wymieniono domyślne konta Uruchom jako utworzone przez program Operations Manager podczas instalacji.
| Nazwa/nazwisko | opis | Dane uwierzytelniające |
|---|---|---|
| Domain\ManagementServerActionAccount | Konto użytkownika, na którym wszystkie reguły są domyślnie uruchamiane na serwerach zarządzania. | Konto domeny określone jako konto działania serwera zarządzania podczas instalacji. |
| Konto działania systemu lokalnego | Wbudowane konto systemowe używane jako konto operacyjne. | Konto lokalne systemu Windows |
| Konto APM | Konto do monitorowania wydajności aplikacji używane do dostarczania kluczy do szyfrowania informacji poufnych zebranych z aplikacji podczas monitorowania. To konto jest tworzone automatycznie po utworzeniu pierwszego monitora wydajności dla platformy .NET. | Zaszyfrowane konto binarne |
| Konto działania magazynu danych | Służy do uwierzytelniania za pomocą SQL Server hostującego bazę danych OperationsManagerDW. | Konto domeny określone podczas instalacji jako konto do zapisu w magazynie danych. |
| Konto wdrażania raportów magazynu danych | Służy do uwierzytelniania między serwerem zarządzania i programem SQL Server hostujący usługi Operations Manager Reporting Services. | Konto domeny określone podczas instalacji jako konto czytnika danych. |
| Konto systemu Windows lokalnego | Wbudowane konto SYSTEMOWE używane przez konto działania agenta. | Konto lokalne systemu Windows |
| Konto usługi sieciowej systemu Windows | Wbudowane konto usługi sieciowej. | Konto usługi sieciowej systemu Windows |
Domyślne profile Uruchom jako
W poniższej tabeli wymieniono profile "Uruchom jako" utworzone przez program Operations Manager podczas instalacji.
Uwaga
Jeśli konto Uruchom jako pozostanie puste dla określonego profilu, zostanie użyte domyślne konto działania (konto działania serwera zarządzania lub konto działania agenta w zależności od lokalizacji akcji).
| Nazwa/nazwisko | opis | Konto Użytkownika Uruchom jako |
|---|---|---|
| Konto przypisania agenta opartego na usłudze Active Directory | Konto używane przez moduł przypisywania agenta oparty na Active Directory do publikowania ustawień przypisania w Active Directory. | Konto systemu Windows lokalnego |
| Konto automatycznego zarządzania agentami | To konto służy do automatycznego diagnozowania błędów agenta. | Brak |
| Konto akcji monitorowania klienta | Jeśli zostanie określony, używany przez program Operations Manager do uruchamiania wszystkich modułów monitorowania klienta. Jeśli nie zostanie ono określone, program Operations Manager używa domyślnego konta działania. | Brak |
| Połączone konto grupy menedżerskiej | Konto używane przez pakiet administracyjny programu Operations Manager do monitorowania kondycji połączenia z połączonymi grupami zarządzania. | Brak |
| Konto magazynu danych | Jeśli zostanie określone, to konto jest używane do uruchamiania wszystkich reguł zbierania i synchronizacji magazynu danych zamiast domyślnego konta działania. Jeśli to konto nie jest zastępowane przez konto uwierzytelniania SQL Server Magazynu Danych, to konto jest używane przez reguły zbierania i synchronizacji do łączenia się z bazami danych Magazynu Danych przy użyciu zintegrowanego uwierzytelniania systemu Windows. | Brak |
| Konto wdrażania raportów magazynu danych | To konto jest używane przez procedury automatycznego wdrażania raportów magazynu danych do wykonywania różnych operacji związanych z wdrażaniem raportów. | Konto wdrażania raportów magazynu danych |
| Konto uwierzytelniania SQL Server dla magazynu danych | Jeśli zostanie określona, ta nazwa logowania i hasło są używane przez reguły zbierania i synchronizacji w celu nawiązania połączenia z bazami danych magazynu danych przy użyciu uwierzytelniania programu SQL Server. | Konto uwierzytelniania SQL Server dla magazynu danych |
| Konto działania programu MPUpdate | To konto jest używane przez aplikację MPUpdate. | Brak |
| Konto powiadomień | Konto systemu Windows, którego używają reguły powiadomień. Użyj adresu e-mail tego konta jako adresu 'Od' w wiadomościach e-mail i wiadomościach błyskawicznych. | Brak |
| Konto operacyjnej bazy danych | To konto służy do odczytywania i zapisywania informacji w bazie danych programu Operations Manager. | Brak |
| Uprzywilejowane konto monitorowania | Ten profil jest używany do monitorowania, które można wykonać tylko z wysokim poziomem uprawnień do systemu; na przykład monitorowanie, które wymaga uprawnień systemu lokalnego lub administratora lokalnego. Ten profil domyślnie ustawiany jest na Lokalny System, chyba że zostanie specificznie zastąpiony dla systemu docelowego. | Brak |
| Konto uwierzytelniania programu SQL Server dla zestawu SDK raportowania | Jeśli zostanie określona, ta nazwa logowania i hasło są używane przez usługę SDK do łączenia się z bazami danych magazynu danych przy użyciu uwierzytelniania programu SQL Server. | Konto uwierzytelniania programu SQL Server dla zestawu SDK raportowania |
| Zarezerwowana | Ten profil jest zarezerwowany i nie może być używany. | Brak |
| Weryfikowanie konta subskrypcji alertu | Konto używane przez moduł weryfikacji subskrypcji alertów, który sprawdza, czy subskrypcje powiadomień są w ramach zakresu. Ten profil wymaga uprawnień administratora. | Konto systemu Windows lokalnego |
| Konto monitorowania SNMP | To konto jest używane do monitorowania SNMP. | Brak |
| Konto monitorowania SNMPv3 | To konto jest używane do monitorowania SNMPv3. | Brak |
| Konto działania systemu UNIX/Linux | Konto THis jest używane do uzyskiwania dostępu do systemów UNIX i Linux o niskim poziomie uprawnień. | Brak |
| Konto konserwacji agenta systemu UNIX/Linux | To konto jest używane na potrzeby uprzywilejowanych operacji konserwacji dla agentów systemów UNIX i Linux. Bez tego konta operacje utrzymania agenta nie działają. | Brak |
| Uprzywilejowane konto systemu UNIX/Linux | To konto służy do uzyskiwania dostępu do chronionych zasobów systemów UNIX i Linux oraz akcji wymagających wysokich uprawnień. Bez tego konta niektóre reguły, diagnostyka i odzyskiwanie nie działają. | Brak |
| Konto działania klastra systemu Windows | Ten profil jest używany do odnajdywania i monitorowania składników klastra systemu Windows. Ten profil domyślnie korzysta z używanych kont akcji, chyba że użytkownik go wypełni. | Brak |
| Konto działania WS-Management | Ten profil jest używany do uzyskiwania dostępu do usługi WS-Management. | Brak |
Zrozumienie dystrybucji i targetowania
Aby profil Uruchom jako działał prawidłowo, zarówno dystrybucja konta Uruchom jako, jak i kierowanie kontem Uruchom jako muszą być poprawnie skonfigurowane.
Podczas konfigurowania profilu Uruchom jako, należy wybrać konta, które chcesz skojarzyć z tym profilem. Po utworzeniu tego skojarzenia można określić klasę, grupę lub obiekt, dla którego konto Uruchom jako ma być używane do uruchamiania zadań, reguł, monitorów i odnajdywania.
Dystrybucja jest atrybutem konta Uruchom jako użytkownik, a także można określić, które komputery otrzymują poświadczenia tego konta. Możesz wybrać, aby dystrybuować poświadczenia konta "Uruchom jako" do wszystkich komputerów zarządzanych przez agenta lub tylko do wybranych komputerów.
Przykład targetowania konta 'Uruchom jako': fizyczny komputer ABC hostuje dwa wystąpienia programu Microsoft SQL Server: wystąpienie X i wystąpienie Y. Każde wystąpienie używa innego zestawu poświadczeń dla konta sa. Utworzysz konto Uruchom jako z poświadczeniami sa dla wystąpienia X i utworzysz inne konto Uruchom jako z poświadczeniami sa dla wystąpienia Y. Podczas konfigurowania profilu Uruchom jako programu SQL Server należy skojarzyć zarówno poświadczenia kont Uruchom jako — na przykład dla wystąpienia X i Y — z profilem i określić, że poświadczenia konta Uruchom jako dla wystąpienia X mają być używane dla wystąpienia programu SQL Server X, a poświadczenia konta Uruchom jako dla wystąpienia Y mają być używane dla wystąpienia programu SQL Server Y. Następnie należy również skonfigurować każdy zestaw poświadczeń konta Uruchom jako, które mają być dystrybuowane do komputera fizycznego ABC.
Przykład dystrybucji konta Uruchom jako: SQL Server1 i SQL Server2 to dwa odrębne komputery fizyczne. Program SQL Server1 używa zestawu poświadczeń UserName1 i Password1 dla konta programu SQL sa. Program SQL Server2 używa zestawu poświadczeń UserName2 i Password2 dla konta programu SQL sa. Pakiet administracyjny SQL ma jeden profil Run As SQL, który jest używany dla wszystkich serwerów SQL. Następnie można zdefiniować jedno konto uruchamiane jako dla zestawu poświadczeń UserName1 i inne konto uruchamiane jako dla zestawu poświadczeń UserName2. Oba te konta Uruchom jako można skojarzyć z jednym profilem Uruchom jako programu SQL Server i można je skonfigurować tak, aby były dystrybuowane na odpowiednich komputerach. Oznacza to, że nazwa_użytkownika1 jest dystrybuowana do programu SQL Server1, a nazwa_użytkownika2 jest dystrybuowana do programu SQL Server2. Informacje o koncie wysyłane między serwerem zarządzania a wyznaczonym komputerem są szyfrowane.
Zabezpieczenia konta Uruchom jako
W programie System Center Operations Manager poświadczenia konta Uruchom jako są dystrybuowane tylko do określonych komputerów (jest to opcja bardziej bezpieczna). Jeśli program Operations Manager automatycznie dystrybuował konto Uruchom jako zgodnie z odnajdywaniem, w środowisku zostanie wprowadzone zagrożenie bezpieczeństwa, jak pokazano w poniższym przykładzie. Dlatego opcja automatycznej dystrybucji nie została uwzględniona w programie Operations Manager.
Na przykład program Operations Manager identyfikuje komputer jako hostowanie programu SQL Server 2016 na podstawie obecności klucza rejestru. Istnieje możliwość utworzenia tego samego klucza rejestru na komputerze, na którym faktycznie nie jest uruchomione wystąpienie programu SQL Server 2016. Jeśli program Operations Manager miał automatycznie dystrybuować poświadczenia do wszystkich komputerów zarządzanych przez agenta, które zostały zidentyfikowane jako komputery z programem SQL Server 2016, poświadczenia zostaną wysłane do imposterowego programu SQL Server i będą one dostępne dla wszystkich osób z uprawnieniami administratora na tym serwerze.
Podczas tworzenia konta Run As przy użyciu programu Operations Manager zostaniesz poproszony o wybranie, czy konto Run As powinno być traktowane mniej bezpiecznie czy bardziej bezpiecznie. "Bezpieczniejszy" oznacza, że gdy kojarzysz konto Run As z profilem Run As, musisz podać konkretne nazwy komputerów, na które mają być przekazywane poświadczenia Run As. Dzięki pozytywnej identyfikacji komputerów docelowych można zapobiec scenariuszowi fałszowania, który został opisany wcześniej. Jeśli wybierzesz mniej bezpieczną opcję, nie będzie trzeba podawać żadnych określonych komputerów, a poświadczenia będą dystrybuowane do wszystkich komputerów zarządzanych przez agentów.
Uwaga
Poświadczenia wybrane dla konta Uruchom jako muszą mieć co najmniej uprawnienia do logowania lokalnego; w przeciwnym razie moduł zakończy się niepowodzeniem.