Contas e perfis Executar como
As contas Executar como definem quais credenciais são usadas para determinadas ações executadas pelo agente do Operations Manager. Essas contas são gerenciadas centralmente por meio do console de Operações e atribuídas a diferentes perfis Executar como. Se um perfil Executar como não estiver atribuído a uma ação específica, ele será executado na conta Ação padrão. Em um ambiente de baixo privilégio, a conta padrão pode não ter as permissões necessárias para uma ação específica, e um perfil Executar como pode ser usado para fornecer essa autoridade. Os pacotes de gerenciamento podem instalar perfis e contas Executar como para dar suporte às ações necessárias. Nesse caso, sua documentação deve ser referenciada para qualquer configuração necessária.
Contas Executar como padrão
A tabela a seguir lista as contas Executar como padrão criadas pelo Operations Manager durante a instalação.
| Nome | Descrição | Credenciais |
|---|---|---|
| Domínio\ManagementServerActionAccount | A conta de usuário sob a qual todas as regras são executadas por padrão nos servidores de gerenciamento. | Conta de domínio especificada como a conta de Ação do Servidor de Gerenciamento durante a instalação. |
| Conta de Ação do Sistema Local | Conta do sistema integrada usada como uma conta de ação. | Conta do sistema local do Windows |
| Conta APM | Conta do Monitoramento de Desempenho de Aplicativos usada para fornecer chaves para criptografar informações seguras coletadas do aplicativo durante o monitoramento. Essa conta é criada automaticamente depois que você cria seu primeiro Monitor de Desempenho do .NET. | Conta binária criptografada |
| Conta de ação do data warehouse | Usado para autenticar com o SQL Server que hospeda o banco de dados OperationsManagerDW. | Conta de domínio especificada durante a configuração como a conta de gravação do Data Warehouse. |
| Conta de Implantação de Relatório do Data Warehouse | Usado para autenticar entre o servidor de gerenciamento e o SQL Server que hospeda o Operations Manager Reporting Services. | Conta de domínio especificada durante a configuração como a conta do Leitor de Dados. |
| Conta do Windows do sistema local | Conta SYSTEM integrada usada pela conta de ação do agente. | Conta do sistema local do Windows |
| Conta do Windows do serviço de rede | Conta de serviço de rede integrada. | Conta do Windows NetworkService |
Perfis Executar como padrão
A tabela a seguir lista os perfis Executar como criados pelo Operations Manager durante a instalação.
Observação
Se a conta Executar como for deixada em branco para um perfil específico, a conta Ação Padrão (a conta Ação do Servidor de Gerenciamento ou a conta Ação do Agente, dependendo do local da ação) será usada.
| Nome | Descrição | Conta Executar como |
|---|---|---|
| Conta de atribuição de agente baseada no Active Directory | Conta usada pelo módulo de atribuição de agente baseado no Active Directory para publicar configurações de atribuição no Active Directory. | Conta do Windows do sistema local |
| Conta de Gerenciamento Automático de Agentes | Essa conta é usada para diagnosticar automaticamente falhas do agente. | Nenhum |
| Conta de ação de monitoramento do cliente | Se especificado, usado pelo Operations Manager para executar todos os módulos de monitoramento do cliente. Se não for especificado, o Operations Manager usará a conta de ação padrão. | Nenhum |
| Conta do Grupo de Gerenciamento Conectado | Conta usada pelo pacote de gerenciamento do Operations Manager para monitorar a integridade da conexão com os grupos de gerenciamento conectados. | Nenhum |
| Conta de Data Warehouse | Se especificada, essa conta será usada para executar todas as regras de coleta e sincronização do Data Warehouse em vez da conta de ação padrão. Se essa conta não for substituída pela conta de Autenticação do SQL Server do Data Warehouse, essa conta será usada pelas regras de coleta e sincronização para se conectar aos bancos de dados do Data Warehouse usando a autenticação integrada do Windows. | Nenhum |
| Conta de Implantação de Relatório do Data Warehouse | Essa conta é usada pelos procedimentos de implantação automática de relatórios do Data Warehouse para executar várias operações relacionadas à implantação de relatórios. | Conta de Implantação de Relatório do Data Warehouse |
| Conta de Autenticação do SQL Server do Data Warehouse | Se especificado, esse nome de entrada e senha são usados pelas regras de coleta e sincronização para se conectar aos bancos de dados do Data Warehouse usando a autenticação do SQL Server. | Conta de Autenticação do SQL Server do Data Warehouse |
| Conta de ação do MPUpdate | Essa conta é usada pelo notificador MPUpdate. | Nenhum |
| Conta de notificação | Conta do Windows usada por regras de notificação. Use o endereço de e-mail dessa conta como o endereço de e-mail e mensagem instantânea 'De'. | Nenhum |
| Conta de Banco de Dados Operacional | Essa conta é usada para ler e gravar informações no banco de dados do Operations Manager. | Nenhum |
| Conta de monitoramento privilegiada | Esse perfil é usado para monitoramento, o que só pode ser feito com um alto nível de privilégio para um sistema; por exemplo, monitoramento que requer permissões de Sistema Local ou Administrador Local. Esse perfil é padronizado para Sistema Local, a menos que seja especificamente substituído para um sistema de destino. | Nenhum |
| Conta de autenticação do SQL Server do SDK de relatórios | Se especificado, esse nome de entrada e senha serão usados pelo Serviço SDK para se conectar aos bancos de dados do Data Warehouse usando a autenticação do SQL Server. | Conta de autenticação do SQL Server do SDK de relatórios |
| Reserved | Este perfil é reservado e não deve ser usado. | Nenhum |
| Validar conta de assinatura de alerta | Conta usada pelo módulo validar assinatura de alerta que valida se as assinaturas de notificação estão no escopo. Esse perfil precisa de direitos de administrador. | Conta do Windows do sistema local |
| Conta de monitoramento SNMP | Essa conta é usada para monitoramento SNMP. | Nenhum |
| Conta de monitoramento SNMPv3 | Essa conta é usada para monitoramento SNMPv3. | Nenhum |
| Conta de ação UNIX/Linux | Esta conta é usada para acesso UNIX e Linux de baixo privilégio. | Nenhum |
| Conta de manutenção do agente UNIX/Linux | Essa conta é usada para operações de manutenção privilegiadas para agentes UNIX e Linux. Sem essa conta, as operações de manutenção do agente não funcionam. | Nenhum |
| Conta privilegiada UNIX/Linux | Essa conta é usada para acessar recursos e ações protegidos do UNIX e do Linux que exigem altos privilégios. Sem essa conta, algumas regras, diagnósticos e recuperações não funcionam. | Nenhum |
| Conta de Ação de Cluster do Windows | Esse perfil é usado para toda a descoberta e monitoramento de componentes do Cluster do Windows. Esse perfil usa como padrão as contas de ação usadas, a menos que seja preenchido pelo usuário. | Nenhum |
| Conta de ação WS-Management | Esse perfil é usado para acesso ao WS-Management. | Nenhum |
Entender a distribuição e a segmentação
A distribuição de conta Executar como e o direcionamento de conta Executar como devem ser configurados corretamente para que o perfil Executar como funcione corretamente.
Ao configurar um perfil Executar como, selecione as contas de Executar como que deseja associar a esse perfil. Depois de criar essa associação, você pode especificar a classe, o grupo ou o objeto para o qual a conta Executar como deve ser usada para executar tarefas, regras, monitores e descobertas.
Distribuição é um atributo de uma conta Executar como e você pode especificar quais computadores recebem as credenciais da conta Executar como. Você pode optar por distribuir as credenciais da conta Executar como a todos os computadores gerenciados por agentes ou apenas aos computadores selecionados.
Exemplo de direcionamento de conta Executar como: o computador físico ABC hospeda duas instâncias do Microsoft SQL Server: instância X e instância Y. Cada instância usa um conjunto diferente de credenciais para a conta sa. Você cria uma conta Executar como com as credenciais sa para a instância X e cria uma conta Executar como diferente com as credenciais sa para a instância Y. Ao configurar o perfil Executar como do SQL Server, você associa as duas credenciais da conta Executar como — por exemplo, X e Y — ao perfil e especifica que as credenciais da instância X da conta Executar como devem ser usadas para a instância X do SQL Server e que as credenciais da conta Y devem ser usadas para a instância Y do SQL Server. Em seguida, você também deve configurar cada conjunto de credenciais de conta Executar como para ser distribuído ao computador físico ABC.
Exemplo de distribuição de conta Executar como: SQL Server1 e SQL Server2 são dois computadores físicos diferentes. O SQL Server1 usa o conjunto de credenciais UserName1 e Password1 para a conta SQL sa. O SQL Server2 usa o conjunto de credenciais UserName2 e Password2 para a conta SQL sa. O pacote de gerenciamento SQL tem um único perfil Executar como do SQL que é usado para todos os SQL Servers. Em seguida, você pode definir uma conta Executar como para o conjunto de credenciais UserName1 e outra conta Executar como para o conjunto de credenciais UserName2. Ambas as contas Executar como podem ser associadas a um perfil Executar como do SQL Server e podem ser configuradas para serem distribuídas para os computadores apropriados. Ou seja, UserName1 é distribuído para SQL Server1 e UserName2 é distribuído para SQL Server2. As informações da conta enviadas entre o servidor de gerenciamento e o computador designado são criptografadas.
Segurança da conta Executar como
No System Center Operations Manager, as credenciais da conta Executar como são distribuídas apenas para os computadores especificados por você (a opção mais segura). Se o Operations Manager distribuísse automaticamente a conta Executar como de acordo com a descoberta, um risco de segurança seria introduzido em seu ambiente, conforme ilustrado no exemplo a seguir. É por isso que uma opção de distribuição automática não foi incluída no Operations Manager.
Por exemplo, o Operations Manager identifica um computador como hospedando o SQL Server 2016 com base na presença de uma chave do Registro. É possível criar essa mesma chave do Registro em um computador que não está realmente executando uma instância do SQL Server 2016. Se o Operations Manager distribuísse automaticamente as credenciais para todos os computadores gerenciados por agente que foram identificados como computadores do SQL Server 2016, as credenciais seriam enviadas para o SQL Server impostor e estariam disponíveis para qualquer pessoa com direitos de administrador nesse servidor.
Ao criar uma conta Executar como usando o Operations Manager, você será solicitado a escolher se a conta Executar como deve ser tratada de maneira menos segura ou mais segura. "Mais seguro" significa que, ao associar a conta Executar como a um perfil Executar como, você precisa fornecer os nomes de computador específicos para os quais deseja que as credenciais Executar como sejam distribuídas. Ao identificar positivamente os computadores de destino, você pode impedir o cenário de falsificação que foi descrito antes. Se você escolher a opção menos segura, não precisará fornecer nenhum computador específico e as credenciais serão distribuídas para todos os computadores gerenciados por agente.
Observação
As credenciais selecionadas para a conta Executar como devem ter, no mínimo, direitos de logon local; caso contrário, o módulo falhará.