Contas de Serviço, Utilizador e Segurança
Importante
Esta versão do Operations Manager chegou ao fim do suporte. Recomendamos que atualize para o Operations Manager 2022.
Durante a configuração e as operações diárias do Operations Manager, ser-lhe-á pedido que forneça credenciais para várias contas. Este artigo fornece informações sobre cada uma destas contas, incluindo as contas SDK e Config Service, Agent Installation, Data Warehouse Write e Data Reader.
Nota
A instalação do Operations Manager aprovisiona todas as permissões SQL necessárias.
Se utilizar contas de domínio e o seu domínio Política de Grupo Object (GPO) tiver a política de expiração de palavra-passe predefinida definida conforme necessário, terá de alterar as palavras-passe nas contas de serviço de acordo com a agenda, utilizar contas de sistema ou configurar as contas para que as palavras-passe nunca expirem.
Contas de ação
No System Center Operations Manager, os servidores de gestão, os servidores de gateway e os agentes executam um processo chamado MonitoringHost.exe. MonitoringHost.exe é utilizado para realizar atividades de monitorização, como executar um monitor ou executar uma tarefa. Os outros exemplos das ações MonitoringHost.exe executa incluem:
- Monitorizar e recolher dados de registo de eventos do Windows
- Monitorizar e recolher dados do contador de desempenho do Windows
- Monitorizar e recolher dados do Windows Management Instrumentation (WMI)
- Executar ações como scripts ou lotes
A conta em que é executado um processo do MonitoringHost.exe é denominada a conta de ação. MonitoringHost.exe é o processo que executa estas ações utilizando as credenciais especificadas na conta de ação. É criada uma nova instância do MonitoringHost.exe para cada conta. A conta de ação para o processo do MonitoringHost.exe que está a ser executado num agente é designada por Conta de Ação do Agente. A conta de ação utilizada pelo processo do MonitoringHost.exe num servidor de gestão é designada por Conta de Ação do Servidor de Gestão. A conta de ação utilizada pelo processo do MonitoringHost.exe num servidor de gateway é designada por Conta de Ação do Servidor de Gateway. Em todos os servidores de gestão no grupo de gestão, recomendamos que conceda direitos administrativos locais à conta, a menos que a política de segurança de TI da sua organização necessite de acesso com menos privilégios.
A menos que uma ação tenha sido associada a um perfil Run As, as credenciais que são utilizadas para executar a ação serão aquelas que definiu para a conta de ação. Para obter mais informações sobre Contas Run As e Perfis Run As, veja a secção Contas Run As. Quando um agente executa ações como conta de ação predefinida e/ou conta(s) Run As, é criada uma nova instância de MonitoringHost.exe para cada conta.
Quando instala o Operations Manager, tem a opção de especificar uma conta de domínio ou utilizar o LocalSystem. A abordagem mais segura é especificar uma conta de domínio, que lhe permite selecionar um utilizador com os privilégios mínimos necessários para o seu ambiente.
Pode utilizar uma conta com menos privilégios para a conta de ação do agente. Em computadores com o Windows Server 2008 R2 ou superior, a conta tem de ter os privilégios mínimos seguintes:
- Membro do grupo de Utilizadores local
- Membro do grupo de Utilizadores do Monitor de Desempenho local
- Permitir o início de sessão localmente (Permissão SetInteractiveLogonRight) (não aplicável ao Operations Manager 2019 e posterior).
Nota
Os privilégios mínimos descritos acima são os privilégios mais baixos que o Operations Manager suporta para a conta de ação. Outras contas Run As podem ter privilégios mais baixos. Os privilégios reais necessários para a conta de Ação e as contas Run As dependerão dos pacotes de gestão que estão a ser executados no computador e de como estão configurados. Para obter mais informações sobre quais são os privilégios específicos necessários, consulte o guia do pacote de gestão adequado.
A conta de domínio especificada para a conta de ação pode receber a permissão Iniciar sessão como um Serviço (SeServiceLogonRight) ou Iniciar sessão como Batch (SeBatchLogonRight) se a política de segurança não permitir que uma conta de serviço tenha uma sessão de início de sessão interativa, como quando a autenticação de smart card é necessária. Modifique o valor do registo HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\System Center\Health Service:
A conta de domínio especificada para a conta de ação é concedida com a permissão Iniciar sessão como um Serviço (SeServiceLogonRight). Para alterar o tipo de início de sessão do serviço de estado de funcionamento, modifique o valor do registo HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\System Center\Health Service:
- Nome: Tipo de Início de Sessão do Processo de Trabalho
- Tipo: REG_DWORD
- Valores: Quatro (4) - Iniciar sessão como lote, Dois (2) - Permitir início de sessão localmente e Cinco (5) - Iniciar sessão como Serviço. O valor predefinido é 2.
- Valores: Quatro (4) - Iniciar sessão como Batch, Dois (2) - Permitir início de sessão localmente e Cinco (5) - Iniciar sessão como Serviço. O valor predefinido é 5.
Pode gerir centralmente a definição com Política de Grupo ao copiar o ficheiro healthservice.admx ADMX de um servidor de gestão ou sistema gerido pelo agente localizado na pasta C:\Windows\PolicyDefinitions e configurar a definição Tipo de Início de Sessão da Conta de Ação de Monitorização na pasta Computer Configuration\Administrative Templates\System Center - Operations Manager. Para obter mais informações sobre como trabalhar com Política de Grupo ficheiros ADMX, veja Managing Política de Grupo ADMX files (Gerir ficheiros ADMX Política de Grupo).
Conta de Serviço do System Center Configuration e Serviço de Acesso a Dados do System Center
A conta do serviço do System Center Configuration e do serviço de Acesso a Dados do System Center é utilizada pelos serviços de Acesso a Dados do System Center e Configuração da Gestão do System Center para atualizar informações na base de dados Operacional. As credenciais utilizadas para a conta de ação serão atribuídas à função sdk_user da base de dados Operacional.
A conta deve ser um Utilizador de Domínio ou LocalSystem. A conta utilizada para a conta do SDK e do Serviço de Configuração deve ter direitos administrativos locais em todos os servidores de gestão no grupo de gestão. A utilização da conta de Utilizador Local não é suportada. Para maior segurança, recomendamos que utilize uma conta de utilizador de domínio e é uma conta diferente da utilizada para a Conta de Ação do Servidor de Gestão. A conta LocalSystem é a conta de privilégios mais elevada num computador Windows, ainda mais alta do que o Administrador local. Quando um serviço é executado no contexto do LocalSystem, o serviço tem controlo total dos recursos locais do computador e a identidade do computador é utilizada ao autenticar e aceder a recursos remotos. A utilização da conta LocalSystem é um risco de segurança porque não respeita o princípio do menor privilégio. Devido aos direitos necessários na instância SQL Server que aloja a base de dados do Operations Manager, é necessária uma conta de domínio com menos permissões de privilégios para evitar qualquer risco de segurança se o servidor de gestão no grupo de gestão estiver comprometido. Os motivos são:
- LocalSystem não tem palavra-passe
- Não tem o seu próprio perfil
- Tem privilégios extensos no computador local
- Apresenta as credenciais do computador a computadores remotos
Nota
Se a base de dados do Operations Manager estiver instalada num computador separado do servidor de gestão e o LocalSystem estiver selecionado para a conta do serviço de Acesso a Dados e Configuração, a conta de computador do computador do servidor de gestão é atribuída à função sdk_user no computador da base de dados do Operations Manager.
Para obter mais informações, veja sobre LocalSystem.
Conta de Escrita do Armazém de Dados
A conta de Escrita do Armazém de Dados é a conta utilizada para escrever dados do servidor de gestão para o armazém de dados de Relatórios e lê dados a partir da base de dados do Operations Manager. A tabela seguinte descreve as funções e as associações atribuídas à conta de utilizador de domínio durante a configuração.
| Aplicação | Base de dados/função | Função/conta |
|---|---|---|
| Microsoft SQL Server | OperationsManager | db_datareader |
| Microsoft SQL Server | OperationsManager | dwsync_user |
| Microsoft SQL Server | OperationsManagerDW | OpsMgrWriter |
| Microsoft SQL Server | OperationsManagerDW | db_owner |
| Operations Manager | Função de utilizador | Administradores de Segurança de Relatórios do Operations Manager |
| Operations Manager | Conta Run As | Conta de Ação do Armazém de Dados |
| Operations Manager | Conta Run As | Conta de Leitor de Sincronização de Configuração do Armazém de Dados |
Conta de Leitor de Dados
Esta conta de Leitor de Dados é utilizada para implementar relatórios, definir qual o utilizador que o SQL Server Reporting Services utiliza para executar consultas no armazém de dados de Relatórios e definir a conta do SQL Reporting Services para ligar ao servidor de gestão. Esta conta de utilizador de domínio é adicionada ao perfil Utilizador Administrador de Relatórios. A tabela seguinte descreve as funções e as associações atribuídas à conta durante a configuração.
| Aplicação | Base de dados/função | Função/conta |
|---|---|---|
| Microsoft SQL Server | Instância de Instalação do Reporting Services | Conta de Execução do Servidor de Relatórios |
| Microsoft SQL Server | OperationsManagerDW | OpsMgrReader |
| Operations Manager | Função de utilizador | Operadores de Relatórios do Operation Manager |
| Operations Manager | Função de utilizador | Administradores de Segurança de Relatórios do Operations Manager |
| Operations Manager | Conta Run As | Conta de Implementação de Relatórios do Armazém de Dados |
| Serviço Windows | SQL Server Reporting Services | Conta de início de sessão |
Verifique se a conta que planeia utilizar para a conta do Leitor de Dados recebe o Início de Sessão como Serviço (para 2019 e posterior) ou Iniciar sessão como Serviço e Permitir Início de Sessão Localmente (para versão anterior), diretamente para cada servidor de gestão e o SQL Server que aloja a função servidor de relatórios.
Conta de Instalação do Agente
Ao efetuar a implementação do agente baseado na deteção, é necessária uma conta com privilégios de Administrador nos computadores visados para a instalação do agente. A conta de ação do servidor de gestão é a conta predefinida para a instalação de agentes. Se a conta de ação do servidor de gestão não tiver direitos de administrador, o operador tem de fornecer uma conta de utilizador e palavra-passe com direitos administrativos nos computadores de destino. Esta conta é encriptada antes de ser utilizada e, em seguida, é rejeitada.
Conta de Ação de Notificação
A conta de Ação de Notificação é a conta utilizada para criar e enviar notificações. Estas credenciais precisam de ter direitos suficientes para o servidor SMTP, o servidor de mensagens instantâneas ou o servidor SIP utilizado para notificações.