Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
As contas Run As definem quais credenciais são usadas para determinadas ações executadas pelo agente do Operations Manager. Essas contas são gerenciadas centralmente por meio do console de Operações e atribuídas a diferentes perfis Run As. Se um perfil Executar como não for atribuído a uma ação específica, ele será executado na conta Ação padrão. Em um ambiente de baixo privilégio, a conta padrão pode não ter as permissões necessárias para uma ação específica, e um perfil Run As pode ser usado para fornecer essa autoridade. Os pacotes de gerenciamento podem instalar perfis Run As e contas Run As para dar suporte às ações necessárias. Em caso afirmativo, a sua documentação deve ser referenciada para qualquer configuração necessária.
Contas de execução como padrão
A tabela a seguir lista as contas padrão Run As criadas pelo Operations Manager durante a instalação.
| Nome | Descrição | Credenciais |
|---|---|---|
| Domínio\ManagementServerActionAccount | A conta de usuário sob a qual todas as regras são executadas por padrão em servidores de gerenciamento. | Conta de domínio especificada como a conta de Ação do Servidor de Gerenciamento durante a instalação. |
| Conta de Ação do Sistema Local | Conta de sistema integrada usada como uma conta de ação. | Conta do Sistema Local do Windows |
| Conta APM | Conta de monitoramento de desempenho de aplicativo usada para fornecer chaves para criptografar informações seguras coletadas do aplicativo durante o monitoramento. Essa conta é criada automaticamente quando você cria seu primeiro Monitor de Desempenho .NET. | Conta binária criptografada |
| Conta de Ação do Data Warehouse | Usado para autenticar com o SQL Server que hospeda o banco de dados OperationsManagerDW. | Conta de domínio especificada durante a configuração como a conta de Gravação do Data Warehouse. |
| Conta de implementação de relatórios do Data Warehouse | Usado para autenticar entre o servidor de gerenciamento e o SQL Server que hospeda o Operations Manager Reporting Services. | Conta de domínio especificada durante a configuração como a conta do Leitor de Dados. |
| Conta do Windows do Sistema Local | Conta SYSTEM integrada utilizada pela conta de ação do agente. | Conta do Sistema Local do Windows |
| Conta de Serviço do Windows de Rede | Conta de serviço de rede integrada. | Conta do Windows NetworkService |
Perfis predefinidos de Executar como
A tabela a seguir lista os perfis Run As criados pelo Operations Manager durante a instalação.
Observação
Se a conta Executar Como for deixada em branco para um perfil específico, a conta de Ação Padrão (a conta de Ação do Servidor de Gerenciamento ou a conta de Ação do Agente, dependendo do local em que a ação ocorre) será utilizada.
| Nome | Descrição | Conta Executar Como |
|---|---|---|
| Conta de Atribuição de Agente Baseada no Ative Directory | Conta usada pelo módulo de atribuição de agente baseado no Ative Directory para publicar configurações de atribuição no Ative Directory. | Conta do Windows do Sistema Local |
| Conta de Gestão Automática de Agentes | Essa conta é usada para diagnosticar automaticamente falhas de agente. | Nenhum |
| Conta de Monitoramento de Ações de Cliente | Se especificado, usado pelo Operations Manager para executar todos os módulos de monitoramento do cliente. Se não for especificado, o Operations Manager usará a conta de ação padrão. | Nenhum |
| Conta do Grupo de Gestão Conectada | Conta usada pelo pacote de gerenciamento do Operations Manager para monitorar a integridade da conexão com os grupos de gerenciamento conectados. | Nenhum |
| Conta de Armazém de Dados | Se especificado, essa conta é usada para executar todas as regras de coleta e sincronização do Data Warehouse em vez da conta de ação padrão. Se essa conta não for substituída pela conta de Autenticação do SQL Server do Data Warehouse, ela será usada por regras de coleta e sincronização para se conectar aos bancos de dados do Data Warehouse usando a autenticação integrada do Windows. | Nenhum |
| Conta de implementação de relatórios do Data Warehouse | Essa conta é usada pelos procedimentos de implantação automática de relatórios do Data Warehouse para executar várias operações relacionadas à implantação de relatórios. | Conta de implementação de relatórios do Data Warehouse |
| Conta de autenticação do SQL Server do Data Warehouse | Se especificado, esse nome de entrada e senha são usados por regras de coleta e sincronização para se conectar aos bancos de dados do Data Warehouse usando a autenticação do SQL Server. | Conta de autenticação do SQL Server do Data Warehouse |
| Conta de ação MPUpdate | Esta conta é usada pelo notificador MPUpdate. | Nenhum |
| Conta de notificação | Conta do Windows utilizada pelas regras de notificação. Use o endereço de e-mail desta conta como o remetente para e-mail e mensagens instantâneas. | Nenhum |
| Conta de Base de Dados Operacional | Essa conta é usada para ler e gravar informações no banco de dados do Operations Manager. | Nenhum |
| Conta de Monitoramento Privilegiada | Este perfil é usado para monitoramento, que só pode ser feito com um alto nível de privilégio para um sistema; por exemplo, monitoramento que requer permissões de Sistema Local ou Administrador Local. O padrão desse perfil é Sistema Local, a menos que seja especificamente substituído por um sistema de destino. | Nenhum |
| Conta de Autenticação do SDK de Relatórios do SQL Server | Se especificado, esse nome de entrada e senha são usados pelo Serviço SDK para se conectar aos bancos de dados do Data Warehouse usando a autenticação do SQL Server. | Conta de Autenticação do SDK de Relatórios do SQL Server |
| Reservado | Este perfil é reservado e não deve ser utilizado. | Nenhum |
| Validar Conta de Subscrição de Alertas | Conta usada pelo módulo de validação de assinaturas de alerta que valida se as assinaturas de notificação estão no escopo. Este perfil precisa de direitos de administrador. | Conta do Windows do Sistema Local |
| Conta de monitoramento SNMP | Essa conta é usada para monitoramento SNMP. | Nenhum |
| Conta de monitoramento SNMPv3 | Essa conta é usada para monitoramento SNMPv3. | Nenhum |
| Conta de ação UNIX/Linux | Esta conta é usada para acesso UNIX e Linux de baixo privilégio. | Nenhum |
| Conta de manutenção do agente UNIX/Linux | Esta conta é usada para operações de manutenção privilegiadas para agentes UNIX e Linux. Sem essa conta, as operações de manutenção do agente não funcionam. | Nenhum |
| Conta privilegiada UNIX/Linux | Essa conta é usada para acessar recursos e ações protegidos do UNIX e Linux que exigem altos privilégios. Sem essa conta, algumas regras, diagnósticos e recuperações não funcionam. | Nenhum |
| Conta de Ação de Agrupamento do Windows | Esse perfil é usado para toda a descoberta e monitoramento de componentes do Cluster do Windows. Por padrão, este perfil utiliza contas de ação utilizadas, a menos que seja preenchido pelo utilizador. | Nenhum |
| WS-Management Conta de Ação | Este perfil é usado para acesso ao WS-Management. | Nenhum |
Compreender a distribuição e a segmentação
Tanto a distribuição da conta Run As quanto o direcionamento da conta Run As devem ser configurados corretamente para que o perfil Run As funcione corretamente.
Ao configurar um perfil Run As, você seleciona as contas Run As que deseja associar ao perfil Run As. Depois de criar essa associação, você pode especificar a classe, grupo ou objeto para o qual a conta Run As deve ser usada para executar tarefas, regras, monitores e descobertas.
A distribuição é um atributo de uma conta Run As e você pode especificar quais computadores recebem as credenciais da conta Run As. Você pode optar por distribuir as credenciais da conta Run As para cada computador gerenciado por agente ou apenas para computadores selecionados.
Exemplo de direcionamento de conta Run As: O ABC do computador físico hospeda duas instâncias do Microsoft SQL Server: instância X e instância Y. Cada instância usa um conjunto diferente de credenciais para a conta sa. Você cria uma conta Run As com as credenciais sa para a instância X e cria uma conta Run As diferente com as credenciais sa para a instância Y. Ao configurar o perfil Run As do SQL Server, você associa as credenciais da conta Run As — por exemplo, X e Y — ao perfil e especifica que as credenciais da instância X da conta Run As devem ser usadas para a instância X do SQL Server e que as credenciais Y da conta Run As devem ser usadas para a instância Y do SQL Server. Em seguida, você também deve configurar cada conjunto de credenciais de conta Run As a ser distribuído para o computador físico ABC.
Exemplo de distribuição de conta Run As: SQL Server1 e SQL Server2 são dois computadores físicos diferentes. O SQL Server1 usa o conjunto de credenciais UserName1 e Password1 para a conta SQL sa. O SQL Server2 usa o conjunto de credenciais UserName2 e Password2 para a conta SQL sa. O pacote de gerenciamento SQL tem um único perfil SQL Run As que é usado para todos os SQL Servers. Em seguida, você pode definir uma conta Run As para o conjunto de credenciais UserName1 e outra conta Run As para o conjunto de credenciais UserName2. Ambas as contas Run As podem ser associadas a um perfil Run As do SQL Server e podem ser configuradas para serem distribuídas para os computadores apropriados. Ou seja, UserName1 é distribuído para o SQL Server1 e UserName2 é distribuído para o SQL Server2. As informações da conta enviadas entre o servidor de gerenciamento e o computador designado são criptografadas.
Segurança da conta Run As
No System Center Operations Manager, as credenciais da conta Run As são distribuídas apenas para computadores especificados por você (a opção mais segura). Se o Operations Manager distribuísse automaticamente a conta Runs As de acordo com a descoberta, um risco de segurança seria introduzido em seu ambiente, conforme ilustrado no exemplo a seguir. É por isso que uma opção de distribuição automática não foi incluída no Operations Manager.
Por exemplo, o Operations Manager identifica um computador como hospedando o SQL Server 2016 com base na presença de uma chave do Registro. É possível criar essa mesma chave do Registro em um computador que não esteja realmente executando uma instância do SQL Server 2016. Se o Operations Manager distribuísse automaticamente as credenciais para todos os computadores gerenciados por agente que foram identificados como computadores SQL Server 2016, as credenciais seriam enviadas para o SQL Server impostor e estariam disponíveis para qualquer pessoa com direitos de administrador nesse servidor.
Ao criar uma conta Run As usando o Operations Manager, você será solicitado a escolher se a conta Run As deve ser tratada de forma Menos segura ou Mais segura. "Mais seguro" significa que, quando associa a conta Run As a um perfil Run As, tem de fornecer os nomes de computador específicos para os quais pretende que as credenciais Run As sejam distribuídas. Ao identificar positivamente os computadores de destino, você pode evitar o cenário de falsificação descrito anteriormente. Se você escolher a opção menos segura, não precisará fornecer nenhum computador específico e as credenciais serão distribuídas para todos os computadores gerenciados por agente.
Observação
As credenciais selecionadas para a conta Run As devem ter, no mínimo, direitos de logon local; caso contrário, o módulo falhará.