Учетные записи служб, пользователей и безопасности
Важно!
Поддержка этой версии Operations Manager завершена. Мы рекомендуем выполнить обновление до Operations Manager 2022.
Во время установки и ежедневных операций Operations Manager вам будет предложено ввести учетные данные для нескольких учетных записей. В этой статье содержатся сведения о каждой из этих учетных записей, включая учетные записи SDK и службы конфигурации, установки агента, записи в хранилище данных и чтения данных.
Примечание
При установке Operations Manager подготавливаются все необходимые разрешения SQL.
Если вы используете учетные записи домена и объект групповая политика домена (GPO) имеет политику истечения срока действия паролей по умолчанию, вам придется изменить пароли в учетных записях служб в соответствии с расписанием, использовать системные учетные записи или настроить учетные записи таким образом, чтобы срок действия паролей не истекал.
Учетные записи действия
В System Center Operations Manager на всех серверах управления, серверах шлюзов и агентах выполняется процесс MonitoringHost.exe. Процесс MonitoringHost.exe выполняет действия мониторинга, например запуск монитора или задачи. Ниже приведены другие примеры действий, которые MonitoringHost.exe выполнять:
- мониторинг и сбор данных журнала событий Windows;
- мониторинг и сбор данных счетчика производительности Windows;
- мониторинг и сбор данных инструментария управления Windows (WMI);
- Выполнение действий, таких как скрипты или пакеты
Учетная запись, в которой запускается процесс MonitoringHost.exe, называется учетной записью действия. MonitoringHost.exe — это процесс, который выполняет такие действия с использованием учетных данных, заданных в учетной записи действия. Для каждой учетной записи создается новый экземпляр процесса MonitoringHost.exe. Учетная запись, от имени которой процесс MonitoringHost.exe запускается на агенте, называется учетной записью действия агента. Учетная запись, от имени которой процесс MonitoringHost.exe запускается на сервере управления, называется учетной записью действия сервера управления. Учетная запись, от имени которой процесс MonitoringHost.exe запускается на сервере шлюза, называется учетной записью действия сервера шлюза. На всех серверах управления в группе управления рекомендуется предоставить учетной записи права локального администратора, если только не требуется доступ с минимальными привилегиями в соответствии с политикой ИТ-безопасности вашей организации.
Если действие не было связано с профилем запуска от имени, учетные данные, используемые для выполнения действия, будут теми, которые вы определили для учетной записи действия. Дополнительные сведения об учетных записях и профилях запуска от имени см. в разделе Учетные записи запуска от имени. При запуске агентом действия от имени учетной записи действия по умолчанию и (или) учетных записей запуска от имени для каждой учетной записи создается новый экземпляр процесса MonitoringHost.exe.
При установке Operations Manager вы можете выбрать учетную запись домена или использовать учетную запись LocalSystem. Более безопасный подход — указать учетную запись домена, которая позволяет выбрать пользователя с минимальными необходимыми привилегиями для вашей среды.
Для учетной записи действия агента можно использовать учетную запись с минимальными привилегиями. На компьютерах с операционной системой Windows Server 2008 R2 или более поздней версии у такой учетной записи должны быть следующие минимальные привилегии:
- быть членом локальной группы "Пользователи";
- быть членом локальной группы "Пользователи системного монитора";
- разрешение "Локальный вход в систему" (SetInteractiveLogonRight) (неприменимо для Operations Manager 2019 и более поздней версии).
Примечание
Минимальные привилегии, описанные выше — это самый низкий уровень привилегий, поддерживаемых Operations Manager для учетной записи действия. У других учетных записей запуска от имени могут быть привилегии более низкого уровня. Фактические привилегии, необходимые для учетной записи действия и учетных записей запуска от имени, будут зависеть от того, какие пакеты управления выполняются на компьютере и как они настроены. Дополнительные сведения о требуемых привилегиях см. в руководстве соответствующего пакета управления.
Учетной записи домена, указанной для учетной записи действия, можно предоставить разрешение Вход в качестве службы (SeServiceLogonRight) или Вход в качестве пакетной службы (SeBatchLogonRight), если политика безопасности не позволяет учетной записи службы предоставлять интерактивный вход в сеанс, например, если требуется проверка подлинности смарт-карта. Измените значение реестра HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\System Center\Health Service:
Учетная запись домена, указанная для учетной записи действия, предоставляется с помощью разрешения "Вход в качестве службы" (SeServiceLogonRight). Для изменения типа входа для службы работоспособности измените значение реестра HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\System Center\Health Service:
- Имя: Worker Process Logon Type
- Тип: REG_DWORD
- Значения: четыре (4) — "Вход в качестве пакетной службы", два (2) — "Локальный вход в систему" и пять (5) — "Вход в качестве службы". Значение по умолчанию: 2.
- Значения: четыре (4) — "Вход в качестве пакетной службы", два (2) — "Локальный вход в систему" и пять (5) — "Вход в качестве службы". Значение по умолчанию — 5.
Этим значением можно управлять с помощью групповой политики. Для этого скопируйте с сервера управления или из управляемой агентом системы ADMX-файл healthservice.admx, находящийся в папке C:\Windows\PolicyDefinitions, и настройте параметр Тип входа учетной записи действия мониторинга в папке Computer Configuration\Administrative Templates\System Center - Operations Manager. Дополнительные сведения см. в статье об управлении ADMX-файлами групповой политики.
Учетная запись службы конфигурации System Center и службы доступа к данным System Center
Учетная запись службы конфигурации System Center и службы доступа к данным System Center используется службами доступа к данным System Center и конфигурации управления System Center для обновления рабочей базы данных. Учетные данные, используемые для учетной записи действия, будут назначены роли sdk_user в рабочей базе данных.
Это должна быть учетная запись "Пользователь домена" или LocalSystem. Учетная запись, используемая для SDK, и учетная запись службы настройки должны предоставлять права локального администратора на всех серверах управления в группе управления. Использование учетной записи локального пользователя не поддерживается. Для повышения безопасности рекомендуется использовать учетную запись пользователя домена, которая отличается от учетной записи, используемой для учетной записи действия сервера управления. Учетная запись LocalSystem имеет на компьютере Windows наивысший уровень привилегий, даже выше, чем у локального администратора. При запуске службы в контексте LocalSystem служба имеет полный контроль над локальными ресурсами компьютера, а удостоверение компьютера используется при проверке подлинности удаленных ресурсов и доступе к ним. Использование учетной записи LocalSystem представляет угрозу безопасности, так как она не учитывает принцип минимальных привилегий. С учетом того, какие права требуются для экземпляра SQL Server, содержащего базу данных Operations Manager, необходимо использовать учетную запись домена с минимальными привилегиями. Это позволит избежать дополнительного риска в случае компрометации сервера управления в группе управления. Ниже приведены причины.
- учетная запись LocalSystem не использует пароль;
- У него нет собственного профиля
- она имеет огромные привилегии на локальном компьютере;
- она позволяет передавать учетные данные компьютера на удаленные компьютеры.
Примечание
Если база данных Operations Manager устанавливается на компьютер, не являющийся корневым сервером управления, а в качестве учетной записи службы конфигурации и доступа к данным выбирается LocalSystem, то на компьютере базы данных Operations Manager учетной записи компьютера для сервера управления назначается роль sdk_user.
Дополнительные сведения см. в разделе LocalSystem.
Учетная запись для записи в хранилище данных
Учетная запись для записи в хранилище данных — это учетная запись, которая используется для записи данных с сервера управления в хранилище данных отчетов и чтения данных из базы данных Operations Manager. В следующей таблице описаны роли и членство, назначенные этой учетной записи пользователя домена во время установки.
| Приложение | База данных и роль | Роль и учетная запись |
|---|---|---|
| Microsoft SQL Server | OperationsManager | db_datareader, |
| Microsoft SQL Server | OperationsManager | dwsync_user |
| Microsoft SQL Server | OperationsManagerDW | OpsMgrWriter |
| Microsoft SQL Server | OperationsManagerDW | db_owner |
| Operations Manager | роль пользователя. | Администраторы безопасности отчетов Operations Manager |
| Operations Manager | учетная запись запуска от имени | Учетная запись действия хранилища данных |
| Operations Manager | учетная запись запуска от имени | Учетная запись синхронизации конфигурации хранилища данных для чтения |
учетной записи чтения данных
Учетная запись чтения данных используется для развертывания отчетов, указания, какой пользователь используется службами SQL Server Reporting Services для выполнения запросов к хранилищу данных отчетов, а также для подключения учетной записи SQL Server Reporting Services к серверу управления. Эта учетная запись пользователя домена добавляется в профиль пользователя "Администратор отчетов". В следующей таблице описаны роли и членство, назначенные этой учетной записи во время установки.
| Приложение | База данных и роль | Роль и учетная запись |
|---|---|---|
| Microsoft SQL Server | Экземпляр установки служб Reporting Services | Учетная запись выполнения сервера отчетов |
| Microsoft SQL Server | OperationsManagerDW | OpsMgrReader, |
| Operations Manager | роль пользователя. | Операторы отчетов Operations Manager |
| Operations Manager | роль пользователя. | Администраторы безопасности отчетов Operations Manager |
| Operations Manager | учетная запись запуска от имени | Учетная запись развертывания отчетов хранилища данных |
| Служба Windows | SQL Server Reporting Services | Учетная запись входа |
Убедитесь, что учетная запись, которую вы планируете использовать в качестве учетной записи чтения данных, предоставляет права входа от имени службы (для 2019 или более поздних версий) или входа в качестве службы и локального входа в систему (для более раннего выпуска) на каждом сервере управления и на платформе SQL Server, где размещена роль сервера отчетов.
Учетная запись установки агента
При развертывании агентов на основе обнаружения необходима учетная запись с правами администратора на всех компьютерах, предназначенных для установки агента. Учетная запись действия сервера управления является учетной записью по умолчанию для установки агента. Если учетная запись действия сервера управления не имеет прав администратора, оператор должен предоставить учетную запись пользователя и пароль с правами администратора на целевых компьютерах. Эта учетная запись перед использованием шифруется, а затем удаляется.
Учетная запись действия уведомления
Эта учетная запись используется для создания и отправки уведомлений. У ее учетных данных должно быть достаточно прав для SMTP-сервера, сервера обмена мгновенными сообщениями или SIP-сервера, которые будут использоваться для уведомлений.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по