Учетные записи службы, пользователя и безопасности
Во время установки и ежедневных операций Operations Manager вам будет предложено предоставить учетные данные для нескольких учетных записей. В этой статье содержатся сведения о каждой из этих учетных записей, включая пакет SDK и службу конфигурации, установку агента, запись хранилища данных и учетные записи чтения данных.
Примечание.
Установка Operations Manager подготавливает все необходимые разрешения SQL.
Если вы используете учетные записи домена и объект групповой политики домена (GPO) имеет политику истечения срока действия пароля по умолчанию, вам придется изменить пароли учетных записей служб в соответствии с расписанием, использовать системные учетные записи или настроить учетные записи таким образом, чтобы пароли никогда не истекали.
Учетные записи действий
В System Center Operations Manager, серверах управления, серверах шлюзов и агентах все выполняют процесс с именем MonitoringHost.exe. MonitoringHost.exe используется для выполнения действий мониторинга, таких как выполнение монитора или выполнение задачи. Ниже приведены другие примеры действий MonitoringHost.exe выполнения:
- мониторинг и сбор данных журнала событий Windows;
- мониторинг и сбор данных счетчика производительности Windows;
- мониторинг и сбор данных инструментария управления Windows (WMI);
- Выполнение таких действий, как скрипты или пакеты
Учетная запись, в которой запускается процесс MonitoringHost.exe, называется учетной записью действия. MonitoringHost.exe — это процесс, который выполняет эти действия с помощью учетных данных, указанных в учетной записи действия. Для каждой учетной записи создается новый экземпляр процесса MonitoringHost.exe. Учетная запись действия для процесса MonitoringHost.exe, запущенного на агенте, называется учетной записью действия агента. Учетная запись действия, используемая процессом MonitoringHost.exe на сервере управления, называется учетной записью действия сервера управления. Учетная запись действия, используемая процессом MonitoringHost.exe на сервере шлюза, называется учетной записью действия сервера шлюза. На всех серверах управления в группе управления рекомендуется предоставить локальные права администратора учетной записи, если доступ к ИТ-безопасности организации не требуется наименее привилегированным.
Если действие не было связано с профилем запуска от имени, учетные данные, используемые для выполнения действия, будут теми, которые вы определили для учетной записи действия. Дополнительные сведения о учетных записях запуска от имени и профилях запуска от имени см. в разделе "Учетные записи запуска от имени". Когда агент выполняет действия в качестве учетной записи действия по умолчанию и /или учетной записи запуска от имени, создается новый экземпляр MonitoringHost.exe для каждой учетной записи.
При установке Operations Manager можно указать учетную запись домена или использовать LocalSystem. Более безопасный подход — указать учетную запись домена, которая позволяет выбрать пользователя с минимальными привилегиями, необходимыми для вашей среды.
Для учетной записи действия агента можно использовать учетную запись с минимальными привилегиями. На компьютерах под управлением Windows Server 2008 R2 или более поздней версии учетная запись должна иметь следующие минимальные привилегии:
- быть членом локальной группы "Пользователи";
- быть членом локальной группы "Пользователи системного монитора";
- разрешение "Локальный вход в систему" (SetInteractiveLogonRight) (неприменимо для Operations Manager 2019 и более поздней версии).
Примечание.
Минимальные привилегии, описанные выше, являются наименьшими привилегиями, поддерживаемыми Operations Manager для учетной записи действия. У других учетных записей запуска от имени могут быть привилегии более низкого уровня. Фактические привилегии, необходимые для учетной записи действия и учетных записей запуска от имени, зависят от того, какие пакеты управления выполняются на компьютере и как они настроены. Дополнительные сведения о требуемых привилегиях см. в руководстве соответствующего пакета управления.
Учетная запись домена, указанная для учетной записи действия, может быть предоставлена разрешение на вход в качестве службы (SeServiceLogonRight) или разрешение на вход в качестве пакетной службы (SeBatchLogonRight), если политика безопасности не разрешает предоставление учетной записи службы интерактивного входа в сеанс, например при необходимости проверки подлинности смарт-карт. Измените значение реестра HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\System Center\служба работоспособности:
Учетная запись домена, указанная для учетной записи действия, предоставляется разрешение на вход в качестве службы (SeServiceLogonRight). Чтобы изменить тип входа для службы работоспособности, измените значение реестра HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\System Center\служба работоспособности:
- Имя: Worker Process Logon Type
- Тип: REG_DWORD
- Значения: четыре (4) — "Вход в качестве пакетной службы", два (2) — "Локальный вход в систему" и пять (5) — "Вход в качестве службы". Значение по умолчанию — 2.
- Значения: четыре (4) — "Вход в качестве пакетной службы", два (2) — "Локальный вход в систему" и пять (5) — "Вход в качестве службы". Значение по умолчанию — 5.
Этим значением можно управлять с помощью групповой политики. Для этого скопируйте с сервера управления или из управляемой агентом системы ADMX-файл healthservice.admx, находящийся в папке C:\Windows\PolicyDefinitions, и настройте параметр Тип входа учетной записи действия мониторинга в папке Computer Configuration\Administrative Templates\System Center - Operations Manager. Дополнительные сведения о работе с файлами ADMX групповой политики см. в разделе "Управление файлами ADMX групповой политики".
Служба конфигурации System Center и учетная запись службы доступа к данным System Center
Служба конфигурации System Center и учетная запись службы доступа к данным System Center используется службами System Center Data Access и System Center Management Configuration Services для обновления сведений в операционной базе данных. Учетные данные, используемые для учетной записи действия, будут назначены роли sdk_user в операционной базе данных.
Учетная запись должна быть пользователем домена или LocalSystem. Учетная запись, используемая для учетной записи службы SDK и службы конфигурации, должна предоставляться локальным правами администратора на всех серверах управления в группе управления. Использование учетной записи локального пользователя не поддерживается. Для повышения безопасности рекомендуется использовать учетную запись пользователя домена, и она отличается от учетной записи, используемой для учетной записи действия сервера управления. Учетная запись LocalSystem — это учетная запись с высоким уровнем привилегий на компьютере Windows, даже выше, чем локальный администратор. Когда служба выполняется в контексте LocalSystem, служба имеет полный контроль над локальными ресурсами компьютера, а удостоверение компьютера используется при проверке подлинности удаленных ресурсов и доступе к ним. Использование учетной записи LocalSystem представляет собой риск безопасности, так как он не учитывает принцип наименьших привилегий. Из-за прав, необходимых для экземпляра SQL Server, в котором размещена база данных Operations Manager, учетная запись домена с минимальными разрешениями привилегий необходима, чтобы избежать каких-либо рисков безопасности, если сервер управления в группе управления скомпрометирован. Ниже приведены причины.
- LocalSystem не имеет пароля
- У него нет собственного профиля
- У него есть обширные привилегии на локальном компьютере
- Он представляет учетные данные компьютера удаленным компьютерам
Примечание.
Если база данных Operations Manager установлена на компьютере, отдельном от сервера управления, и LocalSystem выбрана для учетной записи службы доступа к данным и конфигурации, учетная запись компьютера сервера управления назначается роль sdk_user на компьютере базы данных Operations Manager.
Дополнительные сведения см. в разделе о LocalSystem.
Учетная запись для записи в хранилище данных
Учетная запись записи хранилища данных — это учетная запись, используемая для записи данных с сервера управления в хранилище данных отчетов, и она считывает данные из базы данных Operations Manager. В следующей таблице описаны роли и членство, назначенные учетной записи пользователя домена во время установки.
| Приложение | База данных или роль | Роль или учетная запись |
|---|---|---|
| Microsoft SQL Server | OperationsManager | db_datareader |
| Microsoft SQL Server | OperationsManager | dwsync_user |
| Microsoft SQL Server | OperationsManagerDW | OpsMgrWriter |
| Microsoft SQL Server | OperationsManagerDW | db_owner |
| Operations Manager | роль пользователя. | Администраторы безопасности отчетов Operations Manager |
| Operations Manager | учетная запись запуска от имени | Учетная запись действия хранилища данных |
| Operations Manager | учетная запись запуска от имени | Учетная запись синхронизации конфигурации хранилища данных для чтения |
учетной записи чтения данных
Учетная запись чтения данных используется для развертывания отчетов, определения пользователя, используемого службами SQL Server Reporting Services для выполнения запросов к хранилищу данных отчетов, а также определения учетной записи СЛУЖБ SQL Reporting Services для подключения к серверу управления. Эта учетная запись пользователя домена добавляется в профиль пользователя администратора отчета. В следующей таблице описаны роли и членство, назначенные учетной записи во время установки.
| Приложение | База данных или роль | Роль или учетная запись |
|---|---|---|
| Microsoft SQL Server | Экземпляр установки служб Reporting Services | Учетная запись выполнения сервера отчетов |
| Microsoft SQL Server | OperationsManagerDW | OpsMgrReader, |
| Operations Manager | роль пользователя. | Операторы отчетов Operations Manager |
| Operations Manager | роль пользователя. | Администраторы безопасности отчетов Operations Manager |
| Operations Manager | учетная запись запуска от имени | Учетная запись развертывания отчетов хранилища данных |
| Служба Windows | службы SQL Server Reporting Services | Учетная запись входа |
Убедитесь, что учетная запись, используемая для учетной записи чтения данных, предоставляется вход в систему как услуга (для 2019 и более поздних версий) или вход как услуга и разрешить вход локально (для более ранней версии), право для каждого сервера управления и SQL Server, на котором размещена роль сервера Отчетов.
Учетная запись установки агента
При развертывании агента на основе обнаружения учетная запись требуется с правами администратора на компьютерах, предназначенных для установки агента. Учетная запись действия сервера управления является учетной записью по умолчанию для установки агента. Если у учетной записи действия сервера управления нет прав администратора, оператор должен предоставить учетную запись пользователя и пароль с правами администратора на целевых компьютерах. Эта учетная запись перед использованием шифруется, а затем удаляется.
Учетная запись действия уведомления
Учетная запись действия уведомления — это учетная запись, используемая для создания и отправки уведомлений. Эти учетные данные должны иметь достаточные права для SMTP-сервера, сервера обмена мгновенными сообщениями или SIP-сервера, используемого для уведомлений.