Dela via


Tjänst-, användar- och säkerhetskonton

Viktigt

Den här versionen av Operations Manager har nått slutet av supporten. Vi rekommenderar att du uppgraderar till Operations Manager 2022.

Under installationen och den dagliga driften av Operations Manager uppmanas du att ange autentiseringsuppgifter för flera konton. Den här artikeln innehåller information om vart och ett av dessa konton, inklusive kontona SDK och Config Service, Agentinstallation, Data Warehouse Write och Data Reader.

Anteckning

Operations Manager-installationen etablerar alla nödvändiga SQL-behörigheter.

Om du använder domänkonton och domänen grupprincip Object (GPO) har standardprincipen för lösenordsförfallotid angivet som obligatoriskt måste du antingen ändra lösenorden på tjänstkontona enligt schemat, använda systemkonton eller konfigurera kontona så att lösenorden aldrig upphör att gälla.

Åtgärdskonton

I System Center Operations Manager kör hanteringsservrar, gatewayservrar och agenter alla en process som kallas MonitoringHost.exe. MonitoringHost.exe används för att utföra övervakningsaktiviteter som att köra en övervakare eller köra en uppgift. De andra exemplen på de åtgärder MonitoringHost.exe utför är:

  • Övervaka och samla in data för Windows-händelseloggar
  • Övervaka och samla in prestandaräknardata för Windows
  • Övervaka och samla in WMI-data (Windows Management Instrumentation)
  • Köra åtgärder som skript eller batchar

Det konto som körs av MonitoringHost.exe kallas för åtgärdskonto. MonitoringHost.exe är processen som kör de här åtgärderna med hjälp av autentiseringsuppgifterna som angetts i åtgärdskontot. För varje konto skapas en ny instans av MonitoringHost.exe. Åtgärdskontot för MonitoringHost.exe som körs på en agent kallas för åtgärdskonto för agent. Åtgärdskontot för MonitoringHost.exe som används på en hanteringsserver kallas för åtgärdskonto för hanteringsserver. Åtgärdskontot för MonitoringHost.exe som används på en gateway-server kallas för åtgärdskonto för gateway-server. På alla hanteringsservrar i hanteringsgruppen rekommenderar vi att du beviljar kontot lokala administrativa rättigheter om inte minst privilegierad åtkomst krävs av organisationens IT-säkerhetsprincip.

Om inte en åtgärd har associerats med en Kör som-profil är de autentiseringsuppgifter som används för att utföra åtgärden de som du har definierat för åtgärdskontot. Mer information om Kör som-konton och Kör som-profiler finns i avsnittet Kör som-konton. När en agent kör åtgärder antingen som standardåtgärdskontot och/eller som Kör som-konton skapas en ny instans av MonitoringHost.exe för varje konto.

När du installerar Operations Manager har du möjlighet att ange ett domänkonto eller använda LocalSystem. Den säkrare metoden är att ange ett domänkonto, vilket gör att du kan välja en användare med de minsta behörigheter som krävs för din miljö.

Du kan använda ett konto med lägsta behörighet för agentens åtgärdskonto. På datorer som kör Windows Server 2008 R2 eller senare måste kontot minst ha följande privilegier:

  • Medlem i gruppen för lokala användare
  • Medlem i den lokala gruppen Prestandaövervakningsanvändare
  • Tillåt lokal inloggning (SetInteractiveLogonRight)-behörighet (gäller inte för Operations Manager 2019 och senare).

Anteckning

De minsta privilegier som beskrivs ovan är de minsta privilegier som krävs för åtgärdskontot i Operations Manager. Andra Kör som-konton kan ha lägre privilegier. De faktiska behörigheter som krävs för åtgärdskontot och Kör som-kontona beror på vilka hanteringspaket som körs på datorn och hur de konfigureras. Mer information om vilka specifika privilegier som krävs finns i lämplig handbok för hanteringspaketet.

Domänkontot som har angetts för åtgärdskontot kan beviljas antingen inloggning som en tjänst (SeServiceLogonRight) eller inloggning som Batch-behörighet (SeBatchLogonRight) om din säkerhetsprincip inte tillåter att ett tjänstkonto beviljas en interaktiv inloggningssession, till exempel när smartkortautentisering krävs. Ändra registervärdet HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\System Center\Health Service:

Domänkontot som har angetts för åtgärdskontot beviljas med behörigheten Logga in som en tjänst (SeServiceLogonRight). Om du vill ändra inloggningstypen för hälsotjänsten ändrar du registervärdet HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\System Center\Health Service:

  • Namn: Inloggningstyp för arbetsprocess
  • Typ: REG_DWORD
  • Värden: Fyra (4) – Logga in som batch, Två (2) – Tillåt inloggning lokalt och Fem (5) – Logga in som tjänst. Standardvärdet är 2.
  • Värden: Fyra (4) – Logga in som Batch, Två (2) – Tillåt inloggning lokalt och Fem (5) – Logga in som tjänst. Standardvärdet är 5.

Du kan hantera inställningen centralt med hjälp av grupprincip genom att kopiera ADMX-filen healthservice.admx från en hanteringsserver eller ett agenthanterat system som finns i mappen C:\Windows\PolicyDefinitions och konfigurera inställningen Övervakning åtgärdskontoinloggningstyp under mappen Computer Configuration\Administrative Templates\System Center - Operations Manager. Mer information om hur du arbetar med grupprincip ADMX-filer finns i Hantera grupprincip ADMX-filer.

Konto för System Center-tjänsten för konfiguration och System Center-tjänsten för dataåtkomst

Kontot för System Center-konfigurationstjänsten och System Center-dataåtkomsttjänsten används av dessa System Center-tjänster för att uppdatera information i driftdatabasen. Autentiseringsuppgifterna som används för åtgärdskontot tilldelas rollen sdk_user i driftdatabasen.

Kontot ska vara antingen en domänanvändare eller ett LocalSystem. Kontot som används för SDK och konfigurationstjänstkontot ska beviljas lokala administrativa rättigheter på alla hanteringsservrar i hanteringsgruppen. Det går inte att använda det lokala användarkontot. För ökad säkerhet rekommenderar vi att du använder ett domänanvändarkonto och att det är ett annat konto än det som används för åtgärdskontot för hanteringsservern. LocalSystem-kontot är det högsta behörighetskontot på en Windows-dator, till och med högre än den lokala administratören. När en tjänst körs i samband med LocalSystem har tjänsten fullständig kontroll över datorns lokala resurser och datorns identitet används vid autentisering till och åtkomst till fjärrresurser. Att använda LocalSystem-kontot är en säkerhetsrisk eftersom det inte följer principen om lägsta behörighet. På grund av de rättigheter som krävs för den SQL Server instans som är värd för Operations Manager-databasen krävs ett domänkonto med minsta behörighet för att undvika säkerhetsrisker om hanteringsservern i hanteringsgruppen komprometteras. Orsakerna är:

  • LocalSystem har inget lösenord
  • Den har inte en egen profil
  • Den har omfattande behörigheter på den lokala datorn
  • Den visar datorns autentiseringsuppgifter för fjärrdatorer

Anteckning

Om Operations Manager-databasen är installerad på en annan dator än hanteringsservern och LocalSystem har valts för kontot För dataåtkomst och konfigurationstjänst tilldelas datorkontot för hanteringsserverdatorn rollen sdk_user på Operations Manager-databasdatorn.

Mer information finns i om LocalSystem.

Konto för informationslagerskrivning

Kontot för informationslagerskrivning är det konto som används för att skriva data från hanteringsservern till rapportinformationslagret, och kontot läser data från Operations Manager-databasen. I följande tabell beskrivs de roller och medlemskap som tilldelas domänanvändarkontot under installationen.

Program Databas/roll Roll/konto
Microsoft SQL Server OperationsManager db_datareader
Microsoft SQL Server OperationsManager dwsync_user
Microsoft SQL Server OperationsManagerDW OpsMgrWriter
Microsoft SQL Server OperationsManagerDW db_owner
Operations Manager Användarroll Säkerhetsadministratörer för Operations Manager-rapport
Operations Manager Kör som-konto Åtgärdskonto för informationslager
Operations Manager Kör som-konto Dataläsarkonto för synkronisering av informationslagerkonfiguration

Dataläsarkonto

Dataläsarkontot används för att distribuera rapporter, definiera vilken användare som SQL Server Reporting Services använder för att köra frågor mot rapportinformationslagret och definiera SQL Reporting Services-kontot för anslutning till hanteringsservern. Det här domänanvändarkontot läggs till i användarprofilen Rapportadministratör. I följande tabell beskrivs de roller och medlemskap som tilldelas kontot under installationen.

Program Databas/roll Roll/konto
Microsoft SQL Server Instans för Reporting Services-installation Körningskonto för rapportserver
Microsoft SQL Server OperationsManagerDW OpsMgrReader
Operations Manager Användarroll Rapportoperatörer för Operations Manager
Operations Manager Användarroll Säkerhetsadministratörer för Operations Manager-rapport
Operations Manager Kör som-konto Konto för distribution av informationslagerrapporter
Windows-tjänst SQL Server Reporting Services Inloggningskonto

Kontrollera att kontot som du planerar att använda för dataläsarkontot har beviljats inloggning som tjänst (för 2019 och senare) eller Logga in som tjänst och Tillåt inloggning lokalt (för tidigare version), rätt för varje hanteringsserver och SQL Server som är värd för reporting server-rollen.

Konto för agentinstallation

När du utför identifieringsbaserad agentdistribution krävs ett konto med administratörsbehörighet på de datorer som är avsedda för agentinstallation. Åtgärdskontot för hanteringsservern är standardkontot för agentinstallation. Om hanteringsserverns åtgärdskonto inte har administratörsbehörighet måste operatören ange ett användarkonto och lösenord med administrativa rättigheter på måldatorerna. Det här kontot krypteras innan det används. Därefter kastas det.

Konto för meddelandeåtgärd

Kontot för meddelandeåtgärder är det konto som används för att skapa och skicka aviseringar. Dessa autentiseringsuppgifter måste ha tillräcklig behörighet för SMTP-servern, snabbmeddelandeservern eller SIP-servern som används för aviseringar.