Dela via

  • Artikel

Operations Manager-konton

 

Utgivet: mars 2016

Gäller för: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager

System Center 2012 – Operations Manager-hanteringsgruppen kräver två konton för att det ska gå att kommunicera med de olika delarna av den övervakade infrastrukturen: Hanteringsserverns åtgärdskonto och kontot för System Center-tjänsten för konfiguration och System Center-tjänsten för dataåtkomst. Du måste ange autentiseringsuppgifter för dessa konton under installationen.

Om du installerar Rapportering måste du ange autentiseringsuppgifter för ytterligare två konton: skrivkontot för informationslagret och dataläsarkontot.

När du installerar en agent måste du ange autentiseringsuppgifter för kontot för datoridentifiering och agentåtgärdskontot. Du blir också tillfrågad om ett konto som har administratörsrättigheter på datorerna där du ska installera agenten.

Åtgärdskonto

Åtgärdskontot används för att samla in information om, och köra svar på, den hanterade datorn (en hanterad dator kan vara antingen en hanteringsserver eller en dator som har en agent installerad). Processerna MonitoringHost.exe körs under åtgärdskontot eller från ett specifikt Kör som-konto. Det kan finnas fler än en MonitoringHost.exe-process som körs på agenten samtidigt.

Här är några åtgärder som kan utföras av MonitoringHost.exe:

  • Övervakning och insamling av Windows händelseloggdata.

  • Övervakning och insamling av data från Windows prestandaräknare.

  • Övervakning och insamling av data från WMI (Windows Management Instrumentation).

  • Köra åtgärder som skript eller batchar.

Separeringen av hälsotjänsteprocessen från enstaka eller flerfaldiga användningar av MonitoringHost-processen betyder att om ett skript som körs på den hanterade datorn fryser eller misslyckas, kommer funktionerna i Operations Manager-tjänsten eller andra svar i den hanterade datorn inte att påverkas.

Åtgärdskontot kan hanteras via standardåtgärdskontot som finns i Kör som-profiler i arbetsytan Administration.

Använda ett lågprivilegierat konto

När du installerar Operations Manager får du välja mellan att ange ett domänkonto eller använda det lokala systemet. Den säkraste metoden är att ange ett domänkonto eftersom du då kan välja en användare med den minsta uppsättningen privilegier som krävs för miljön.

Du kan använda ett lågprivilegierat konto för agentens åtgärdskonto. På datorer som kör Windows Server 2003 och Windows Vista måste kontot ha minst följande privilegier:

  • Medlem i gruppen för lokala användare

  • Medlem i den lokala gruppen Prestandaövervakningsanvändare

  • Behörigheten Tillåt lokal inloggning (SetInteractiveLogonRight)

System_CAPS_importantViktigt

Minimikraven på privilegierna som beskrivs ovan är privilegier som lägst krävs för åtgärdskontot i Operations Manager. Andra Kör som-konton kan ha lägre privilegier. Vilka privilegier som faktiskt krävs för åtgärdskontot och Kör som-kontona beror på vilka hanteringspaket som körs på datorn och hur de konfigureras. Mer information om vilka specifika privilegier som krävs finns i lämplig handbok för hanteringspaketet.

Tänk på följande när du väljer autentiseringsuppgifter för hanteringsserverns åtgärdskonto:

  • Ett lågprivilegierat konto kan bara användas på datorer med Windows Server 2003 och Windows Vista. På datorer som kör Windows 2000 och Windows XP måste åtgärdskontot måste vara medlem av den lokala säkerhetsgruppen för administratörer eller det lokala systemet.

  • Om du använder ett lågprivilegierat domänkonto krävs att lösenordet uppdateras i enlighet med policyn för lösenordets upphörande.

  • Det går inte att aktivera Undantagsövervakning utan agent på en hanteringsserver med ett lågprivilegierat åtgärdskonto.

  • Åtgärdskontot måste tilldelas privilegiet Hantera gransknings- och säkerhetslogg med hjälp av en lokal eller global policy om händelsen i säkerhetshändelseloggen ska kunna läsas av ett hanteringspaket.

Åtgärdskonton och Operations Manager-databasen

Du tilldelade autentiseringsuppgifter till åtgärdskontot när du installerade. Som standard har åtgärdskontot åtkomst till Operations Manager-databasen. För ökad säkerhet kan du behöva ta bort åtkomsten till Operations Manager-databasen från åtgärdskontot och skapa ett nytt separat Kör som-konto för tillgång till Operations Manager-databasen.

Konto för System Center-tjänsten för konfiguration och System Center-tjänsten för dataåtkomst

Kontot för System Center-konfigurationstjänst och dataåtkomsttjänsten i System Center används av System Center-tjänsten för dataåtkomst och System Center Management-konfigurationstjänsten för att uppdatera information i Operations Manager-databasen. Autentiseringsuppgifterna som används för åtgärdskontot tilldelas rollen sdk_user i Operations Manager-databasen.

Kontot som används för SDK- och konfigurationstjänsten måste ha lokala administratörsrättigheter på rothanteringsservern. Kontot måste vara av typen Domänanvändare eller Lokalt system. Det går inte att använda kontot Lokal användare. Vi rekommenderar att du använder ett annat konto än det som du använder som hanteringsserverns åtgärdskonto.

Konto för agentinstallation

När du implementerar identifieringsbaserad agentdistribution uppmanas du ange ett konto med administratörsprivilegier. Det här kontot används för att installera agenten på datorn, och det måste därför motsvara en lokal administratör på alla datorer som du distribuerar agenter till. Det här kontot krypteras innan det används. Därefter kastas det.

Konto för meddelandeåtgärd

Det här kontot är det åtgärdskonto som används för att skapa och skicka meddelanden. Se till att de autentiseringsuppgifter du använder för det här kontot har behörighet för SMTP-servern, snabbmeddelandeservern eller den SIP-server som ska användas för meddelanden.