Konton och profiler för Kör som
Viktigt
Den här versionen av Operations Manager har nått slutet av supporten. Vi rekommenderar att du uppgraderar till Operations Manager 2022.
Kör som-konton definierar vilka autentiseringsuppgifter som används för vissa åtgärder som utförs av Operations Manager-agenten. Dessa konton hanteras centralt via driftkonsolen och tilldelas till olika Kör som-profiler. Om en Kör som-profil inte har tilldelats till en viss åtgärd utförs den under standardåtgärdskontot. I en miljö med låga behörigheter kanske standardkontot inte har de behörigheter som krävs för en viss åtgärd, och en Kör som-profil kan användas för att tillhandahålla denna behörighet. Hanteringspaket kan installera Kör som-profiler och Kör som-konton för att ge stöd för de åtgärder som krävs. I så fall bör deras dokumentation refereras till för alla nödvändiga konfigurationer.
Kör som-standardkonton
I följande tabell visas standard-Kör som-konton som skapades av Operations Manager under installationen.
| Name | Beskrivning | Merit |
|---|---|---|
| Domain\ManagementServerActionAccount | Användarkontot där alla regler körs som standard på hanteringsservrar. | Domänkonto som anges som hanteringsserverns åtgärdskonto under installationen. |
| Åtgärdskonto i lokalt system | Inbyggt systemkonto som används som ett åtgärdskonto. | Lokalt systemkonto i Windows |
| APM-konto | Konto för övervakning av programprestanda som används för att generera nycklar för kryptering av information som har samlats in från programmet under övervakningen. Det här kontot skapas automatiskt när du skapar din första prestandaövervakare för .NET. | Krypterat binärt konto |
| Åtgärdskonto för informationslager | Används för att autentisera med en SQL Server som är värd för OperationsManagerDW-databasen. | Domänkonto som anges som konto för informationslagerskrivning under installationen. |
| Konto för distribution av informationslagerrapporter | Används för att autentisera mellan hanteringsservern och en SQL Server som är värd för Operations Manager Reporting Services. | Domänkonto som anges som dataläsarkonto under installationen. |
| Lokalt Windows-konto för system | Inbyggt SYSTEM-konto som används av åtgärdskontot för agenten. | Lokalt systemkonto i Windows |
| Windows-konto för nätverkstjänst | Inbyggt nätverkstjänstkonto. | NetworkService-konto i Windows |
Kör som-standardprofiler
I följande tabell visas de Kör som-profiler som skapades av Operations Manager under installationen.
Anteckning
Om Kör som-kontot lämnas tomt för en viss profil används standardåtgärdskontot (antingen hanteringsserverns åtgärdskonto eller agentåtgärdskontot beroende på platsen för åtgärden).
| Name | Beskrivning | Kör som-konto |
|---|---|---|
| Active Directory-baserat konto för agenttilldelning | Konto som används av den Active Directory-baserade agenttilldelningsmodulen för att publicera tilldelningsinställningar till Active Directory. | Lokalt Windows-konto för system |
| Konto för automatisk agenthantering | Det här kontot används för att automatiskt diagnostisera agentfel. | Ingen |
| Åtgärdskonto för klientövervakning | Om detta anges används av Operations Manager för att köra alla klientövervakningsmoduler. Om det här kontot inte anges använder Operations Manager standardåtgärdskontot. | Ingen |
| Den anslutna hanteringsgruppens konto | Konto som används av Operations Manager-hanteringspaketet för att övervaka anslutningsstatusen för de anslutna hanteringsgrupperna. | Ingen |
| Informationslagerkonto | Om det här kontot har angetts används det för att köra alla insamlings- och synkroniseringsregler för informationslagret (i stället för standardåtgärdskontot). Om det här kontot inte åsidosättas av Data Warehouse SQL Server-autentiseringskontot används det här kontot av insamlings- och synkroniseringsregler för att ansluta till Data Warehouse databaser med hjälp av Windows-integrerad autentisering. | Ingen |
| Konto för distribution av informationslagerrapporter | Det här kontot används i processerna för automatisk distribution av informationslagerrapporter för att köra olika typer av distributionsrelaterade åtgärder. | Konto för distribution av informationslagerrapporter |
| Konto för SQL Server-autentisering för informationslager | Om det här inloggningsnamnet och lösenordet anges används det av insamlings- och synkroniseringsregler för att ansluta till Data Warehouse databaser med hjälp av SQL Server autentisering. | Konto för SQL Server-autentisering för informationslager |
| MPUpdate-åtgärdskonto | Det här kontot används av MPUpdate-meddelaren. | Ingen |
| Meddelandekonto | Windowskonto som används med meddelandereglerna. Använd det här kontots e-postadress som ”Från”-adress för e-post- och snabbmeddelanden. | Ingen |
| Driftdatabasens konto | Det här kontot används för att läsa och skriva information till Operations Manager-databasen. | Ingen |
| Privilegierat övervakningskonto | Den här profilen används för övervakning, som bara kan göras med hög behörighetsnivå i ett system, t.ex. övervakning som kräver behörigheterna Lokalt system eller Lokal administratör. Standardvärdet är Lokalt system om inställningen inte åsidosätts för ett målsystem. | Ingen |
| Konto för SQL Server-autentisering för Reporting SDK | Om detta anges används det här inloggningsnamnet och lösenordet av SDK-tjänsten för att ansluta till Data Warehouse databaser med SQL Server autentisering. | Konto för SQL Server-autentisering för Reporting SDK |
| Reserverat | Den här profilen är reserverad och får inte användas. | Ingen |
| Konto för verifiering av varningsprenumeration | Konto som används av modulen för verifiering av varningsprenumeration, som kontrollerar att aviseringsprenumerationen finns inom omfånget. Den här profilen måste ha administratörsbehörighet. | Lokalt Windows-konto för system |
| SNMP-övervakningskonto | Det här kontot används för SNMP-övervakning. | Ingen |
| SNMPv3-övervakningskonto | Det här kontot används för SNMPv3-övervakning. | Ingen |
| UNIX-/Linux-åtgärdskonto | Det här kontot används för UNIX- och Linux-åtkomst med låg behörighet. | Ingen |
| UNIX/Linux agentunderhållskonto | Det här kontot används för privilegierade underhållsuppgifter för UNIX- och Linux-agenter. Utan det här kontot fungerar inte agentunderhållsåtgärder. | Ingen |
| UNIX-/Linux-behörighetskonto | Det här kontot används för att ge tillgång till skyddade UNIX- och Linux-resurser och åtgärder som kräver högre behörighet. Utan det här kontot fungerar inte vissa regler, diagnostik och återställningar. | Ingen |
| Windows-klusteråtgärdskonto | Den här profilen används för all identifiering och övervakning av Windows-klusterkomponenter. Den här profilen använder som standard åtgärdskonton om den inte fylls i av användaren. | Ingen |
| Åtgärdskonto för WS-hantering | Den här profilen används för åtkomst till WS-Management. | Ingen |
Så här fungerar distribution och mål
Både Kör som-kontodistributionen och Kör som-kontomålen måste vara korrekt konfigurerade för att Kör som-profilen ska fungera korrekt.
När du konfigurerar en Kör som-profil väljer du de Kör som-konton som du vill koppla till Kör som-profilen. När du har skapat kopplingen kan du ange vilken klass, vilken grupp eller vilket objekt som Kör som-kontot ska användas med och köra uppgifter, regler, övervakare och identifieringar mot.
Distribution är ett attribut för ett Kör som-konto och du kan ange vilka datorer som ska ta emot autentiseringsuppgifterna för Kör som-kontot. Du kan välja att distribuera Kör som-kontots autentiseringsuppgifter till alla agenthanterade datorer eller bara till utvalda datorer.
Exempel på kör som-kontomål: Den fysiska datorn ABC är värd för två instanser av Microsoft SQL Server: instans X och instans Y. Varje instans använder olika uppsättning autentiseringsuppgifter för SA-kontot. Du skapar ett Kör som-konto med SA-autentiseringsuppgifterna för instans X, och ett annat Kör som-konto med SA-autentiseringsuppgifterna för instans Y. När du konfigurerar Kör som-profilen för SQL Server kopplar du autentiseringsuppgifterna för Kör som-kontona för både instans X och Y till profilen. Du anger att autentiseringsuppgifterna för Kör som-kontot X ska användas för SQL Server-instans X och att autentiseringsuppgifterna för Kör som-kontot Y ska användas för SQL Server-instans Y. Därefter måste du också konfigurera varje uppsättning autentiseringsuppgifter för Kör som-kontona så att de distribueras till den fysiska datorn ABC.
Exempel på Kör som-kontodistribution: SQL Server1 och SQL Server2 är två olika fysiska datorer. SQL Server1 använder autentiseringsuppgifterna Användarnamn1 och Lösenord1 för SA-kontot för SQL. SQL Server2 använder autentiseringsuppgifterna Användarnamn2 och Lösenord2 för SA-kontot för SQL. SQL-hanteringspaketet har en enda Kör som-profil för SQL som används för alla SQL-servrar. Du kan sedan definiera ett Kör som-konto för UserName1-uppsättning autentiseringsuppgifter och ett annat Kör som-konto för UserName2-uppsättning autentiseringsuppgifter. Båda dessa Kör som-konton kan associeras med den enda Kör som-profilen för SQL Server och kan konfigureras så att de distribueras till lämpliga datorer. UserName1 distribueras alltså till SQL Server1 och UserName2 distribueras till SQL Server2. Kontoinformation som skickas mellan hanteringsservern och den angivna datorn krypteras.
Säkerhet för Kör som-konton
I System Center Operations Manager distribueras Kör som-kontoautentiseringsuppgifter endast till datorer som du anger (det säkrare alternativet). Om Operations Manager skulle distribuera Kör som-kontot automatiskt medför detta en säkerhetsrisk för din miljö, som du ser i exemplet nedan. Det är därför ett alternativ för automatisk distribution inte ingick i Operations Manager.
Operations Manager kan till exempel identifiera en dator som värd för SQL Server 2016 baserat på förekomsten av en registernyckel. Det går att skapa samma registernyckel på en dator som inte kör en instans av SQL Server 2016. Om Operations Manager automatiskt skulle distribuera autentiseringsuppgifterna till alla agenthanterade datorer som har identifierats som SQL Server 2016-datorer, skulle autentiseringsuppgifterna skickas till den falska instansen av SQL Server och vara tillgängliga för alla användare med administratörsbehörighet på den servern.
När du skapar ett Kör som-konto med Operations Manager uppmanas du att välja om Kör som-kontot ska behandlas på ett mindre säkert eller säkrare sätt. Säkrare innebär att du när du kopplar Kör som-kontot till en Kör som-profil måste ange de specifika datornamn som du vill att Kör som-autentiseringsuppgifterna ska distribueras till. Genom att helt säkert identifiera måldatorerna kan du förhindra den bedrägeristuation som beskrevs tidigare. Om du väljer det mindre säkra alternativet behöver du inte ange några specifika datorer och autentiseringsuppgifterna distribueras till alla agenthanterade datorer.
Anteckning
De autentiseringsuppgifter som du väljer för Kör som-kontot måste minst ha behörighet för lokal inloggning. Annars returnerar modulen fel.