Hizmet, Kullanıcı ve Güvenlik Hesapları
Önemli
Operations Manager'ın bu sürümü destek sonuna ulaştı. Operations Manager 2022'ye yükseltmenizi öneririz.
Operations Manager'ın kurulumu ve günlük işlemleri sırasında, birkaç hesap için kimlik bilgileri sağlamanız istenir. Bu makalede SDK ve Yapılandırma Hizmeti, Aracı Yüklemesi, Data Warehouse Yazma ve Veri Okuyucusu hesapları da dahil olmak üzere bu hesapların her biri hakkında bilgi sağlanır.
Not
Operations Manager yüklemesi tüm gerekli SQL izinlerini sağlar.
Etki alanı hesaplarını kullanıyorsanız ve etki alanı grup ilkesi Nesnenizde (GPO) varsayılan parola süre sonu ilkesi gerektiği gibi ayarlandıysa, hizmet hesaplarında parolaları zamanlamaya göre değiştirmeniz, sistem hesaplarını kullanmanız veya hesapları parolaların süresinin dolmaması için yapılandırmanız gerekir.
Eylem hesapları
System Center Operations Manager'da yönetim sunucuları, ağ geçidi sunucuları ve aracıların tümü MonitoringHost.exe adlı bir işlem yürütür. MonitoringHost.exe, izleyici yürütme veya görev çalıştırma gibi izleme etkinliklerini gerçekleştirmek için kullanılır. MonitoringHost.exe gerçekleştirdiği eylemlere diğer örnekler şunlardır:
- Windows olay günlüğü verilerini izleme ve toplama
- Windows performansı sayaç verilerini izleme ve toplama
- Windows Yönetim Araçları (WMI) verilerini izleme ve toplama
- Betikler veya toplu işler gibi eylemleri çalıştırma
Bir MonitoringHost.exe işlemini çalıştıran hesaba eylem hesabı denir. MonitoringHost.exe eylem hesabında belirtilen kimlik bilgilerini kullanarak bu eylemleri çalıştıran işlemdir. Her hesap için yeni MonitoringHost.exe örneği oluşturulur. Bir aracı üzerinde çalışan MonitoringHost.exe işleminin eylem hesabına Aracı Eylem Hesabı denir. Bir yönetim sunucusundaki MonitoringHost.exe işlemi tarafından kullanılan eylem hesabına Yönetim Sunucusu Eylem hesabı denir. Bir ağ geçidi sunucusundaki MonitoringHost.exe işlemi tarafından kullanılan eylem hesabına Ağ Geçidi Sunucusu Eylem Hesabı denir. Yönetim grubundaki tüm yönetim sunucularında, kuruluşunuzun BT güvenlik ilkesi tarafından en az ayrıcalıklı erişim gerekmediği sürece hesaba yerel yönetim hakları vermenizi öneririz.
Bir eylem Farklı Çalıştır profiliyle ilişkilendirilmediği sürece, eylemi gerçekleştirmek için kullanılan kimlik bilgileri eylem hesabı için tanımladığınız kimlik bilgileri olacaktır. Farklı Çalıştır Hesapları ve Farklı Çalıştır Profilleri hakkında daha fazla bilgi için Farklı Çalıştır Hesapları bölümüne bakın. Bir aracı eylemleri varsayılan eylem hesabı ve/veya Farklı Çalıştır hesabı olarak çalıştırdığında her bir hesap için yeni bir MonitoringHost.exe örneği oluşturulur.
Operations Manager'ı yüklediğinizde, bir etki alanı hesabı belirtme veya LocalSystem kullanma seçeneğiniz vardır. Daha güvenli bir yaklaşım, ortamınız için gereken en düşük ayrıcalıklara sahip bir kullanıcı seçmenize olanak tanıyan bir etki alanı hesabı belirtmektir.
Aracının eylem hesabı için en az ayrıcalıklı bir hesap kullanabilirsiniz. Windows Server 2008 R2 veya üzeri çalıştıran bilgisayarlarda, hesabın en az aşağıdaki ayrıcalıklara sahip olması gerekir:
- Yerel Kullanıcı grubu üyesi
- Yerel Performans İzleyici Kullanıcı grubu üyesi
- Yerel olarak oturum açmaya izin ver (SetInteractiveLogonRight) izni (Operations Manager 2019 ve üzeri için geçerli değildir).
Not
Yukarıda belirtilen minimum ayrıcalıklar Operations Manager’ın Eylem hesabı için desteklediği en düşük ayrıcalıklardır. Diğer Farklı Çalıştır hesaplarının ayrıcalıkları daha düşüktür. Eylem hesabı ve Farklı Çalıştır hesapları için gereken gerçek ayrıcalıklar, bilgisayarda hangi yönetim paketlerinin çalıştığına ve bunların nasıl yapılandırıldığına bağlıdır. Gerekli olan belli ayrıcalıklarla ilgili daha fazla bilgi için, ilgili yönetim paketi kılavuzuna bakın.
Güvenlik ilkeniz bir hizmet hesabına akıllı kart kimlik doğrulaması gerektiğinde olduğu gibi etkileşimli bir oturum açma oturumu verilmesine izin vermiyorsa, eylem hesabı için belirtilen etki alanı hesabına Hizmet Olarak Oturum Aç (SeServiceLogonRight) veya Batch Olarak Oturum Aç (SeBatchLogonRight) izni verilebilir. Kayıt defteri değerini HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\System Center\Health Service değiştirin:
Eylem hesabı için belirtilen etki alanı hesabına Hizmet Olarak Oturum Aç (SeServiceLogonRight) izni verilir. Sistem sağlığı hizmetinin oturum açma türünü değiştirmek için kayıt defteri değerini değiştirinHKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\System Center\Health Service:
- Ad: Çalışan İşlemi Oturum Açma Türü
- Tür: REG_DWORD
- Değerler: Dört (4) - Toplu olarak oturum aç, İki (2) - Yerel olarak oturum açmaya izin ver ve Beş (5) - Hizmet olarak oturum aç. Varsayılan değer 2'dir.
- Değerler: Dört (4) - Toplu Olarak Oturum Aç, İki (2) - Yerel olarak oturum açmaya izin ver ve Beş (5) - Hizmet olarak oturum aç. Varsayılan değer 5'tir.
ADMX dosyasını healthservice.admx klasörde bulunan bir yönetim sunucusundan veya aracıyla yönetilen bir sistemden kopyalayıp klasörünün C:\Windows\PolicyDefinitions altında Computer Configuration\Administrative Templates\System Center - Operations Managerİzleme Eylem Hesabı Oturum Açma Türü ayarını yapılandırarak grup ilkesi kullanarak ayarı merkezi olarak yönetebilirsiniz. grup ilkesi ADMX dosyalarıyla çalışma hakkında daha fazla bilgi için bkz. ADMX dosyalarını grup ilkesi yönetme.
System Center Yapılandırma Hizmeti ve System Center Veri Erişim Hizmeti hesabı
İşletimsel veritabanındaki bilgileri güncelleştirmek için System Center Veri Erişimi ve System Center Yönetim Yapılandırma hizmetleri tarafından System Center Yapılandırma hizmeti ve System Center Veri Erişim hizmeti hesabı kullanılır. Eylem hesabı için kullanılan kimlik bilgileri İşletimsel veritabanında sdk_user rolüne atanacaktır.
Hesap bir Etki Alanı Kullanıcısı veya LocalSystem olmalıdır. SDK ve Yapılandırma Hizmeti hesabı için kullanılan hesaba yönetim grubundaki tüm yönetim sunucularında yerel yönetim hakları verilmelidir. Yerel Kullanıcı hesabının kullanımı desteklenmez. Daha fazla güvenlik için bir etki alanı kullanıcı hesabı kullanmanızı öneririz ve bu, Yönetim Sunucusu Eylem Hesabı için kullanılan hesaptan farklı bir hesaptır. LocalSystem hesabı, Bir Windows bilgisayardaki en yüksek ayrıcalık hesabıdır ve yerel Yöneticiden bile daha yüksektir. Bir hizmet LocalSystem bağlamı altında çalıştığında, hizmet bilgisayarın yerel kaynakları üzerinde tam denetime sahiptir ve uzak kaynaklara kimlik doğrulaması yaparken ve bu kaynaklara erişirken bilgisayarın kimliği kullanılır. LocalSystem hesabının kullanılması, en düşük ayrıcalık ilkesine uymuyor olduğundan bir güvenlik riskidir. Operations Manager veritabanını barındıran SQL Server örneğinde gerekli olan haklar nedeniyle, yönetim grubundaki yönetim sunucusu tehlikeye atılırsa güvenlik riskinden kaçınmak için en az ayrıcalık izinlerine sahip bir etki alanı hesabı gereklidir. Bunun nedenleri şunlardır:
- LocalSystem'ın parolası yok
- Kendi profili yok
- Yerel bilgisayarda kapsamlı ayrıcalıklara sahiptir
- Bilgisayarın kimlik bilgilerini uzak bilgisayarlara sunar
Not
Operations Manager veritabanı yönetim sunucusundan ayrı bir bilgisayara yüklenirse ve Veri Erişimi ve Yapılandırma hizmet hesabı için LocalSystem seçilirse, yönetim sunucusu bilgisayarının bilgisayar hesabına Operations Manager veritabanı bilgisayarında sdk_user rolü atanır.
Daha fazla bilgi için bkz. LocalSystem.
Veri Ambarı Yazma hesabı
Veri Ambarı Yazma hesabı yönetim sunucusundaki verileri Raporlama veri ambarına yazmak için kullanılan hesaptır ve Operations Manager veritabanındaki verileri okur. Aşağıdaki tabloda kurulum sırasında etki alanı kullanıcı hesabına atanan rol ve üyelikler açıklanmaktadır.
| Uygulama | Veritabanı/rol | Rol/hesap |
|---|---|---|
| Microsoft SQL Server | OperationsManager | db_datareader |
| Microsoft SQL Server | OperationsManager | dwsync_user |
| Microsoft SQL Server | OperationsManagerDW | OpsMgrWriter |
| Microsoft SQL Server | OperationsManagerDW | db_owner |
| Operations Manager | Kullanıcı rolü | Operations Manager Rapor Güvenliği Yöneticileri |
| Operations Manager | Farklı Çalıştır hesabı | Veri Ambarı Eylem hesabı |
| Operations Manager | Farklı Çalıştır hesabı | Veri Ambarı Yapılandırma Eşitleme Okuyucusu hesabı |
Data Okuyucusu hesabı
Veri Okuyucusu hesabı, rapor dağıtmak, SQL Server Reporting Services'ın Raporlama veri ambarına karşı sorgu yürütmek için hangi kullanıcıyı kullandığını tanımlamak ve yönetim sunucusuna bağlanacak SQL Raporlama Hizmetleri hesabını tanımlamak için kullanılır. Bu etki alanı kullanıcı hesabı, Rapor Yöneticisi Kullanıcı Profiline eklenir. Aşağıdaki tabloda kurulum sırasında hesaba atanan rol ve üyelikler açıklanmaktadır.
| Uygulama | Veritabanı/rol | Rol/hesap |
|---|---|---|
| Microsoft SQL Server | Raporlama Hizmetleri Yükleme örneği | Rapor Sunucusu Yürütme hesabı |
| Microsoft SQL Server | OperationsManagerDW | OpsMgrReader |
| Operations Manager | Kullanıcı rolü | Operations Manager Rapor İşletmenleri |
| Operations Manager | Kullanıcı rolü | Operations Manager Rapor Güvenliği Yöneticileri |
| Operations Manager | Farklı Çalıştır hesabı | Veri Ambarı Rapor Dağıtım hesabı |
| Windows hizmeti | SQL Server Reporting Services | Oturum açma hesabı |
Veri Okuyucusu hesabı için kullanmayı planladığınız hesaba Hizmet Olarak Oturum Aç (2019 ve üzeri için) veya Hizmet Olarak Oturum Aç ve Yerel Olarak Oturum Açmaya İzin Ver (önceki sürüm için), her yönetim sunucusu için sağ ve Raporlama Sunucusu rolünü barındıran SQL Server verildiğini doğrulayın.
Aracı Yükleme hesabı
Bulma tabanlı aracı dağıtımını gerçekleştirirken, aracı yüklemesi için hedeflenen bilgisayarlarda Yönetici ayrıcalıklarına sahip bir hesap gerekir. Yönetim sunucusu eylem hesabı aracı yüklemede varsayılan hesaptır. Yönetim sunucusu eylem hesabının yönetici hakları yoksa, operatörün hedef bilgisayarlarda yönetici haklarına sahip bir kullanıcı hesabı ve parola sağlaması gerekir. Bu hesap kullanılmadan önce şifrelenir ve atılır.
Bildirim Eylem hesabı
Bildirim Eylem hesabı, bildirim oluşturmak ve göndermek için kullanılan hesaptır. Bu kimlik bilgileri bildirimler için kullanılan SMTP sunucusu, anlık ileti sunucusu veya SIP sunucusu için yeterli haklara sahip olmalıdır.
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin