Farklı Çalıştır Hesapları ve Profilleri
Farklı Çalıştır hesapları, Operations Manager aracısı tarafından gerçekleştirilen belirli eylemler için hangi kimlik bilgilerinin kullanılacağını tanımlar. Bu hesaplar İşletim konsolu aracılığıyla merkezi olarak yönetilir ve farklı Farklı Çalıştır profillerine atanır. Bir Farklı Çalıştır profili belirli bir eyleme atanmamışsa, Varsayılan Eylem hesabı altında gerçekleştirilir. Düşük ayrıcalıklı bir ortamda, varsayılan hesap belirli bir eylem için gerekli izinlere sahip olmayabilir ve bu yetkiyi sağlamak için farklı çalıştır profili kullanılabilir. Yönetim paketleri, gerekli eylemleri desteklemek için Farklı Çalıştır profillerini ve Farklı Çalıştır hesaplarını yükleyebilir. Bu durumda, gerekli yapılandırmalar için belgelerine başvurulmalıdır.
Varsayılan Farklı Çalıştır hesapları
Aşağıdaki tabloda, kurulum sırasında Operations Manager tarafından oluşturulan varsayılan Farklı Çalıştır hesapları listelenir.
Veri Akışı Adı | Açıklama | Referans |
---|---|---|
Domain\ManagementServerActionAccount | Yönetim sunucularında varsayılan olarak tüm kuralların çalıştırıldığı kullanıcı hesabı. | Kurulum sırasında Yönetim Sunucusu Eylem hesabı olarak belirtilen etki alanı hesabı. |
Yerel Sistem Eylem Hesabı | Eylem hesabı olarak kullanılan yerleşik Sistem hesabı. | Windows Yerel Sistem hesabı |
APM Hesabı | İzleme sırasında uygulamadan toplanan güvenli bilgileri şifrelemeye yönelik anahtarlar sağlamak için kullanılan uygulama Performans İzleyicisi hesabı. İlk .NET Performans İzleyicisi oluşturduktan sonra bu hesap otomatik olarak oluşturulur. | Şifrelenmiş ikili hesap |
Veri Ambarı Eylem Hesabı | OperationsManagerDW veritabanını barındıran SQL Server ile kimlik doğrulaması yapmak için kullanılır. | Kurulum sırasında Veri Ambarı Yazma hesabı olarak belirtilen etki alanı hesabı. |
Veri Ambarı Rapor Dağıtım Hesabı | Yönetim sunucusu ile Operations Manager Raporlama Hizmetleri'ni barındıran SQL Server arasında kimlik doğrulaması yapmak için kullanılır. | Kurulum sırasında Veri Okuyucusu hesabı olarak belirtilen etki alanı hesabı. |
Yerel Sistem Windows Hesabı | Aracı eylem hesabı tarafından kullanılan yerleşik SYSTEM hesabı. | Windows Yerel Sistem hesabı |
Ağ Hizmeti Windows Hesabı | Yerleşik Ağ hizmeti hesabı. | Windows NetworkService hesabı |
Varsayılan Farklı Çalıştır profilleri
Aşağıdaki tabloda, kurulum sırasında Operations Manager tarafından oluşturulan Farklı Çalıştır profilleri listelemektedir.
Not
Farklı Çalıştır hesabı belirli bir profil için boş bırakılırsa, Varsayılan Eylem hesabı (eylemin konumuna bağlı olarak Yönetim Sunucusu Eylem hesabı veya Aracı Eylemi hesabı) kullanılır.
Veri Akışı Adı | Açıklama | Farklı Çalıştır hesabı |
---|---|---|
Active Directory Tabanlı Aracı Atama Hesabı | Active Directory tabanlı aracı atama modülü tarafından, atama ayarlarını Active Directory'ye yayımlamak için kullanılan hesap. | Yerel Sistem Windows Hesabı |
Otomatik Aracı Yönetim Hesabı | Bu hesap, aracı hatalarını otomatik olarak tanılamak için kullanılır. | Hiçbiri |
İstemci İzleme Eylem Hesabı | Belirtilirse, Operations Manager tarafından tüm istemci izleme modüllerini çalıştırmak için kullanılır. Belirtilmezse, Operations Manager varsayılan eylem hesabını kullanır. | Hiçbiri |
Bağlı Yönetim Grubu Hesabı | Bağlı yönetim gruplarına bağlantı durumunu izlemek için Operations Manager yönetim paketi tarafından kullanılan hesap. | Hiçbiri |
Veri Ambarı Hesabı | Belirtilirse, bu hesap varsayılan eylem hesabı yerine tüm Veri Ambarı toplama ve eşitleme kurallarını çalıştırmak için kullanılır. Bu hesap Veri Ambarı SQL Server Kimlik Doğrulaması hesabı tarafından geçersiz kılınmazsa, bu hesap Windows tümleşik kimlik doğrulaması kullanarak Veri Ambarı veritabanlarına bağlanmak için toplama ve eşitleme kuralları tarafından kullanılır. | Hiçbiri |
Veri Ambarı Rapor Dağıtım Hesabı | Bu hesap, Veri Ambarı rapor otomatik dağıtım yordamları tarafından rapor dağıtımıyla ilgili çeşitli işlemleri yürütmek için kullanılır. | Veri Ambarı Rapor Dağıtım Hesabı |
Veri Ambarı SQL Server Kimlik Doğrulama Hesabı | Belirtilirse, bu oturum açma adı ve parolası koleksiyon ve eşitleme kuralları tarafından SQL Server kimlik doğrulaması kullanarak Veri Ambarı veritabanlarına bağlanmak için kullanılır. | Veri Ambarı SQL Server Kimlik Doğrulama Hesabı |
MPUpdate Eylem Hesabı | Bu hesap MPUpdate belirleyicisi tarafından kullanılır. | Hiçbiri |
Bildirim Hesabı | Bildirim kuralları tarafından kullanılan Windows hesabı. Bu hesabın e-posta adresini e-posta ve anlık ileti 'Kimden' adresi olarak kullanın. | Hiçbiri |
İşletimsel Veritabanı Hesabı | Bu hesap, Operations Manager veritabanına bilgi okumak ve yazmak için kullanılır. | Hiçbiri |
Ayrıcalıklı İzleme Hesabı | Bu profil, yalnızca bir sisteme yüksek düzeyde ayrıcalıkla yapabilen izleme için kullanılır; örneğin, Yerel Sistem veya Yerel Yönetici izinleri gerektiren izleme. Hedef sistem için özel olarak geçersiz kılınmadığı sürece bu profil varsayılan olarak Yerel Sistem'i kullanır. | Hiçbiri |
Raporlama SDK'sı SQL Server Kimlik Doğrulama Hesabı | Belirtilirse, bu oturum açma adı ve parolası SDK Hizmeti tarafından SQL Server kimlik doğrulaması kullanarak Veri Ambarı veritabanlarına bağlanmak için kullanılır. | Raporlama SDK'sı SQL Server Kimlik Doğrulama Hesabı |
Ayrıldı | Bu profil ayrılmıştır ve kullanılmamalıdır. | Hiçbiri |
Uyarı Abonelik Hesabını Doğrulama | Bildirim aboneliklerinin kapsamda olduğunu doğrulayan uyarı aboneliğini doğrulama modülü tarafından kullanılan hesap. Bu profilin yönetici haklarına ihtiyacı var. | Yerel Sistem Windows Hesabı |
SNMP İzleme Hesabı | Bu hesap SNMP izleme için kullanılır. | Hiçbiri |
SNMPv3 İzleme Hesabı | Bu hesap SNMPv3 izleme için kullanılır. | Hiçbiri |
UNIX/Linux Eylem Hesabı | THis hesabı düşük ayrıcalıklı UNIX ve Linux erişimi için kullanılır. | Hiçbiri |
UNIX/Linux Aracısı Bakım Hesabı | Bu hesap, UNIX ve Linux aracıları için ayrıcalıklı bakım işlemleri için kullanılır. Bu hesap olmadan aracı bakım işlemleri çalışmaz. | Hiçbiri |
UNIX/Linux Privileged Hesabı | Bu hesap, korumalı UNIX ve Linux kaynaklarına ve yüksek ayrıcalıklar gerektiren eylemlere erişmek için kullanılır. Bu hesap olmadan bazı kurallar, tanılamalar ve kurtarmalar çalışmaz. | Hiçbiri |
Windows Kümesi Eylem Hesabı | Bu profil, Windows Kümesi bileşenlerinin tüm bulma ve izleme işlemleri için kullanılır. Bu profil, kullanıcı tarafından doldurulmadığı sürece varsayılan olarak kullanılan eylem hesaplarıdır. | Hiçbiri |
WS-Management Eylem Hesabı | Bu profil WS-Management erişimi için kullanılır. | Hiçbiri |
Dağıtımı ve hedeflemeyi anlama
Farklı Çalıştır profilinin düzgün çalışması için hem Farklı Çalıştır hesap dağıtımı hem de Farklı Çalıştır hesabı hedeflemesinin doğru yapılandırılması gerekir.
Bir Farklı Çalıştır profili yapılandırdığınızda, Farklı Çalıştır profiliyle ilişkilendirmek istediğiniz Farklı Çalıştır hesaplarını seçersiniz. Bu ilişkiyi oluşturduktan sonra, farklı çalıştır hesabının görevler, kurallar, izleyiciler ve bulmalar çalıştırmak için kullanılacağı sınıfı, grubu veya nesneyi belirtebilirsiniz.
Dağıtım, Farklı Çalıştır hesabının özniteliğidir ve hangi bilgisayarların Farklı Çalıştır hesabı kimlik bilgilerini alacağını belirtebilirsiniz. Farklı Çalıştır hesabı kimlik bilgilerini aracıyla yönetilen her bilgisayara veya yalnızca belirli bilgisayarlara dağıtmayı seçebilirsiniz.
Farklı Çalıştır hesabı hedefleme örneği: Fiziksel bilgisayar ABC, Microsoft SQL Server'ın iki örneğini barındırıyor: X örneği ve Y örneği. Her örnek, sa hesabı için farklı bir kimlik bilgileri kümesi kullanır. X örneğinin sa kimlik bilgileriyle bir Farklı Çalıştır hesabı oluşturursunuz ve Y gibi sa kimlik bilgileriyle farklı bir Farklı Çalıştır hesabı oluşturursunuz. SQL Server Farklı Çalıştır profilini yapılandırdığınızda, hem X hem de Y gibi Farklı Çalıştır hesabı kimlik bilgilerini profille ilişkilendirir ve FARKLı Çalıştır hesap örneği X kimlik bilgilerinin SQL Server örneği X için kullanılacağını ve SQL Server örneği Y için Farklı Çalıştır hesabı Y kimlik bilgilerinin kullanılacağını belirtirsiniz. Ardından, her farklı çalıştır hesabı kimlik bilgilerini fiziksel bilgisayar ABC'ye dağıtılacak şekilde de yapılandırmanız gerekir.
Farklı Çalıştır hesabı dağıtımı örneği: SQL Server1 ve SQL Server2 iki farklı fiziksel bilgisayardır. SQL Server1, SQL sa hesabı için UserName1 ve Password1 kimlik bilgileri kümesini kullanır. SQL Server2, SQL sa hesabı için UserName2 ve Password2 kimlik bilgileri kümesini kullanır. SQL yönetim paketi, tüm SQL Sunucuları için kullanılan tek bir SQL Farklı Çalıştır profiline sahiptir. Ardından UserName1 kimlik bilgileri kümesi için bir Farklı Çalıştır hesabı ve UserName2 kimlik bilgileri kümesi için başka bir Farklı Çalıştır hesabı tanımlayabilirsiniz. Bu Farklı Çalıştır hesaplarının her ikisi de tek bir SQL Server Farklı Çalıştır profiliyle ilişkilendirilebilir ve uygun bilgisayarlara dağıtılacak şekilde yapılandırılabilir. Başka bir ifadeyle, UserName1 SQL Server1'e, UserName2 de SQL Server2'ye dağıtılır. Yönetim sunucusu ile belirlenen bilgisayar arasında gönderilen hesap bilgileri şifrelenir.
Farklı Çalıştır hesabı güvenliği
System Center Operations Manager'da Farklı Çalıştır hesabı kimlik bilgileri yalnızca belirttiğiniz bilgisayarlara dağıtılır (daha güvenli seçenek). Operations Manager Farklı Çalıştır hesabını bulma işlemine göre otomatik olarak dağıttıysa, aşağıdaki örnekte gösterildiği gibi ortamınıza bir güvenlik riski eklenecektir. Bu nedenle otomatik dağıtım seçeneği Operations Manager'a dahil değildi.
Örneğin, Operations Manager bir bilgisayarı bir kayıt defteri anahtarının varlığına bağlı olarak SQL Server 2016'yı barındırıyor olarak tanımlar. Sql Server 2016 örneğini çalıştırmamış bir bilgisayarda aynı kayıt defteri anahtarını oluşturmak mümkündür. Operations Manager, kimlik bilgilerini SQL Server 2016 bilgisayarları olarak tanımlanan aracıyla yönetilen tüm bilgisayarlara otomatik olarak dağıtacak olursa, kimlik bilgileri sahte SQL Server'a gönderilir ve bu sunucuda yönetici hakları olan herkes tarafından kullanılabilir.
Operations Manager kullanarak bir Farklı Çalıştır hesabı oluşturduğunuzda, Farklı Çalıştır hesabının Daha Az güvenli mi yoksa Daha güvenli bir şekilde mi ele alınacağını seçmeniz istenir. "Daha güvenli", Farklı Çalıştır hesabını bir Farklı Çalıştır profiliyle ilişkilendirdiğinizde, Farklı Çalıştır kimlik bilgilerinin dağıtılmasını istediğiniz belirli bilgisayar adlarını sağlamanız gerekdiği anlamına gelir. Hedef bilgisayarları açıkça belirtmekle yukarıda anlatılan kandırma senaryosunu engelleyebilirsiniz. Daha az güvenli seçeneği belirlerseniz, belirli bilgisayarlar sağlamanız gerekmez ve kimlik bilgileri aracıyla yönetilen tüm bilgisayarlara dağıtılır.
Not
Farklı Çalıştır hesabı için seçtiğiniz kimlik bilgileri en az yerel olarak oturum açma haklarına sahip olmalıdır; aksi takdirde modül başarısız olur.