服务、用户和安全帐户
在 Operations Manager 的设置和日常操作期间,系统会要求你提供多个帐户的凭据。 本文提供有关其中每个帐户的信息,包括 SDK 和配置服务、代理安装、数据仓库写入和数据读取器帐户。
注意
Operations Manager 安装预配所有必要的 SQL 权限。
如果使用域帐户,并且域组策略对象(GPO)已根据需要设置默认密码过期策略,则必须根据计划更改服务帐户上的密码、使用系统帐户或配置帐户,使密码永不过期。
操作帐户
在 System Center Operations Manager 中,管理服务器、网关服务器和代理都执行名为MonitoringHost.exe的进程。 MonitoringHost.exe用于完成监视活动,例如执行监视器或运行任务。 MonitoringHost.exe执行的操作的其他示例包括:
- 监视和收集 Windows 事件日志数据
- 监视和收集 Windows 性能计数器数据
- 监视和收集 Windows 管理规范 (WMI) 数据
- 运行脚本或批处理等操作
MonitoringHost.exe 进程的运行方式帐户叫做操作帐户。 MonitoringHost.exe是使用操作帐户中指定的凭据运行这些操作的过程。 系统会为每个帐户创建 MonitoringHost.exe 的新实例。 代理上运行的MonitoringHost.exe进程的操作帐户称为代理操作帐户。 管理服务器上MonitoringHost.exe进程使用的操作帐户称为“管理服务器操作”帐户。 网关服务器上的MonitoringHost.exe进程使用的操作帐户称为网关服务器操作帐户。 在管理组中的所有管理服务器上,我们建议你授予帐户本地管理权限,除非组织 IT 安全策略需要最低特权访问权限。
除非操作已与运行方式配置文件关联,否则用于执行该操作的凭据将是为操作帐户定义的凭据。 有关运行方式帐户和运行方式配置文件的详细信息,请参阅“运行方式帐户”部分。 当代理作为默认操作帐户和/或运行方式帐户运行操作时,会为每个帐户创建MonitoringHost.exe的新实例。
安装 Operations Manager 时,可以选择指定域帐户或使用 LocalSystem。 更安全的方法是指定域帐户,该帐户允许你选择具有环境所需的最低权限的用户。
可以将最小特权帐户用于代理的操作帐户。 在运行 Windows Server 2008 R2 或更高版本的计算机上,该帐户必须具有以下最低权限:
- 本地用户组的成员
- 本地性能监视器用户组的成员
- 允许本地登录 (SetInteractiveLogonRight) 权限(不适用于 Operations Manager 2019 及更高版本)。
注意
上述最低特权是 Operations Manager 对操作帐户支持的最低特权。 其他运行方式帐户的特权可以更低。 操作帐户和运行方式帐户所需的实际权限将取决于计算机上运行的管理包及其配置方式。 有关所需的特定特权的详细信息,请参阅合适的管理包指南。
如果安全策略不允许向服务帐户授予为操作帐户指定的域帐户(SeServiceLogonRight),或者以 Batch 身份登录(SeBatchLogonRight)权限,前提是安全策略不允许向服务帐户授予交互式登录会话,例如需要智能卡身份验证时。 修改注册表值HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\System Center\运行状况服务:
为操作帐户指定的域帐户通过登录即服务(SeServiceLogonRight)权限授予。 若要更改运行状况服务的登录类型,请修改注册表值 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\System Center\运行状况服务:
- 名称:工作进程登录类型
- 类型:REG_DWORD
- 值:四 (4) - 以批处理作业形式登录;二 (2) - 允许本地登录;五 (5) - 作为服务登录。 默认值为 2。
- 值:四 (4) - 以批处理作业形式登录;二 (2) - 允许本地登录;五 (5) - 作为服务登录。 默认值为 5。
可以使用组策略集中管理设置,具体方法为:复制 C:\Windows\PolicyDefinitions 文件夹中来自管理服务器或代理托管系统的 ADMX 文件 healthservice.admx,并在 Computer Configuration\Administrative Templates\System Center - Operations Manager 文件夹下配置“监视操作帐户登录类型”设置。 有关使用组策略 ADMX 文件的详细信息,请参阅 管理组策略 ADMX 文件。
System Center Configuration Service 和 System Center Data Access Service 帐户
System Center Data Access 和 System Center Management Configuration 服务帐户使用 System Center Configuration 服务和 System Center Data Access 服务帐户更新操作数据库中的信息。 用于操作帐户的凭据将分配给操作数据库中的sdk_user角色。
该帐户应为域用户或 LocalSystem。 应向用于 SDK 和配置服务帐户的帐户授予管理组中所有管理服务器上的本地管理权限。 不支持使用本地用户帐户。 为了提高安全性,建议使用域用户帐户,该帐户不同于用于管理服务器操作帐户的帐户。 LocalSystem 帐户是 Windows 计算机上的最高特权帐户,甚至高于本地管理员。 当服务在 LocalSystem 的上下文下运行时,该服务可以完全控制计算机的本地资源,并在对远程资源进行身份验证和访问远程资源时使用计算机的标识。 使用 LocalSystem 帐户是一种安全风险,因为它不遵循最低特权原则。 由于托管 Operations Manager 数据库的 SQL Server 实例所需的权限,因此,如果管理组中的管理服务器遭到入侵,则需要具有最低权限的域帐户以避免任何安全风险。 原因如下:
- LocalSystem 没有密码
- 它没有自己的配置文件
- 它在本地计算机上具有广泛的特权
- 它向远程计算机提供计算机的凭据
注意
如果在独立于管理服务器的计算机上安装 Operations Manager 数据库,并且为数据访问和配置服务帐户选择了 LocalSystem,则会为管理服务器计算机的计算机帐户分配 Operations Manager 数据库计算机上的sdk_user角色。
有关详细信息,请参阅 LocalSystem。
数据仓库写帐户
数据仓库写入帐户是用于将数据从管理服务器写入报表数据仓库的帐户,它从 Operations Manager 数据库读取数据。 下表介绍了在安装过程中分配给域用户帐户的角色和成员身份。
| 应用程序 | 数据库/角色 | 角色/帐户 |
|---|---|---|
| Microsoft SQL Server | OperationsManager | db_datareader |
| Microsoft SQL Server | OperationsManager | dwsync_user |
| Microsoft SQL Server | OperationsManagerDW | OpsMgrWriter |
| Microsoft SQL Server | OperationsManagerDW | db_owner |
| Operations Manager | 用户角色 | Operations Manager 报表安全管理员 |
| Operations Manager | 运行方式帐户 | 数据仓库操作帐户 |
| Operations Manager | 运行方式帐户 | 数据仓库配置同步读取器帐户 |
数据读取者帐户
数据读取器帐户用于部署报表、定义 SQL Server Reporting Services 用于对报表数据仓库执行查询的用户,并定义用于连接到管理服务器的SQL 报告服务帐户。 此域用户帐户将添加到报表管理员用户配置文件。 下表描述了在安装过程中分配给帐户的角色和成员身份。
| 应用程序 | 数据库/角色 | 角色/帐户 |
|---|---|---|
| Microsoft SQL Server | Reporting Services 安装实例 | 报表服务器执行帐户 |
| Microsoft SQL Server | OperationsManagerDW | OpsMgrReader |
| Operations Manager | 用户角色 | Operations Manager 报表运算符 |
| Operations Manager | 用户角色 | Operations Manager 报表安全管理员 |
| Operations Manager | 运行方式帐户 | 数据仓库报表部署帐户 |
| Windows 服务 | SQL Server Reporting Services | 登录帐户 |
验证计划用于数据读取器的帐户是否被授予登录即服务(对于 2019 及更高版本)或登录即服务,并允许在本地登录(对于早期版本)、每个管理服务器以及托管 Reporting Server 角色的 SQL Server。
代理安装帐户
执行基于发现的代理部署时,需要具有针对代理安装的计算机上的管理员权限的帐户。 管理服务器操作帐户是代理安装的默认帐户。 如果管理服务器操作帐户没有管理员权限,操作员必须提供用户帐户和密码,并在目标计算机上具有管理权限。 在使用之前加密此帐户,使用之后删除。
通知操作帐户
通知操作帐户是用于创建和发送通知的帐户。 这些凭据必须具有用于通知的 SMTP 服务器、即时消息服务器或 SIP 服务器的足够权限。