執行身分帳戶和設定檔的散發與目標
發佈時間: 2016年3月
適用於: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager
執行身分帳戶會與執行身分設定檔建立關聯,以提供使用該執行身分設定檔的工作流程成功執行所需的認證。 您必須正確設定執行身分帳戶的散發和目標,執行身分設定檔才能正確運作。
當您設定執行身分設定檔時,會選取要與該執行身分設定檔相關聯的執行身分帳戶。 當您建立該關聯時,會指定將使用執行身分帳戶管理的類別、群組或物件,如下圖所示。 這會建立執行身分帳戶的目標。
.jpeg "選取執行身分設定檔和帳戶的目標")
散發是執行身分帳戶的屬性,您可以在其中指定哪些電腦將接收執行身分帳戶認證。 您可以選擇將執行身分帳戶認證散發到每部代理程式管理的電腦,或只散發到選取的電腦。
執行身分帳戶目標與散發範例:
實體電腦 ABC 裝載兩個 Microsoft SQL Server 執行個體,分別為執行個體 X 和執行個體 Y。每個執行個體使用 sa 帳戶的不同一組認證。 您使用執行個體 X 的 sa 認證建立執行身分帳戶,並使用執行個體 Y 的 sa 認證建立不同的執行身分帳戶。當您設定 SQL Server 執行身分設定檔時,會同時將執行個體 X 和 Y 的執行身分帳戶認證與該設定檔建立關聯,並指定執行身分帳戶執行個體 X 認證將用於 SQL Server 執行個體 X,以及執行身分帳戶 Y 認證將用於 SQL Server 執行個體 Y。接著,您設定這兩個執行身分帳戶散發到實體電腦 ABC。
選取執行身分帳戶的目標
如上圖所示,用來選取執行身分帳戶的目標的選項包括 [所有目標物件] 和 [選取的類別、群組或物件]。
當您選取 [所有目標物件] 時,執行身分設定檔會針對使用執行身分設定檔的工作流程的所有物件,使用此執行身分帳戶。 …
當您選取 [選取的類別、群組或物件] 時,可以限制執行身分帳戶用於您指定的類別、群組或物件。 …
.jpeg "System_CAPS_note") 注意事項 |
|---|
執行身分帳戶認證必須散發至… |
較安全和較不安全散發的比較
Operations Manager 會將執行身分帳戶認證散發到所有代理程式管理的電腦 (較不安全的選項),或只散發到您指定的電腦 (較安全的選項)。 如果 Operations Manager 根據探索自動散發執行身分帳戶,就會將風險引進您的環境,如下列範例所示。 這就是為什麼 Operations Manager 未包含自動散發選項的原因。
例如,Operations Manager 根據登錄機碼的存在,將電腦識別為裝載 SQL Server 2005。 您可以在未實際執行 SQL Server 2005 執行個體的電腦上建立該相同的登錄機碼。 如果 Operations Manager 自動將認證散發到識別為 SQL Server 2005 電腦的所有代理程式管理電腦,則認證就會傳送到冒充的 SQL Server 並可供該伺服器上具有系統管理員權限的某人使用。
當您建立執行身分帳戶時,系統會提示您選擇應以 [較不安全] 或 [較安全] 方式處理執行身分帳戶。 較安全是指當您將執行身分帳戶與執行身分設定檔建立關聯時,您必須提供要散發執行身分認證的目標特定電腦名稱。 藉由明確識別目的地電腦,您就可以防止前述的欺騙案例。 如果您選擇較不安全的選項,則不必提供任何特定電腦,認證將會散發到所有代理程式管理的電腦。
| 注意事項 |
|---|
Operations Manager 會執行測試來驗證執行身分認證,包括是否能夠使用認證來登入電腦本機。 如果帳戶沒有權限可以登入本機,就會產生警示。 |