服務、使用者與安全性帳戶
重要
此版本的 Operations Manager 已終止支援。 建議您 升級至 Operations Manager 2022。
在 Operations Manager 的安裝和每日作業期間,系統會要求您提供數個帳戶的認證。 此文章會提供這些帳戶的相關資訊,包括 SDK 與設定服務、代理程式安裝、資料倉儲寫入,以及資料讀取器帳戶。
注意
Operations Manager 安裝會布建所有必要的 SQL 許可權。
如果您使用網域帳戶和網域 群組原則 物件 (GPO) 已視需要設定預設密碼到期原則,則您必須根據排程變更服務帳戶的密碼、使用系統帳戶或設定帳戶,讓密碼永遠不會過期。
動作帳戶
在 System Center Operations Manager 中,管理伺服器、閘道伺服器與代理程式全都會執行一個稱為 MonitoringHost.exe 的處理序。 MonitoringHost.exe 可用來完成活動監視作業,例如執行監視器或執行工作。 MonitoringHost.exe 執行動作的其他範例包括:
- 監視與收集 Windows 事件記錄資料
- 監視與收集 Windows 效能計數器資料
- 監視與收集 Windows Management Instrumentation (WMI) 資料
- 執行動作,例如腳本或批次
MonitoringHost.exe 處理序執行所使用的帳戶稱為動作帳戶。 MonitoringHost.exe 是使用動作帳戶中指定的認證執行這些動作的處理序。 系統會針對每個帳戶建立新的 MonitoringHost.exe 執行個體。 在代理程式上執行的 MonitoringHost.exe 處理序所屬的動作帳戶稱為代理程式動作帳戶。 管理伺服器上的 MonitoringHost.exe 處理序使用的動作帳戶稱為管理伺服器動作帳戶。 閘道伺服器上的 MonitoringHost.exe 處理序使用的動作帳戶稱為閘道伺服器動作帳戶。 在管理群組中的所有管理伺服器上,建議您授與帳戶本機系統管理許可權,除非您的組織IT安全策略需要最低許可權的存取權。
除非動作已與執行身分配置檔相關聯,否則用來執行動作的認證將會是您為動作帳戶定義的認證。 如需有關執行身分帳戶和執行身分設定檔的詳細資訊,請參閱執行身分帳戶一節。 當代理程式當做預設動作帳戶和/或執行身分帳戶執行動作時,系統會為每個帳戶建立一個新的 MonitoringHost.exe 執行個體。
安裝 Operations Manager 時,您可以選擇指定網域帳戶或使用 LocalSystem。 最安全的作法是指定網域帳戶,這可讓您選取對您的環境擁有最低必要權限的使用者。
您可以針對代理程式的動作帳戶使用最低許可權帳戶。 在執行 Windows Server 2008 R2 或更新版本的電腦上,此帳戶必須具備下列最低權限:
- 本機 Users 群組的成員
- 本機 Performance Monitor Users 群組的成員
- 允許在本機 (SetInteractiveLogonRight) 許可權 (不適用於 Operations Manager 2019 和更新版本) 。
注意
上述最低權限為 Operations Manager 對於動作帳戶所能支援的最低權限。 其他執行身分帳戶可具備較低權限。 動作帳戶和執行身分帳戶所需的實際許可權將取決於計算機上執行的管理元件,以及其設定方式。 如需有關所需特定權限的詳細資訊,請參閱適當的管理組件指南。
針對動作帳戶指定的網域帳戶可以授與登入即服務 (SeServiceLogonRight) ,或如果您的安全策略不允許服務帳戶授與互動式登錄會話,例如需要智慧卡驗證時,請以 Batch (SeBatchLogonRight) 許可權登入。 修改登錄值 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\System Center\Health Service:
為動作帳戶指定的網域帳戶可獲授與「以服務方式登入」(SeServiceLogonRight) 權限。 若要變更健全狀況服務的登入類型,請修改登錄值 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\System Center\Health Service:
- 名稱:背景工作進程登入類型
- 類型:REG_DWORD
- 值:四個 (4) - 以批次方式登入、兩個 (2) - 允許在本機登入和五個 (5) - 登入即服務。 預設值為 2。
- 值:四個 (4) - 以 Batch 身分登入、兩個 (2) - 允許在本機登入,以及五個 (5) - 以服務登入。 預設值為 5。
您可以從位於資料夾中的管理伺服器或代理程式管理系統複製 ADMX 檔案healthservice.admx
,並在資料夾C:\Windows\PolicyDefinitions
Computer Configuration\Administrative Templates\System Center - Operations Manager
下設定 [監視動作帳戶登入類型] 設定,以集中管理設定 群組原則。 如需有關使用群組原則 ADMX 檔案的詳細資訊,請參閱管理群組原則 ADMX 檔案 \(英文\)。
System Center 設定服務和 System Center 資料存取服務帳戶
System Center 資料存取和 System Center 管理設定服務會使用 System Center 設定服務和 System Center 資料存取服務帳戶更新操作資料庫中的資訊。 動作帳戶所使用的認證會指派到操作資料庫中的 sdk_user 角色。
帳戶必須是網域使用者或 LocalSystem。 由 SDK 與設定服務帳戶所使用的帳戶,必須獲授與管理群組中的所有管理伺服器上的本機系統管理權限。 不支援使用本機用戶帳戶。 為了提高安全性,建議您使用網域用戶帳戶,而且與用於管理伺服器動作帳戶的帳戶不同。 LocalSystem 帳戶是 Windows 電腦上權限最高的帳戶,甚至高於本機 Administrator。 當服務在 LocalSystem 的內容下執行時,服務會完全控制電腦的本機資源,並在驗證和存取遠端資源時使用電腦的身分識別。 使用 LocalSystem 帳戶是安全性風險,因為它不接受最低許可權原則。 因為裝載 Operations Manager 資料庫之 SQL Server 執行個體上所需的權限,若管理群組中的管理伺服器被入侵,您將需要具有最低權限的網域帳戶以避免任何安全性風險。 原因如下:
- LocalSystem 沒有密碼
- 它沒有自己的配置檔
- 它在本機電腦上有極高權限
- 它會向遠端電腦出示電腦的認證
注意
如果 Operations Manager 資料庫安裝在不同於管理伺服器的電腦,而且您為資料存取和設定服務帳戶選取 LocalSystem,則管理伺服器電腦的電腦帳戶將會獲指派 Operations Manager 資料庫電腦上的 sdk_user 角色。
如需詳細資訊,請參閱 LocalSystem。
資料倉儲寫入帳戶
資料倉儲寫入帳戶是將資料從管理伺服器寫入至報表資料倉儲,並從 Operations Manager 資料庫讀取資料所使用的帳戶。 下表說明在安裝期間指派給網域使用者帳戶的角色與成員資格。
應用程式 | 資料庫/角色 | 角色/帳戶 |
---|---|---|
Microsoft SQL Server | OperationsManager | db_datareader |
Microsoft SQL Server | OperationsManager | dwsync_user |
Microsoft SQL Server | OperationsManagerDW | OpsMgrWriter |
Microsoft SQL Server | OperationsManagerDW | db_owner |
Operations Manager | 使用者角色 | Operations Manager 報表安全性系統管理員 |
Operations Manager | 執行身分帳戶 | 資料倉儲動作帳戶 |
Operations Manager | 執行身分帳戶 | 資料倉儲設定同步處理讀取器帳戶 |
資料讀取器帳戶
資料讀取器帳戶用來部署報表、定義 SQL Server Reporting Services 用來對報表資料倉儲執行查詢的使用者,以及定義 SQL Reporting Services 帳戶以連線到管理伺服器。 此網域使用者帳戶會新增到報表系統管理員使用者設定檔。 下表說明在安裝期間指派給該帳戶的角色與成員資格。
應用程式 | 資料庫/角色 | 角色/帳戶 |
---|---|---|
Microsoft SQL Server | Reporting Services 安裝執行個體 | 報表伺服器執行帳戶 |
Microsoft SQL Server | OperationsManagerDW | OpsMgrReader |
Operations Manager | 使用者角色 | Operations Manager 報表操作員 |
Operations Manager | 使用者角色 | Operations Manager 報表安全性系統管理員 |
Operations Manager | 執行身分帳戶 | 資料倉儲報表部署帳戶 |
Windows 服務 | SQL Server Reporting Services | 登入帳戶 |
確定您計畫用於資料讀取器帳戶的帳戶具已獲授與每部管理伺服器和裝載報表伺服器角色之 SQL Server 的「以服務方式登入」(適用於 2019 及更新版本) 或「以服務方式登入」與「允許本機登入」(適用於舊版) 權限。
代理程式安裝帳戶
執行探索型代理程式部署時,所使用的帳戶必須有要安裝代理程式之目標電腦上的系統管理員權限。 管理伺服器動作帳戶是代理程式安裝的預設帳戶。 如果管理伺服器動作帳戶沒有系統管理員許可權,操作員必須在目標計算機上提供具有系統管理許可權的使用者帳戶和密碼。 此帳戶在使用前會先經過加密,使用後即捨棄。
通知動作帳戶
通知動作帳戶是用來建立及傳送通知的帳戶。 這些認證必須具有足夠的權限,供用於通知的 SMTP 伺服器、立即訊息伺服器或 SIP 伺服器使用。
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應