Kontoinformationen für Operations Manager 2007
Letzte Aktualisierung: Mai 2009
Betrifft: Operations Manager 2007 R2, Operations Manager 2007 SP1
Beim Setup und Betrieb von Operations Manager 2007 werden Sie aufgefordert, Anmeldeinformationen für mehrere Konten bereitzustellen. Gleich zu Beginn dieses Abschnitts finden Sie Informationen zu Aktionskonten. Darüber hinaus erhalten Sie Informationen zu anderen Konten wie dem SDK- und Konfigurationsdienstkonto, dem Agentinstallationskonto, dem Data Warehouse-Konto für Schreibvorgänge und dem Datenlesekonto.
Was ist ein Aktionskonto?
Die verschiedenen Operations Manager 2007-Serverrollen – Stammverwaltungsserver, Verwaltungsserver, Gatewayserver und Agent – umfassen alle den Prozess MonitoringHost.exe. MonitoringHost.exe steht für das, was jede Serverrolle verwendet, um Überwachungsaktivitäten wie das Ausführen eines Monitors oder das Ausführen eines Tasks erledigen zu können. Ein Beispiel: Wenn ein Agent das Ereignisprotokoll abonniert, um Ereignisse zu lesen, führt der Prozess MonitoringHost.exe diese Aktivitäten aus. Das Konto, unter dem ein MonitoringHost.exe-Prozess ausgeführt wird, wird als Aktionskonto bezeichnet. Das Aktionskonto für den MonitoringHost.exe-Prozess, der auf einem Agent ausgeführt wird, wird als Agentaktionskonto bezeichnet. Das Aktionskonto, das vom MonitoringHost.exe-Prozess auf einem Verwaltungsserver verwendet wird, wird als Verwaltungsserver-Aktionskonto bezeichnet. Das Aktionskonto, das vom MonitoringHost.exe-Prozess auf einem Gatewayserver verwendet wird, wird als Gatewayserver-Aktionskonto bezeichnet.
Agentaktionskonto
Sofern eine Aktion nicht mit einem ausführenden Profil verknüpft ist, werden für die Ausführung der Aktion die Anmeldeinformationen verwendet, die für das Aktionskonto definiert wurden. Weitere Informationen zum ausführenden Profil finden Sie unter Ausführende Konten und ausführende Profile in Operations Manager 2007 in diesem Handbuch. Hier einige Beispiele für Aktionen:
Überwachen und Sammeln von Windows-Ereignisprotokolldaten
Überwachen und Sammeln von Windows-Leistungsindikatordaten
Überwachen und Sammeln von WMI-Daten
Ausführen von Aktionen wie Skripts oder Batches
MonitoringHost.exe ist der Prozess, der diese Aktionen unter Verwendung der im Aktionskonto angegebenen Anmeldeinformationen ausführt. Für jedes Konto wird eine neue Instanz von MonitoringHost.exe erstellt.
Verwenden eines Kontos mit geringen Rechten
Wenn Sie Operations Manager 2007 installieren, können Sie bei Zuweisung des Aktionskontos eine dieser beiden Optionen auswählen:
Lokales System
Domänen- oder lokales Konto
Ein gängiger Ansatz ist die Verwendung eines Domänenkontos, mit dem Sie einen Benutzer auswählen können, der nur über die nötigsten Berechtigungen für Ihre Umgebung verfügt.
Auf Computern mit dem Betriebssystem Windows Server 2003, Windows Server 2003 R2 oder Windows Vista muss das Standardaktionskonto über die folgenden Mindestberechtigungen verfügen:
Mitgliedschaft in der lokalen Benutzergruppe
Mitgliedschaft in der lokalen Gruppe der Leistungsmonitorbenutzer
Berechtigung "Lokal anmelden zulassen" (SeInteractiveLogonRight)
Wichtig
Bei den oben beschriebenen Mindestberechtigungen handelt es sich um die niedrigsten erforderlichen Berechtigungen, die Operations Manager 2007 für das Aktionskonto unterstützt. Andere ausführende Konten können niedrigere Berechtigungen haben. Welche Berechtigungen für ausführende Konten tatsächlich erforderlich sind, hängt davon ab, welche Management Packs auf dem Computer ausgeführt werden und wie sie konfiguriert sind. Weitere Informationen zu den jeweils erforderlichen Berechtigungen finden Sie im Handbuch des entsprechenden Management Packs.
Beachten Sie bei der Festlegung von Anmeldeinformationen für das Aktionskonto Folgendes:
Ein Konto mit geringen Rechten kann nur auf Computern unter Windows Server 2003, Windows Server 2003 R2 und Windows Vista verwendet werden. Auf Computern unter Windows 2000 und Windows XP muss das Aktionskonto ein Mitglied der lokalen Sicherheitsgruppe Administratoren oder des lokalen Systems sein.
Für Agents, mit denen Domänencontroller überwacht werden, wird nur ein Konto mit geringen Rechten benötigt.
Die Verwendung eines Domänenkontos erfordert eine Kennwortaktualisierung, die mit Ihren Kennwortablaufrichtlinien übereinstimmt.
Sie müssen den System Center-Verwaltungsdienst beenden und neu starten, wenn das Aktionskonto für die Verwendung eines Kontos mit geringen Rechten konfiguriert ist und Sie das Konto den erforderlichen Gruppen hinzugefügt haben, während der System Center-Verwaltungsdienst ausgeführt wurde.
Benachrichtigungsaktionskonto
Das Benachrichtigungsaktionskonto ist ein ausführendes Konto, das vom Benutzer erstellt wurde, um Benachrichtigungen zu konfigurieren. Dieses Aktionskonto wird zum Erstellen und Senden von Benachrichtigungen verwendet. Vergewissern Sie sich, dass die für dieses Konto verwendeten Anmeldeinformationen über ausreichende Berechtigungen für den SMTP-Server, den Instant Messaging-Server oder den SIP-Server verfügen, den Sie für Benachrichtigungen verwenden.
Wenn Sie das Kennwort für die Anmeldeinformationen ändern, die Sie für das Benachrichtigungsaktionskonto eingegeben haben, müssen Sie dieselben Kennwortänderungen für das ausführende Konto vornehmen.
Verwalten der Anmeldeinformationen des Aktionskontos
Für das von Ihnen ausgewählte Konto ermittelt Operations Manager das Kennwortablaufdatum und generiert 14 Tage vor Ablauf des Kontos eine entsprechende Warnung. Wenn Sie das Kennwort in Active Directory ändern, können Sie die das Kennwort für das Aktionskonto in Operations Manager auf der Registerkarte Konto der Seite Eigenschaften des ausführenden Kontos ändern. Weitere Informationen zum Verwalten der Anmeldeinformationen für Aktionskonten finden Sie unter Ändern der Anmeldeinformationen für das Aktionskonto im Operations Manager (https://go.microsoft.com/fwlink/?LinkId=88304).
Sie können das Windows PowerShell-Skript set-ActionAccount.ps1 verwenden, um das Aktionskonto auf mehreren Computer festzulegen. Weitere Informationen finden Sie im SC Ops Mgr 2007 Resource Kit (https://go.microsoft.com/fwlink/?LinkId=92596, möglicherweise in englischer Sprache). Das Skript ermöglicht die Festlegung des Aktionskontos auf allen definierten Computern einer Computergruppe. Siehe hierzu im Sicherheitshandbuch den Abschnitt "Festlegen des Aktionskontos auf mehreren Computern in Operations Manager 2007".
SDK und Konfigurationsdienstkonto
Das SDK- und Konfigurationsdienstkonto ist ein Satz von Anmeldeinformationen, der vom System Center-Datenzugriffsdienst und vom System Center-Verwaltungskonfigurationsdienst verwendet wird, um Informationen in der Operations Manager-Datenbank zu aktualisieren und zu lesen. Operations Manager stellt sicher, dass die für das SDK- und Konfigurationsaktionskonto verwendeten Anmeldeinformationen der Rolle sdk_user in der Operations Manager-Datenbank zugewiesen werden. Das SDK- und Konfigurationsdienstkonto kann entweder als "Lokales System" oder als Domänenkonto konfiguriert werden. Ein lokales Benutzerkonto wird nicht unterstützt.
Wenn sich der Stammverwaltungsserver und die Operations Manager-Datenbank auf unterschiedlichen Computern befinden, muss das SDK- und Konfigurationsdienstkonto in ein Domänenkonto geändert werden. Zur Steigerung der Sicherheit wird empfohlen, ein anderes Konto als das zu verwenden, das für das Verwaltungsserver-Aktionskonto verwendet wird. Informationen zum Ändern dieser Konten finden Sie im Knowledge Base-Artikel Wie Ändern der An-Meldeinformation für das OpsMgr SDK Service und das OpsMgr Config Service in Microsoft System Center Operations Manager 2007 (https://go.microsoft.com/fwlink/?LinkId=112435).
Agentinstallationskonto
Wenn Sie die auf Ermittlung basierende Agentbereitstellung implementieren, werden Sie zur Eingabe eines Kontos mit Administratorrechten aufgefordert. Mit diesem Konto wird der Agent auf dem Computer installiert; daher muss es sich um einen lokalen Administrator auf allen Computern handeln, auf denen Sie Agents bereitstellen. Das Verwaltungsserver-Aktionskonto ist das Standardkonto für die Agentinstallation. Wenn das Verwaltungsserver-Aktionskonto nicht über Administratorrechte verfügt, wählen Sie Anderes Benutzerkonto aus, und geben ein Konto mit Administratorrechten ein. Dieses Konto wird vor der Verwendung verschlüsselt und anschließend verworfen.
Data Warehouse-Konto für Schreibvorgänge
Das Data Warehouse-Konto für Schreibvorgänge schreibt Daten vom Stammverwaltungsserver oder Verwaltungsserver in das Berichterstattungs-Data Warehouse und liest Daten aus der Operations Manager-Datenbank. Die Anmeldeinformationen, die Sie für dieses Konto bereitstellen, werden zu einem Mitglied der jeweiligen Anwendungsrolle (siehe hierzu die Beschreibungen in der nachfolgende Tabelle).
| Anwendung | Datenbank/Rolle | Rolle/Konto |
|---|---|---|
Microsoft SQL Server 2005 |
OperationsManager |
db_datareader |
Microsoft SQL Server 2005 |
OperationsManager |
dwsync_user |
Microsoft SQL Server 2005 |
OperationsManagerDW |
OpsMgrWriter |
Microsoft SQL Server 2005 |
OperationsManagerDW |
db_owner |
Operations Manager 2007 |
Benutzerrolle |
Operations Manager-Bericht-Sicherheitsadministratoren |
Operations Manager 2007 |
Ausführendes Konto |
Data Warehouse-Aktionskonto |
Operations Manager 2007 |
Ausführendes Konto |
Data Warehouse-Konfigurationssynchronisierungs-Readerkonto |
Wenn Sie das Kennwort für die Anmeldeinformationen ändern, die Sie für das Data Warehouse-Konto für Schreibvorgänge eingegeben haben, müssen Sie dieselben Kennwortänderungen für die folgenden Konten vornehmen:
Ausführendes Konto mit der Bezeichnung Data Warehouse-Aktionskonto
Ausführendes Konto mit der Bezeichnung Data Warehouse-Konfigurationssynchronisierungs-Readerkonto
Datenlesekonto
Dieses Konto wird verwendet, um Berichte bereitzustellen, zu definieren, welcher Benutzer von SQL Reporting Services verwendet wird, um Abfragen für das Berichterstattungs-Data Warehouse auszuführen, und dafür, über das SQL Reporting Services IIS-Anwendungspoolkonto eine Verbindung zum Stammverwaltungsserver herzustellen. Dieses Konto wird dem Benutzerprofil für Berichterstattungsadministratoren hinzugefügt.
Die Anmeldeinformationen, die Sie für dieses Konto bereitstellen, werden zu einem Mitglied der jeweiligen Anwendungsrolle (siehe hierzu die Beschreibungen in der nachfolgende Tabelle).
| Anwendung | Datenbank/Rolle | Rolle/Konto |
|---|---|---|
Microsoft SQL Server 2005 |
Berichtsserver-Installationsinstanz |
Berichtsserver-Ausführungskonto |
Microsoft SQL Server 2005 |
OperationsManagerDW |
OpsMgrReader |
Operations Manager 2007 |
Benutzerrolle |
Operations Manager-Bericht-Sicherheitsadministratoren |
Operations Manager 2007 |
Benutzerrolle |
Operations Manager-Bericht-Operatoren |
Operations Manager 2007 |
Ausführendes Konto |
Data Warehouse-Berichtsbereitstellungskonto |
IIS |
Anwendungspool |
Berichtsserver$<INSTANZ> |
Windows-Dienst |
SQL Server Reporting Services |
Anmeldekonto |
Wenn Sie das Kennwort für die Anmeldeinformationen ändern, die Sie für das Datenlesekonto eingegeben haben, müssen Sie dieselben Kennwortänderungen für die folgenden Konten vornehmen:
Berichtsserver-Ausführungskonto
Das SQL Server Reporting Services-Dienstkonto auf dem Hostcomputer für SQL Server Reporting Services (SRS)
Das Anwendungspoolkonto der IIS-Berichtsserver$<-INSTANZ>
Das ausführende Konto mit der Bezeichnung Data Warehouse-Berichtsbereitstellungskonto
Siehe auch
Tasks
Ändern des Kennworts des Berichtsserver-Ausführungskontos in Operations Manager 2007
Ändern des Kennworts des Berichtsserver-Ausführungskontos in Operations Manager 2007
Ändern des SDK- und Konfigurationsdienstkontos in Operations Manager 2007
Ändern des Kennworts des Windows-Dienstkontos für den SQL Server Reporting Service in Operations Manager 2007
Festlegen des Aktionskontos auf mehreren Computern in Operations Manager 2007