Ausführende Konten und ausführende Profile in Operations Manager 2007

Letzte Aktualisierung: Mai 2009

Betrifft: Operations Manager 2007 R2, Operations Manager 2007 SP1

In einem Management Pack definierte Regeln, Tasks, Monitore und Ermittlungen erfordern die Ausführung von Anmeldeinformationen auf einem Zielcomputer. Standardmäßig werden Regeln, Tasks, Monitore und Ermittlungen unter Verwendung des Standardaktionskontos für den Agent oder Server ausgeführt. Wird die Aktion beispielsweise auf einem Agent ausgeführt, werden die für diese Aktion verwendeten Anmeldeinformationen vom Agentaktionskonto übernommen. Weitere Informationen zu Aktionskonten finden Sie im Abschnitt Kontoinformationen für Operations Manager 2007 in diesem Handbuch.

Mithilfe von ausführenden Konten und Profilen können Sie unterschiedliche Regeln, Tasks, Monitore und Ermittlungen unter verschiedenen Konten auf verschiedenen Computern ausführen. Management Packs haben nicht mehr dieselbe Identität; somit haben Sie die Möglichkeit, ein Konto mit geringen Rechten als Aktionskonto zu verwenden. Ausführende Konten unterstützen die folgenden Kontotypen:

  • Windows – Windows-Anmeldeinformationen, beispielsweise Domäne\Benutzername oder Benutzername@vollqualifizierter\_Domänenname sowie das zugehörige Kennwort

  • Community String – SNMP 2.0-Community String

  • Standardauthentifizierung – standardmäßige Webauthentifizierung

  • Einfache Authentifizierung – beliebige Kombination aus Benutzernamen und Kennwort, beispielsweise Webformular, SQL-Authentifizierung oder eine sonstige Lösung, die einen Benutzernamen und ein Kennwort akzeptiert

  • Digestauthentifizierung – standardmäßige Digest-Webauthentifizierung

  • Binäre Authentifizierung – benutzerdefinierte Authentifizierung

  • Aktionskonto – Windows-Anmeldeinformationen, die nur dem Aktionskonto-Profil zugewiesen werden können

Mithilfe von ausführenden Konten können Sie die Berechtigungen, die für Regeln, Tasks, Monitore und Ermittlungen für bestimmte Computer verwendet werden sollen, nach Bedarf festlegen.

Daten zwischen dem Stammverwaltungsserver und dem Zielcomputer werden verschlüsselt, wenn Anmeldeinformationen übertragen werden, und die Anmeldeinformationen werden sicher auf dem Zielcomputer gespeichert.

Ein bestimmter Task, eine bestimmte Regel, ein bestimmter Monitor oder eine bestimmte Ermittlung kann einem ausführenden Profil zugeordnet werden. Diese Zuordnung erfolgt bei Erstellung des Management Packs. Der Operations Manager-Administrator hat die Möglichkeit, andere ausführende Konten für das jeweilige ausführende Profil auf dem Zielcomputer zuzuweisen.

Ein Beispiel: Alice arbeitet gerade an einem SQL-Management Pack und erstellt den Task "Get DB Statistics". Alice weiß, dass die Berechtigungen des Aktionskontos nicht ausreichen werden, um diesen Task auszuführen; allerdings verfügt der SQL-Administrator Bob über ausreichende Berechtigungen. Alice muss den Task daher so konfigurieren, dass er mit Bobs Anmeldeinformationen ausgeführt wird.

Beim Erstellen des Management Packs erstellt Sam ein ausführendes Profil mit dem Namen "DB Operators" und ordnet es dem Taskmodul zu. Wenn das SQL-Management Pack, das den Task "Get DB Statistics" enthält, in Operations Manager 2007 importiert wird, wird auch das dem Task zugeordnete ausführende Profil importiert, und "DB-Operatoren" wird in der Liste der verfügbaren ausführenden Profile angezeigt.

Der Operations Manager 2007-Administrator erstellt ein ausführendes Konto, das mit den Anmeldeinformationen von Alice konfiguriert ist. Das ausführende Konto wird dann mit dem ausführenden Profil verknüpft, das der Task verwendet. Der Zielcomputer, auf dem das ausführende Konto verwendet wird, ist explizit im ausführenden Profil angegeben.

Hinweis

Das Standardkonto für das ausführende Profil ist das Aktionskonto. Wählen Sie als Aktionskonto ein Konto mit den entsprechenden Berechtigungen aus, und beachten Sie außerdem Folgendes: Ein Domänenadministrator ist i. d. R. ungeeignet.

Operations Manager 2007-Administratoren können mit jedem ausführenden Profil unterschiedliche ausführende Konten für verschiedene Computer verknüpfen. Diese Zuordnung erweist sich dann als nützlich, wenn das ausführende Profil auf einem anderen Computer verwendet wird und jeder Computer unterschiedliche Anmeldeinformationen erfordert. Alice verfügt über die Benutzerrechte zur Ausführung des Tasks auf Computer 1, auf dem SQL Server ausgeführt wird, während Bob über die Benutzerrechte für Computer 2 mit SQL Server verfügt. In dieser Situation werden separate ausführende Konten für Alice und Bob erstellt, und beide Konten werden ein und demselben ausführenden Profil zugeordnet. Diese Zuordnung muss auf zwei separaten Computern erfolgen.

Ausführende Profile in Operations Manager 2007

Neben den ausführenden Profilen, die Sie erstellen können, umfasst Operations Manager 2007 die in der nachfolgenden Tabelle beschriebenen ausführenden Profile. Diese Profile werden von Operations Manager 2007 selbst verwendet.

Name Beschreibung Ausführendes Konto

Active Directory-basiertes Agentzuweisungskonto

Dieses Konto wird vom Active Directory-basierten Agentzuweisungsmodul verwendet, um Zuweisungseinstellungen für Active Directory zu veröffentlichen.

Lokales System-Windows-Konto

Konto zur automatischen Agentverwaltung

Dieses Konto wird zur automatischen Diagnose von Agentfehlern verwendet.

Keine

Clientüberwachung-Aktionskonto

Falls dieses Konto angegeben ist, wird es von Operations Manager 2007 verwendet, um alle Clientüberwachungsmodule auszuführen. Falls dieses Konto nicht angegeben ist, verwendet Operations Manager 2007 das Standardaktionskonto.

Keine

Konto für verbundene Verwaltungsgruppen

Dieses Konto wird vom Operations Manager Management Pack verwendet, um die Integrität der Verbindung zu den verbundenen Verwaltungsgruppen zu überwachen.

Keine

Data Warehouse-Konto

Falls dieses Konto angegeben ist, wird es anstelle des Standardaktionskontos zur Ausführung aller Sammlungs- und Synchronisierungsregeln für das Data Warehouse verwendet. Sofern dieses Konto nicht vom Data Warehouse-SQL-Authentifizierungskonto überschrieben wird, wird es von den Sammlungs- und Synchronisierungsregeln zum Herstellen einer Verbindung zu den Data Warehouse-Datenbanken über die integrierte Windows-Authentifizierung verwendet.

Keine

Data Warehouse-Berichtsbereitstellungskonto

Die Auto-Bereitstellungsprozeduren für den Data Warehouse-Bericht führen mithilfe dieses Kontos verschiedene Operationen zur Berichtsbereitstellung aus.

Data Warehouse-Berichtsbereitstellungskonto

Data Warehouse-SQL Server-Authentifizierungskonto

Falls dieser Anmeldename und dieses Passwort festgelegt sind, werden sie von den Sammlungs- und Synchronisierungsregeln zum Herstellen einer Verbindung zu den Data Warehouse-Datenbanken über SQL Server-Authentifizierung verwendet.

Data Warehouse-SQL Server-Authentifizierungskonto

Standardaktionskonto

Das Standardaktionskonto des Integritätsdiensts

Die beim Setup bereitgestellten Kontoanmeldeinformationen.

MPUpdate-Aktionskonto

Dieses Konto wird von der MPUpdate-Benachrichtigung verwendet.

Keine

Benachrichtigungskonto

Von Benachrichtigungsregeln verwendetes Windows-Konto Verwenden Sie die E-Mail-Adresse dieses Kontos bei E-Mail-Nachrichten und Sofortnachrichten als Adresse im Feld "Von".

Keine

Konto für operative Datenbank

Dieses Konto wird zum Lesen und Schreiben von Daten in die Operations Manager-Datenbank verwendet.

Keine

Überwachungskonto mit besonderen Rechten

Dieses Profil wird für Überwachungen verwendet, die nur mit umfangreichen Berechtigungen für ein System ausgeführt werden können, beispielsweise Überwachungen, die die Berechtigungen "Lokales System" oder "Lokaler Administrator" erfordern. Das Profil ist standardmäßig auf die Berechtigung "Lokales System" gesetzt, sofern diese Einstellung nicht gezielt für ein Zielsystem außer Kraft gesetzt wird.

Keine

Berichts-SDK-SQL Server-Authentifizierungskonto

Falls dieser Anmeldename und dieses Passwort festgelegt sind, werden sie vom SDK-Dienst zum Herstellen einer Verbindung zu den Data Warehouse-Datenbanken über SQL Server-Authentifizierung verwendet.

Berichts-SDK-SQL Server-Authentifizierungskonto

Reserviert

Dieses Profil ist reserviert und darf nicht verwendet werden.

Keine

Validierungsbenachrichtigungsabonnement-Konto

Konto, das vom Modul für Validierungsbenachrichtigungsabonnements verwendet wird, das überprüft, ob Benachrichtigungsabonnements im Gültigkeitsbereich liegen. Dieses Profil erfordert Administratorrechte.

Lokales System-Windows-Konto

Windows-Cluster-Aktionskonto

Dieses Profil wird für alle Ermittlungs- und Überwachungsaktivitäten von Windows-Clusterkomponenten verwendet. Dieses Profil ist standardmäßig für die verwendeten Aktionskonten konfiguriert, sofern keine konkreten Benutzereingaben gemacht werden.

Keine

WS-Verwaltungsaktionskonto

Dieses Profil wird für den Zugriff auf die WS-Verwaltung verwendet.

Keine

Ausführende Konten und ausführende Profile in Operations Manager 2007 R2

Ab Operations Manager 2007 R2 stehen die folgenden zusätzlichen Features für ausführende Konten und ausführende Profile zur Verfügung: Verteilung und Adressierung. Die nachfolgenden Abschnitte enthalten Informationen zur Verteilung und Adressierung sowie die sicherheitsrelevanten Auswirkungen dieser Features.

Verteilung und Zielgruppenadressierung

Die Verteilung und die Zielgruppenadressierung müssen bei ausführenden Konten ordnungsgemäß konfiguriert werden, damit das ausführende Profil einwandfrei funktioniert.

Bei der Konfiguration eines ausführenden Profils wählen Sie die ausführenden Konten aus, die dem Profil zugewiesen werden sollen. Nach Einrichtung dieser Zuordnung können Sie angeben, für welche Klasse, welche Gruppe oder welches Objekt das ausführende Konto verwendet werden soll, um Tasks, Regeln, Monitore oder Ermittlungen auszuführen.

Verteilung ist ein Attribut ausführender Konten; Sie können vorgeben, welche Computer die Anmeldeinformationen eines ausführenden Kontos erhalten. Sie können die Anmeldeinformationen an alle mit Agent verwalteten Computer oder nur an ausgewählte Computer verteilen.

Beispiel einer Zielgruppenadressierung für ein ausführendes Konto: Der physische Computer ABC hostet zwei Instanzen von Microsoft SQL Server, Instanz X und Instanz Y. Jede Instanz verwendet eigene Anmeldeinformationen für das Konto sa . Sie können ein ausführendes Konto mit den sa -Anmeldeinformationen für Instanz X und ein anderes ausführendes Konto mit den sa -Anmeldeinformationen für Instanz Y erstellen. Wenn Sie das ausführende Profil für SQL Server konfigurieren, weisen Sie die Anmeldeinformationen beider ausführender Konten dem Profil zu (z. B. unter den Namen X und Y) und geben vor, dass die Anmeldeinformationen des ausführenden Kontos X für die Instanz X von SQL Server verwendet werden sollen und die Anmeldeinformationen des ausführenden Kontos Y für die Instanz Y. Sie müssen außerdem die Verteilung der Anmeldeinformationen beider ausführender Konten an den physischen Computer ABC konfigurieren.

Beispiel einer Verteilung für ein ausführendes Konto: SQL-Server1 und SQL-Server2 sind zwei verschiedene physische Computer. SQL-Server1 verwendet die Anmeldeinformationen "Benutzername1" und "Kennwort1" für das SQL-Konto sa . SQL-Server2 verwendet die Anmeldeinformationen "Benutzername2" und "Kennwort2" für das SQL-Konto sa . Das SQL-Management Pack umfasst ein ausführendes Profil, das für alle SQL-Server verwendet wird. Sie können nun ein ausführendes Konto für die Anmeldeinformationen von Benutzername1 und ein zweites für die von Benutzername2 einrichten. Beide ausführenden Konten sind dem gleichen ausführenden Profil für SQL Server zugewiesen und können für die Verteilung an die geeigneten Computer konfiguriert werden. Benutzername1 wird an SQL-Server1 verteilt und Benutzername2 an SQL-Server2. Die zwischen dem Verwaltungsserver und dem Zielcomputer gesendeten Kontoinformationen werden verschlüsselt.

Sicherheit bei ausführenden Konten

In Operations Manager 2007 SP1 werden die Anmeldeinformationen ausführender Konten an alle mit Agent verwalteten Computer verteilt (weniger sichere Option). In Operations Manager 2007 R2 werden die Anmeldeinformationen ausführender Konten nur an die von Ihnen angegebenen Computer verteilt (sicherere Option). Eine automatische Verteilung ausführender Konten auf Basis der Ermittlung würde ein Sicherheitsrisiko (s. Beispiel u.) bedeuten. Aus diesem Grund gibt es in Operations Manager keine Option zur automatischen Verteilung.

Beispiel: Operations Manager 2007 erkennt einen Computer als Server für SQL Server 2005 am Vorhandensein eines Registrierungsschlüssels. Derselbe Registrierungsschlüssel kann auf einem Computer erstellt werden, auf dem keine Instanz von SQL Server 2005 ausgeführt wird. Eine automatische Verteilung der Anmeldeinformationen an alle mit Agent verwalteten Computer, die als SQL Server 2005-Computer erkannt wurden, durch Operations Manager birgt das Risiko einer Verteilung an solche Computer, die nur vorgeben, SQL-Server zu sein. Dort stünden sie dann allen Personen mit Administratorberechtigung für diesen Server zur Verfügung.

Wenn Sie ein ausführendes Konto mithilfe von Operations Manager 2007 R2 erstellen, müssen Sie auswählen, ob dieses einer normalen Sicherheit oder einer erhöhten Sicherheit unterliegen soll. Bei Auswahl der erhöhten Sicherheit müssen Sie, wenn Sie das ausführende Konto einem ausführenden Profil zuweisen, die Namen der Computer angeben, an die die Anmeldeinformationen des Kontos verteilt werden sollen. Durch eine aktive Benennung der Zielcomputer können Sie das oben beschriebene Spoofingszenario vermeiden. Bei Auswahl der normalen Sicherheit müssen Sie keine Computer angeben. Die Anmeldeinformationen werden an alle mit Agent verwalteten Computer verteilt.

Hinweis

Bei allen Versionen von Operations Manager 2007 müssen die Anmeldeinformationen eines ausführenden Kontos über Rechte für eine lokale Anmeldung verfügen, damit das Modul funktioniert.

Siehe auch

Konzepte

Kontoinformationen für Operations Manager 2007
Rollenbasierte Sicherheit in Operations Manager 2007