Dienst-, Benutzer- und Sicherheitskonten
Wichtig
Diese Version von Operations Manager hat das Ende des Supports erreicht. Es wird empfohlen, ein Upgrade auf Operations Manager 2022 durchzuführen.
Während der Einrichtung und des täglichen Betriebs von Operations Manager werden Sie aufgefordert, Anmeldeinformationen für mehrere Konten anzugeben. Dieser Artikel enthält Informationen über jedes dieser Konten, einschließlich der Konten für SDK und Konfigurationsdienst, Agent-Installation, Data Warehouse-Schreibvorgänge und Datenleser.
Hinweis
Bei der Installation von Operations Manager werden alle erforderlichen SQL-Berechtigungen erteilt.
Wenn Sie Domänenkonten verwenden und für Ihre Domäne Gruppenrichtlinie Object (GPO) die Standardrichtlinie für den Kennwortablauf wie erforderlich festgelegt ist, müssen Sie entweder die Kennwörter für die Dienstkonten gemäß dem Zeitplan ändern, Systemkonten verwenden oder die Konten so konfigurieren, dass die Kennwörter nie ablaufen.
Aktionskonten
In System Center Operations Manager führen alle Verwaltungsserver, Gatewayserver und Agents einen Prozess namens „MonitoringHost.exe“ aus, der für Überwachungsaktivitäten wie das Ausführen eines Monitors oder eines Tasks verwendet wird. Die anderen Beispiele für die Aktionen, die MonitoringHost.exe ausführen, sind:
- Überwachen und Sammeln von Windows-Ereignisprotokolldaten
- Überwachen und Sammeln von Windows-Leistungsindikatordaten
- Überwachen und Sammeln von WMI-Daten
- Ausführen von Aktionen wie Skripts oder Batches
Das Konto, mit dem der Prozess MonitoringHost.exe ausgeführt wird, wird als das Aktionskonto bezeichnet. Diese Aktionen werden vom Prozess „MonitoringHost.exe“ unter Verwendung der im Aktionskonto angegebenen Anmeldeinformationen ausgeführt. Für jedes Konto wird eine neue Instanz von MonitoringHost.exe erstellt. Das Aktionskonto für den Prozess „MonitoringHost.exe“, der auf einem Agent ausgeführt wird, wird als Agent-Aktionskonto bezeichnet. Das Aktionskonto, das vom Prozess „MonitoringHost.exe“ auf einem Verwaltungsserver verwendet wird, wird als Verwaltungsserver-Aktionskonto bezeichnet. Das Aktionskonto, das vom Prozess „MonitoringHost.exe“ auf einem Gatewayserver verwendet wird, wird als Gatewayserver-Aktionskonto bezeichnet. Auf allen Verwaltungsservern in der Verwaltungsgruppe wird empfohlen, dem Konto lokale Administratorrechte zu gewähren, es sei denn, die IT-Sicherheitsrichtlinie Ihres organization erfordert den Zugriff mit den geringsten Berechtigungen.
Es sei denn, eine Aktion wurde einem ausführenden Profil zugeordnet, sind die Anmeldeinformationen, die zum Ausführen der Aktion verwendet werden, diejenigen, die Sie für das Aktionskonto definiert haben. Weitere Informationen zu ausführenden Konten und Profilen finden Sie unter Ausführende Konten. Wenn ein Agent Aktionen als Standardaktionskonto und/oder als ausführendes Konto ausführt, wird für jedes Konto eine neue Instanz von „MonitoringHost.exe“ erstellt.
Bei der Installation von Operations Manager haben Sie die Möglichkeit, ein Domänenkonto festzulegen oder sich für die Verwendung des lokalen Systems zu entscheiden. Sicherer ist die Verwendung eines Domänenkontos, mit dem Sie einen Benutzer auswählen können, der nur über die nötigsten Berechtigungen für Ihre Umgebung verfügt.
Sie können ein Konto mit den geringsten Rechten für das Aktionskonto des Agents verwenden. Auf Computern unter Windows Server 2008 R2 oder höher muss das Konto über folgende Mindestberechtigungen verfügen:
- Mitgliedschaft in der lokalen Benutzergruppe
- Mitgliedschaft in der lokalen Gruppe der Leistungsmonitorbenutzer
- Berechtigung „Lokale Anmeldung zulassen“ (SetInteractiveLogonRight; gilt nicht für Operations Manager 2019 und höher)
Hinweis
Bei den oben beschriebenen Mindestberechtigungen handelt es sich um die niedrigsten erforderlichen Berechtigungen, die von Operations Manager für das Aktionskonto unterstützt werden. Andere Ausführungen als Konten können niedrigere Berechtigungen haben. Welche Berechtigungen für das Aktionskonto und die ausführenden Konten erforderlich sind, hängt davon ab, welche Management Packs auf dem Computer ausgeführt werden und wie sie konfiguriert werden. Weitere Informationen zu den jeweils erforderlichen Berechtigungen finden Sie im Handbuch des entsprechenden Management Packs.
Dem Domänenkonto, das für das Aktionskonto angegeben ist, kann entweder die Berechtigung Log on as a Service (SeServiceLogonRight) oder Log on as Batch (SeBatchLogonRight) gewährt werden, wenn Ihre Sicherheitsrichtlinie es nicht zulässt, dass einem Dienstkonto eine interaktive Anmeldesitzung gewährt wird, z. B. wenn eine intelligente Karte Authentifizierung erforderlich ist. Ändern Sie den Registrierungswert unter HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\System Center\Health Service:
Dem für das Aktionskonto angegebenen Domänenkonto wird die Berechtigung zur Anmeldung als Dienst (SeServiceLogonRight) gewährt. Wenn Sie den Anmeldetyp für den Integritätsdienst ändern möchten, passen Sie den Registrierungswert unter HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\System Center\Health Service an:
- Name: Typ des Logon-Arbeitsprozesses
- Typ: REG_DWORD
- Werte: 4 (vier) – Anmeldung als Batch, 2 (zwei) – Lokale Anmeldung zulassen, 5 (fünf) – Anmeldung als Dienst. Der Standardwert ist 2.
- Werte: 4 (vier) – Anmeldung als Batch, 2 (zwei) – Lokale Anmeldung zulassen, 5 (fünf) – Anmeldung als Dienst. Der Standardwert ist 5.
Sie können die Einstellung auch zentral über die Gruppenrichtlinie verwalten, indem Sie die ADMX-Datei healthservice.admx von einem Verwaltungsserver oder von einem durch Agenten verwalteten System im Ordner C:\Windows\PolicyDefinitions kopieren und die Einstellung healthservice.admx im Ordner Computer Configuration\Administrative Templates\System Center - Operations Manager konfigurieren. Weitere Informationen zum Arbeiten mit den ADMX-Gruppenrichtliniendateien finden Sie unter Verwalten von ADMX-Gruppenrichtliniendateien.
Konto für System Center-Konfigurationsdienst und System Center-Datenzugriffsdienst
Das System Center-Konfigurationsdienst- und System Center-Datenzugriffsdienstkonto wird vom System Center-Datenzugriffsdienst und vom System Center-Verwaltungskonfigurationsdienst verwendet, um Informationen in der Betriebsdatenbank zu aktualisieren. Die für das Aktionskonto verwendeten Anmeldeinformationen werden der Rolle „sdk_user“ in der Betriebsdatenbank zugewiesen.
Bei dem Konto sollte es sich entweder um einen Domänenbenutzer oder um das lokale System handeln. Dem SDK- und Konfigurationsdienstkonto müssen auf allen Verwaltungsservern in der Verwaltungsgruppe lokale Administratorrechte gewährt werden. Die Verwendung des lokalen Benutzerkontos wird nicht unterstützt. Um die Sicherheit zu erhöhen, wird empfohlen, ein Domänenbenutzerkonto zu verwenden, und es handelt sich um ein anderes Konto als das Konto, das für das Verwaltungsserveraktionskonto verwendet wird. Ein LocalSystem-Konto ist das Konto mit den höchsten Rechten auf einem Windows-Computer, die Privilegien sind sogar noch höher als für den lokalen Administrator. Wenn ein Dienst im Kontext von LocalSystem ausgeführt wird, hat der Dienst die volle Kontrolle über die lokalen Ressourcen des Computers, und die Identität des Computers wird bei der Authentifizierung bei Remoteressourcen und beim Zugriff darauf verwendet. Die Verwendung des LocalSystem-Kontos ist ein Sicherheitsrisiko, da das Prinzip der geringsten Rechte nicht berücksichtigt wird. Aufgrund der erforderlichen Rechte in der SQL Server-Instanz, die die Operations Manager-Datenbank hostet, ist ein Domänenkonto mit den geringsten Berechtigungen erforderlich, um jedes Sicherheitsrisiko zu vermeiden, wenn der Verwaltungsserver in der Verwaltungsgruppe gefährdet ist. Die Gründe sind:
- Ein LocalSystem-Konto hat kein Kennwort.
- Es verfügt nicht über ein eigenes Profil.
- Es besitzt umfangreiche Berechtigungen auf dem lokalen Computer.
- Es stellt die Anmeldeinformationen des Computers für Remotecomputer bereit.
Hinweis
Wenn die Operations Manager-Datenbank auf einem Computer installiert ist, der vom Verwaltungsserver getrennt ist, und für das Datenzugriffs- und das Konfigurationsdienstkonto die Option „Lokales System“ ausgewählt ist, wird dem Computerkonto des Verwaltungsservercomputers auf dem Computer mit der Operations Manager-Datenbank die Rolle „sdk_user“ zugewiesen.
Weitere Informationen finden Sie unter LocalSystem.
Data Warehouse-Konto für Schreibvorgänge
Mit dem Konto für Data Warehouse-Schreibvorgänge werden Daten vom Verwaltungsserver in das Reporting-Data Warehouse geschrieben und Daten aus der Operations Manager-Datenbank gelesen. Die folgende Tabelle beschreibt die Rollen und Mitgliedschaften, die dem Domänenbenutzerkonto während des Setups zugewiesen werden.
| Application | Datenbank/Rolle | Rolle/Konto |
|---|---|---|
| Microsoft SQL Server | OperationsManager | db_datareader |
| Microsoft SQL Server | OperationsManager | dwsync_user |
| Microsoft SQL Server | OperationsManagerDW | OpsMgrWriter |
| Microsoft SQL Server | OperationsManagerDW | db_owner |
| Operations Manager | Benutzerrolle | Administratoren für die Sicherheit von Operations Manager-Berichten |
| Operations Manager | Ausführendes Konto | Data Warehouse-Aktionskonto |
| Operations Manager | Ausführendes Konto | Lesekonto für die Synchronisierung der Data Warehouse-Konfiguration |
Datenlesekonto
Das Datenlesekonto wird verwendet, um Berichte bereitzustellen und um zu definieren, welcher Benutzer von SQL Server Reporting Services zum Ausführen von Abfragen für das Reporting-Data Warehouse genutzt wird. Zudem wird mit diesem Konto das SQL Server Reporting Services-Konto definiert, das zum Herstellen der Verbindung mit dem Verwaltungsserver verwendet wird. Dieses Domänenbenutzerkonto wird dem Benutzerprofil des Berichtsadministrators hinzugefügt. Die folgende Tabelle beschreibt die Rollen und Mitgliedschaften, die dem Konto während des Setups zugewiesen werden.
| Application | Datenbank/Rolle | Rolle/Konto |
|---|---|---|
| Microsoft SQL Server | Reporting Services-Installationsinstanz | Berichtsserver-Ausführungskonto |
| Microsoft SQL Server | OperationsManagerDW | OpsMgrReader |
| Operations Manager | Benutzerrolle | Operations Manager-Bericht-Operatoren |
| Operations Manager | Benutzerrolle | Administratoren für die Sicherheit von Operations Manager-Berichten |
| Operations Manager | Ausführendes Konto | Konto für die Data Warehouse-Berichtbereitstellung |
| Windows-Dienst | SQL Server Reporting Services | Anmeldekonto |
Stellen Sie sicher, dass das Konto, das Sie als Datenlesekonto verwenden möchten, über die Rechte „Anmeldung als Dienst“ (für 2019 und höhere Versionen) bzw. „Anmeldung als Dienst“ und „Lokale Anmeldung zulassen“ (für ältere Versionen) für jeden Verwaltungsserver und die SQL Server-Instanz mit der Rolle „Berichtsserver“ verfügt.
Agent-Installationskonto
In einer ermittlungsbasierten Bereitstellung ist ein Konto mit Administratorrechten für die Computer erforderlich, die als Zielcomputer für die Agent-Installation dienen. Das Verwaltungsserver-Aktionskonto ist das Standardkonto für die Agentinstallation. Wenn das Verwaltungsserveraktionskonto nicht über Administratorrechte verfügt, muss der Operator ein Benutzerkonto und ein Kennwort mit Administratorrechten auf den Zielcomputern bereitstellen. Dieses Konto wird vor der Verwendung verschlüsselt und anschließend verworfen.
Konto für Benachrichtigungsaktionen
Das Konto für Benachrichtigungsaktionen wird zum Erstellen und Senden von Benachrichtigungen verwendet. Die für dieses Konto verwendeten Anmeldeinformationen müssen über ausreichende Berechtigungen für den SMTP-Server, den Instant Messaging-Server bzw. den SIP-Server verfügen, den Sie für Benachrichtigungen verwenden.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für