Ausführende Konten und Profile
Wichtig
Diese Version von Operations Manager hat das Supportende erreicht. Sie sollten ein Upgrade auf Operations Manager 2019 durchführen.
Ausführende Konten definieren die Anmeldeinformationen, die für bestimmte, vom Operations Manager-Agent ausgeführte Aktionen verwendet werden. Diese Konten werden zentral über die Betriebskonsole verwaltet und verschiedenen ausführenden Konten zugewiesen. Wenn einer bestimmten Aktion kein ausführendes Profil zugewiesen wurde, wird sie mit dem Standardaktionskonto ausgeführt. In einer Umgebung mit niedrigen Berechtigungen verfügt das Standardkonto möglicherweise nicht über die erforderlichen Berechtigungen für eine bestimmte Aktion. Um diese Berechtigung bereitzustellen, kann ein ausführendes Profil verwendet werden. Management Packs installieren möglicherweise ausführende Profile und ausführende Konten, um erforderliche Aktionen zu unterstützen. Informieren Sie sich in diesem Fall in der zugehörigen Dokumentation über die erforderliche Konfiguration.
Ausführende Standardkonten
Die folgende Tabelle zeigt die ausführenden Standardkonten, die von Operations Manager während des Setups erstellt werden.
| Name | BESCHREIBUNG | Anmeldeinformationen |
|---|---|---|
| Domain\ManagementServerActionAccount | Hierbei handelt es sich um das Benutzerkonto, mit dem standardmäßig alle Regeln auf Verwaltungsservern ausgeführt werden. | Domänenkonto, das während des Setups als Verwaltungsserver-Aktionskonto angegeben wird |
| Lokales Systemaktionskonto | Integriertes Systemkonto, das als Aktionskonto verwendet wird. | Lokales Windows-Systemkonto |
| APM-Konto | Konto zur Anwendungsleistungsüberwachung (Application Performance Monitoring, APM), mit dem Schlüssel zur Verschlüsselung vertraulicher Informationen bereitgestellt werden, die während der Überwachung von der Anwendung gesammelt wurden. | Verschlüsseltes binäres Konto |
| Data Warehouse-Aktionskonto | Wird zur Authentifizierung bei der SQL Server-Instanz verwendet, auf der die OperationsManagerDW-Datenbank gehostet wird. | Domänenkonto, das während des Setups als Data Warehouse-Konto für Schreibvorgänge angegeben wird |
| Data Warehouse-Berichtsbereitstellungskonto | Wird zur Authentifizierung zwischen dem Verwaltungsserver und der SQL Server-Instanz verwendet, auf der die Operations Manager Reporting Services gehostet werden. | Domänenkonto, das während des Setups als Datenlesekonto angegeben wird |
| Lokales Windows-Systemkonto | Integriertes Systemkonto, das vom Agent-Aktionskonto verwendet wird. | Lokales Windows-Systemkonto |
| Windows-Netzwerkdienstkonto | Integriertes Netzwerkdienstkonto. | Windows-Netzwerkdienstkonto |
Ausführende Standardprofile
Die folgende Tabelle zeigt die ausführenden Profile, die von Operations Manager während des Setups erstellt werden. Beachten Sie Folgendes: Wenn das ausführende Konto für ein bestimmtes Profil leer gelassen wird, wird das Standardaktionskonto verwendet (je nachdem, wo die Aktion ausgeführt wird, entweder das Verwaltungsserver-Aktionskonto oder das Agent-Aktionskonto).
| Name | BESCHREIBUNG | Ausführendes Konto |
|---|---|---|
| Active Directory-basiertes Agentzuweisungskonto | Dieses Konto wird vom Active Directory-basierten Agent-Zuweisungsmodul verwendet, um Zuweisungseinstellungen für Active Directory zu veröffentlichen. | Lokales Windows-Systemkonto |
| Konto zur automatischen Agentverwaltung | Dieses Konto wird zur automatischen Diagnose von Agent-Fehlern verwendet. | Keine |
| Aktionskonto der Clientüberwachung | Wird, sofern angegeben, von Operations Manager für die Ausführung sämtlicher Clientüberwachungsmodule verwendet. Wenn das Konto nicht angegeben ist, verwendet Operations Manager das Standardaktionskonto. | Keine |
| Konto der verbundenen Verwaltungsgruppe | Dieses Konto wird von Operations Manager-Management Packs verwendet, um die Integrität der Verbindungen mit den verbundenen Verwaltungsgruppen zu überwachen. | Keine |
| Data Warehouse-Konto | Falls dieses Konto angegeben ist, wird es anstelle des Standardaktionskontos zur Ausführung aller Sammlungs- und Synchronisierungsregeln für das Data Warehouse verwendet. Wenn dieses Konto vom Data Warehouse-SQL Server-Authentifizierungskonto nicht überschrieben wird, wird es von den Sammlungs- und Synchronisierungsregeln zum Herstellen einer Verbindung mit den Data Warehouse-Datenbanken über die integrierte Windows-Authentifizierung verwendet. | Keine |
| Data Warehouse-Berichtsbereitstellungskonto | Die Prozeduren für die automatische Bereitstellung von Data Warehouse-Berichten führen mithilfe dieses Kontos verschiedene Vorgänge im Zusammenhang mit der Berichtsbereitstellung aus. | Data Warehouse-Berichtsbereitstellungskonto |
| Data Warehouse-SQL Server-Authentifizierungskonto | Sofern angegeben, werden dieser Anmeldename und dieses Kennwort von den Sammlungs- und Synchronisierungsregeln verwendet, um unter Verwendung der SQL Server-Authentifizierung eine Verbindung mit den Data Warehouse-Datenbanken herzustellen. | Data Warehouse-SQL Server-Authentifizierungskonto |
| Aktionskonto für die Management Pack-Aktualisierung | Dieses Konto wird von der MPUpdate-Benachrichtigung verwendet. | Keine |
| Benachrichtigungskonto | Von Benachrichtigungsregeln verwendetes Windows-Konto Die E-Mail-Adresse dieses Kontos wird bei E-Mail-Nachrichten und Sofortnachrichten als Absender verwendet. | Keine |
| Betriebsdatenbankkonto | Dieses Konto wird zum Lesen und Schreiben von Daten in der Operations Manager-Datenbank verwendet. | Keine |
| Privilegiertes Überwachungskonto | Dieses Profil wird für Überwachungen verwendet, die nur mit hohen Berechtigungen für ein System ausgeführt werden können, beispielsweise Überwachungen, die die Berechtigung „Lokales System“ oder „Lokaler Administrator“ erfordern. Dieses Profil ist standardmäßig auf die Berechtigung „Lokales System“ festgelegt, sofern diese Einstellung nicht für ein Zielsystem speziell außer Kraft gesetzt wird. | Keine |
| Konto für SDK SQL Server-Authentifizierung bei Berichterstattung | Sofern angegeben, werden dieser Anmeldename und dieses Kennwort vom SDK-Dienst verwendet, um unter Verwendung der SQL Server-Authentifizierung eine Verbindung mit den Data Warehouse-Datenbanken herzustellen. | Konto für SDK SQL Server-Authentifizierung bei Berichterstattung |
| Reserviert | Dieses Profil ist reserviert und darf nicht verwendet werden. | Keine |
| Konto zur Validierung von Benachrichtigungsabonnements | Dieses Konto wird vom Modul zur Überprüfung von Benachrichtigungsabonnements verwendet, das überprüft, ob Benachrichtigungsabonnements im Gültigkeitsbereich liegen. Dieses Profil benötigt Administratorrechte. | Lokales Windows-Systemkonto |
| SNMP-Überwachungskonto | Dieses Konto wird für die SNMP-Überwachung verwendet. | Keine |
| SNMPv3-Überwachungskonto | Dieses Konto wird für die SNMPv3-Überwachung verwendet. | Keine |
| UNIX/Linux-Aktionskonto | Dieses Konto wird für UNIX- und Linux-Zugriffe mit niedrigen Berechtigungen verwendet. | Keine |
| Konto für die UNIX/Linux-Agentwartung | Dieses Konto wird für privilegierte Wartungsvorgänge an UNIX/Linux-Agents verwendet. Agentwartungsvorgänge sind ohne dieses Konto nicht möglich. | Keine |
| Privilegiertes UNIX/Linux-Konto | Dieses Konto wird für den Zugriff auf geschützte Ressourcen und Aktionen in UNIX/Linux-Systemen verwendet, für die hohe Berechtigungen erforderlich sind. Einige der Regeln, Diagnosen und Wiederherstellungen sind ohne dieses Konto nicht möglich. | Keine |
| Aktionskonto des Windows-Clusters | Dieses Profil wird für alle Ermittlungen und Überwachungen der Windows-Clusterkomponenten verwendet. Dieses Profil ist standardmäßig auf das verwendete Aktionskonto festgelegt, sofern vom Benutzer keine spezielle Festlegung vorgenommen wurde. | Keine |
| Aktionskonto der WS-Verwaltung | Dieses Profil dient dem WS-Verwaltungszugriff. | Keine |
Informationen zu Verteilung und Zielauswahl
Damit das ausführende Profil ordnungsgemäß funktioniert, müssen die Verteilung und Zielauswahl für ausführende Konten richtig konfiguriert sein.
Bei der Konfigurierung eines ausführenden Profils wählen Sie die ausführenden Konten aus, die dem Profil zugewiesen werden sollen. Nachdem Sie diese Zuordnung erstellt haben, können Sie die Klasse, die Gruppe oder das Objekt auswählen, für die bzw. das das ausführende Konto verwendet werden soll, um Tasks, Regeln, Monitore und Ermittlungen auszuführen.
Die Verteilung ist ein Attribut eines ausführenden Kontos, und Sie können angeben, für welche Computer die Anmeldeinformationen des ausführenden Kontos bereitgestellt werden sollen. Sie können die Anmeldeinformationen an alle mit Agent verwalteten Computer oder nur an ausgewählte Computer verteilen.
Beispiel für die Zielauswahl durch ausführende Konten: Der physische Computer ABC dient als Host für zwei Instanzen von Microsoft SQL Server, Instanz X und Instanz Y. Jede Instanz verwendet eigene Anmeldeinformationen für das Konto „sa“. Sie erstellen ein ausführendes Konto mit den Anmeldeinformationen von „sa“ für Instanz X und ein weiteres ausführendes Konto mit den Anmeldeinformationen von „sa“ für Instanz Y. Wenn Sie das ausführende Profil für SQL Server konfigurieren, weisen Sie dem Profil die Anmeldeinformationen beider ausführender Konten zu und legen fest, dass die Anmeldeinformationen des ausführenden Kontos X für die Instanz X von SQL Server und die Anmeldeinformationen des ausführenden Kontos Y für die Instanz Y verwendet werden sollen. Anschließend müssen Sie auch die Verteilung der Anmeldeinformationen beider ausführender Konten an den physischen Computer ABC konfigurieren.
Beispiel für die Verteilung ausführender Konten: SQL Server1 und SQL Server2 sind zwei verschiedene physische Computer. SQL Server1 verwendet die Anmeldeinformationen UserName1 und Password1 für das SQL-Konto „sa“. SQL Server2 verwendet die Anmeldeinformationen UserName2 und Password2 für das SQL-Konto „sa“. Das SQL-Management Pack verfügt über ein einziges ausführendes SQL-Profil, das für alle SQL Server-Instanzen verwendet wird. Dann können Sie ein ausführendes Konto für die Anmeldeinformationen von UserName1 und ein anderes ausführendes Konto für die Anmeldeinformationen von UserName2 definieren. Beide ausführenden Konten können dem einzigen ausführenden SQL Server-Profil zugeordnet und für die Verteilung an die entsprechenden Computer konfiguriert werden. Dies bedeutet: UserName1 wird an SQL Server1 verteilt, UserName2 wird an SQL Server2 verteilt. Die zwischen dem Verwaltungsserver und dem Zielcomputer gesendeten Kontoinformationen werden verschlüsselt.
Sicherheit bei ausführenden Konten
In System Center Operations Manager werden Anmeldeinformationen für ausführende Konten nur an die von Ihnen angegebenen Computer verteilt (die sicherere Option). Eine automatische Verteilung ausführender Konten auf der Basis der Ermittlung würde ein Sicherheitsrisiko für Ihre Umgebung bedeuten, wie im folgenden Beispiel veranschaulicht. Aus diesem Grund gibt es in Operations Manager keine Option zur automatischen Verteilung.
Beispiel: Operations Manager identifiziert einen Computer am Vorhandensein eines Registrierungsschlüssels als Host für SQL Server 2016. Dieser Registrierungsschlüssel kann aber auch auf einem Computer erstellt werden, auf dem keine Instanz von SQL Server 2016 ausgeführt wird. Eine automatische Verteilung der Anmeldeinformationen durch Operations Manager an alle mit Agents verwalteten Computer, die als SQL Server 2016-Computer identifiziert wurden, birgt das Risiko einer Verteilung an solche Computer, die nur vorgeben, SQL-Server zu sein. Dort stünden sie dann allen Personen mit Administratorberechtigung für diesen Server zur Verfügung.
Wenn Sie mithilfe von Operations Manager ein ausführendes Konto erstellen, müssen Sie auswählen, ob dieses als „sicherer“ oder „weniger sicher“ konfiguriert werden soll. Bei Auswahl der sichereren Option müssen Sie, wenn Sie das ausführende Konto einem ausführenden Profil zuweisen, die Namen der Computer angeben, an die die Anmeldeinformationen des Kontos verteilt werden sollen. Durch eine aktive Benennung der Zielcomputer können Sie das oben beschriebene Spoofingszenario vermeiden. Bei Auswahl der normalen Sicherheit müssen Sie keine Computer angeben. Die Anmeldeinformationen werden an alle mit Agent verwalteten Computer verteilt.
Hinweis
Die für das ausführende Konto ausgewählten Anmeldeinformationen müssen mindestens über die Berechtigung zur lokalen Anmeldung verfügen, damit das Modul funktioniert.